La CNIL lance son dispositif de recueil des signalements de lanceurs d’alerte
Sapin 2.0
Le 25 novembre 2022 à 15h03
14 min
Droit
Droit
La CNIL n'a pas (ou pas encore) officiellement communiqué à ce sujet, mais elle vient de mettre en place « un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte ». Quarante autres autorités compétentes sont censées, elles aussi, permettre à des lanceurs d'alerte de les contacter de la sorte.
Le dispositif fait suite à la publication du décret du 3 octobre 2022 « relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes [...] visant à améliorer la protection des lanceurs d'alerte ».
La CNIL y figurait, aux côtés de quarante d'autres « autorités compétentes » pour recueillir et traiter les « signalements externes » émanant de lanceurs d'alertes et relevant de leurs champs de compétences respectifs (marchés publics, environnement, santé publique, etc).
Cette faculté avait été rajoutée à la loi dite Sapin II du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique par la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte.
Sont également concernées l'Agence française anticorruption (AFA) pour les atteintes à la probité, la DGCCRF et l'Autorité de la concurrence pour les pratiques anticoncurrentielles, les Conseils nationaux de l'ordre des médecins, des infirmiers, pharmaciens, vétérinaires, sages-femmes ou chirurgiens-dentistes, l'Agence Santé publique France, la Haute autorité de santé, le Contrôle général des armées, l'ANSSI ou encore le Défenseur des droits.
Ces 41 autorités administratives ou publiques indépendantes, ordres professionnels et « personnes morales chargées d'une mission de service public » doivent publier sur leurs sites web, « dans une section distincte, aisément identifiable et accessible », des informations sur :
- l'existence de procédures internes de recueil et de traitement des signalements, « en invitant les auteurs de signalement qui remplissent les conditions pour y avoir recours à procéder à un signalement interne lorsqu'ils ne sont pas exposés au risque de faire l'objet de mesures de représailles [...] et en l'absence de risque de destruction de preuves » ;
- les conditions et modalités pratiques pour bénéficier des mesures de protection afférentes ;
- la nature et le contenu des signalements dont elle peut être saisie au regard des compétences qui sont les siennes ;
- les coordonnées postales, électroniques et téléphoniques permettant de lui adresser des signalements, « en indiquant si les conversations téléphoniques sont ou non enregistrées » ;
- la procédure de recueil et de traitement des signalements qu'elle a établie ;
- le régime de confidentialité applicable aux signalements, « en particulier en matière de protection des données à caractère personnel » ;
- la nature des mesures pouvant être prises pour évaluer l'exactitude des allégations formulées dans les signalements et remédier à leur objet ;
- les recours et procédures permettant de protéger les auteurs de signalement contre les mesures de représailles « et la possibilité pour les personnes qui envisagent d'effectuer un signalement de recevoir des conseils confidentiels » ;
- des explications sur les conditions d'irresponsabilité en cas de signalement ou de divulgation publique ;
- les coordonnées postales, électroniques et téléphoniques du Défenseur des droits.
Elles doivent en effet, et en outre, rendre compte annuellement de leur action au Défenseur des droits, et lui adresser un rapport sur le fonctionnement de leurs procédures de recueil et de traitement des signalements, contenant notamment :
- Le nombre de signalements recueillis ;
- Les suites données à ces signalements, notamment clôtures, enquêtes, saisines d'une autorité tierce, poursuites judiciaires ;
- Les résultats obtenus, notamment les montants recouvrés lorsqu'un préjudice financier a été constaté ;
- Les délais de traitement des signalements ;
- Les moyens mis en œuvre au sein de l'autorité pour gérer la procédure et, le cas échéant, les difficultés rencontrées.
Un décret salutaire, mais décevant
La Maison des lanceurs d'alerte avait alors salué le fait que les lanceurs d'alerte puissent désormais procéder à un signalement externe, sans plus être obligés de devoir d'abord effectué un signalement en interne, comme c'était le cas jusqu'alors.
Elle n'en avait pas moins qualifié le décret, dont le résultat « n'est pas à la hauteur des enjeux », de « décevant », parce qu'il « réduit significativement l’ambition initiale de la loi, du fait du nombre restreint d’autorités désignées et de la faiblesse des moyens associés à leur mission ».
L'ONG regrettait ainsi que les agences régionales de santé (ARS), « qui ont un pouvoir de tutelle sur les établissements sanitaires et médico-sociaux » et « interviennent à un niveau territorial adéquat », n'aient pas été incluses dans la liste des autorités concernées.
Elle regrettait également « l’absence d’autres autorités pertinentes, disposant d’une réelle expertise sur l’appréciation des risques », de la Haute Autorité pour la transparence dans la vie publique (HATVP) à la commission nationale de la Déontologie et des Alertes en matière de santé publique et d’environnement (cnDAspe) en passant par l’Agence de l’environnement et de la maîtrise de l’énergie (Ademe) :
« Si les autorités ne figurant pas dans ce décret pourront tout de même être saisies des sujets les concernant, elles ne seront pas assujetties aux obligations du décret, notamment quant au retour d’informations dû au lanceur d’alerte. »
Enfin, la Maison des Lanceurs d’Alerte s’inquiétait de l’efficacité des dispositifs de traitement alors qu' « aucun moyen supplémentaire n’est accordé à ces autorités » et que « l’effort va donc manifestement peser sur un nombre limité d’organisations aux moyens réduits ».
Elle n'en a pas moins commencé à répertorier la liste des autorités compétentes « soumises à une obligation de recueil, de traitement et de retour d’informations » avec, dans la mesure du possible, un lien vers leurs sites web et, pour celles qui en disposent, un lien vers la page qu'ils consacrent à leurs procédures de signalement.
La page, mise à jour début novembre, ne comporte cela dit que neuf liens « Comment faire un signalement ? ».
Porter plainte, ou lancer l'alerte ?
La page dédiée de la CNIL, qui vient d'être mise en ligne sur son site via l'onglet « Mes démarches », précise que les signalements de lanceurs d'alerte qui peuvent lui être envoyés « doivent concerner un manquement relevant de la règlementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), y compris en matière de cybersécurité ».
Mais également que l’alerte « doit porter sur des faits qui se sont produits ou pour lesquels il existe une forte probabilité qu'ils se produisent ».
Elle explique ensuite la différence entre lui adresser une plainte et lui adresser un signalement en tant que lanceur d'alerte :
« Pour les cas en lien avec une situation strictement individuelle, même s’il est possible d’alerter la CNIL pour obtenir la résolution d’une situation personnelle, il apparaît plus adapté de saisir la CNIL d’une plainte. »
La CNIL souligne par ailleurs que la résolution de certaines difficultés rencontrées « nécessite la communication au mis en cause, et éventuellement à d’autres personnes ou organismes, des données permettant de vous identifier ». Et que dans ces circonstances, « la CNIL n’est pas en capacité de conserver votre anonymat » :
« Par exemple, si vous souhaitez que la CNIL intervienne pour vous aider auprès d’un organisme qui n’aurait pas répondu à votre demande d’exercice d'un droit d’accès, il vous faudra adresser une plainte. Son instruction nécessitera de communiquer votre identité à l’organisme concerné pour que vous obteniez la communication de vos données personnelles. »
Avoir personnellement constaté, et être de bonne foi
La CNIL précise en outre que ce dispositif « est réservé aux personnes physiques qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi », des informations portant sur les données personnelles, et plus particulièrement :
- une violation du droit de l'Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD) ;
- un crime ;
- un délit ;
- une menace ou un préjudice pour l'intérêt général ;
- une autre violation ou une tentative de dissimulation d'une violation ;
- d'un engagement international régulièrement ratifié ou approuvé par la France ;
- d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement.
De plus, et lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles, « vous devez en avoir eu personnellement connaissance ».
D'abord signaler en interne, sauf en cas de risque de représailles
Le gardien de la protection des données personnelles souligne également que le lanceur d'alerte « n'est pas obligé d'effectuer un signalement interne avant d'effectuer un signalement auprès de la CNIL » :
« Toutefois, lorsqu'une procédure interne de signalement existe au sein même de l'organisme mis en cause, nous vous invitons à l'utiliser si cela ne vous expose pas au risque de faire l'objet de mesures de représailles et en l'absence de risque de destruction de preuves. »
A contrario, si la procédure interne « vous expose à des risques ou si celle-ci n’existe pas », elle invite les lanceurs d'alerte à « effectuer directement un signalement à la CNIL ».
Elle ne fournit pas de clef GPG, de messagerie chiffrée ni de « dropbox » permettant de la contacter de façon sécurisée, invitant les lanceurs d'alerte à la contacter par voie postale, électronique (en utilisant le téléservice de l'autorité), ou téléphonique, précisant que « les communications ne sont pas enregistrées ».
De l'irresponsabilité civile et pénale
La CNIL garantit la confidentialité de l'identité des auteurs de signalements, ainsi que « des personnes visées et de tout tiers mentionné ». Si les éléments de nature à identifier le lanceur d'alerte « ne peuvent pas être divulgués sans son accord », ils « peuvent cependant être transmis à l'autorité judiciaire, dans certains cas » :
« Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l'autorité judiciaire, les éléments de nature à identifier le lanceur d'alerte peuvent également lui être communiqués. Dans ce cas, le lanceur d'alerte en est informé. »
En termes d'irresponsabilité civile, la CNIL précise que « lorsque la procédure de signalement ou de divulgation publique est respectée », les lanceurs d'alerte « ne pourront pas être condamnés à verser des dommages et intérêts pour les dommages causés » par leur signalement « ou cette divulgation publique ».
Le lanceur d'alerte doit cela dit « avoir eu des motifs raisonnables de croire que cette procédure était nécessaire à la sauvegarde des intérêts menacés ».
La CNIL souligne également que l'irresponsabilité pénale « s'applique aux infractions éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées », dès lors que la procédure de signalement ou de divulgation publique est respectée :
« Néanmoins, il ne doit pas y avoir eu infraction pour obtenir les informations proprement dites. »
Contactée en fin de matinée, la CNIL n'a pas encore été en mesure de nous expliquer la différence entre le fait de commettre une ou plusieurs infractions en vue d' « obtenir les documents permettant de prouver les informations signalées ou divulguées », et le fait d'en commettre « pour obtenir les informations proprement dites. »
Elle nous précise qu' « en tout état de cause il n'appartiendra pas à la CNIL d'apprécier ou de juger cette irresponsabilité, mais bien au juge pénal dans le cadre d'une procédure », et que le Défenseur des droits serait potentiellement mieux à même de préciser les contours de l'irresponsabilité pénale des lanceurs d'alerte.
Néanmoins, l'histoire du lanceur d'alerte licencié après avoir contacté un haut responsable de la sécurité informatique du gouvernement permet de se faire une idée. Il l'avait alerté après avoir constaté que les données de santé des patients de l'AP-HP traitées par la société Dedalus France (« leader européen en matière de solutions logicielles de Santé ») étaient accessibles hors de ces deux structures.
- Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave »
- Pourquoi la CNIL a condamné Dedalus à une sanction de 1,5 million d'euros
Il avait en effet démontré la faille de sécurité en révélant qu'il était possible de récupérer une clef privée (.rsa, le « document ») de Dedalus France via shodan.io (le moteur de recherche des appareils connectés), sans pour autant l'utiliser pour accéder lui-même pour accéder aux données de santé des patients de l'AP-HP (à savoir les « informations signalées ou divulguées »).
Une protection contre les mesures de représailles
La CNIL rappelle enfin que la protection offerte aux lanceurs d'alerte porte sur toute mesure de représailles qui prendraient « notamment » l'une des formes suivantes : suspension, mise à pied, licenciement, rétrogradation ou refus de promotion, transfert de fonctions, changement de lieu de travail, réduction de salaire, suspension de la formation, évaluation de performance négative, mesures disciplinaires, discrimination, non-renouvellement d'un contrat de travail à durée déterminée ou d'un contrat de travail temporaire :
« Il vous appartiendra de vous prévaloir devant le juge de votre qualité de lanceur d’alerte pour demander l’annulation d’une mesure de représailles ou vous défendre dans une procédure civile ou pénale. »
Des données conservées pendant 5 ans
Si la CNIL « garantit l’intégrité et la confidentialité des informations recueillies dans le cadre d’une alerte et, plus particulièrement, l’anonymat du lanceur d’alerte », elle peut lui demander « tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées », mais également de lui fournir « des conseils confidentiels ».
En tout état de cause, et à l'issue du signalement, la CNIL procédera à sa clôture « lorsqu'il est devenu sans objet ou lorsque les allégations sont inexactes, infondées, manifestement mineures, ou ne contiennent aucune nouvelle information significative par rapport à un signalement déjà clôturé », ou bien effectuera des contrôles, voire prononcera des sanctions « si elle considère que ce qui lui a été signalé le justifie ».
La CNIL indique par ailleurs, en page 23 (sur 125) de son registre des activités de traitements, que le dispositif de réception, de suivi et de gestion des signalements (« hors plaintes/réclamations ») pour non-conformité au RGPD ou à la loi Informatique et Libertés existe depuis au moins 2020, date de la dernière mise à jour de la fiche afférente, et que les données traitées (identité et coordonnées des lanceurs d'alertes, suites données par la CNIL et, le cas échéant, par le responsable de traitement) sont conservées « cinq ans à compter de la clôture du signalement ».
Reste à savoir comment la CNIL parviendra à traiter ces nouveaux signalements, alors que, « saisie de plus en plus de plaintes », elle peine déjà à traiter celles dont elle est instruite dans les temps impartis.
J’ai porté plainte plus d’une 40aine de fois auprès de la CNIL pour le problème des data broker. pic.twitter.com/6fJQB4dLEX
— aeris 🏳️🌈 (@aeris22) November 17, 2022
Dans son 42e rapport annuel, la CNIL expliquait avoir reçu 14 143 plaintes en 2021 (soit deux fois plus qu'en 2016, et 28 % de plus que depuis la mise en œuvre du RGPD en 2018), dont 5 848 avaient fait l'objet d'une réponse rapide (c'est-à-dire en 10 jours en moyenne), que 8 295 avaient nécessité un traitement « plus approfondi », et qu'elle avait pu en clore 12 522.
La CNIL lance son dispositif de recueil des signalements de lanceurs d’alerte
-
Un décret salutaire, mais décevant
-
Porter plainte, ou lancer l'alerte ?
-
Avoir personnellement constaté, et être de bonne foi
-
D'abord signaler en interne, sauf en cas de risque de représailles
-
De l'irresponsabilité civile et pénale
-
Une protection contre les mesures de représailles
-
Des données conservées pendant 5 ans
Commentaires (1)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/11/2022 à 16h44
Sur les 14143 plaintes, aeris en a declaré 11324