La Commission nationale de l'informatique et des libertés (CNIL) a abrogé sa délibération du 8 décembre 2005 sur les alertes professionnelles qu'elle a remplacé par une nouvelle délibération, à jour du cadre fixé par la loi Sapin 2 et son décret d'application du 19 avril dernier.
L'autorisation unique (AU) 004 de la CNIL est ainsi actualisée et voit notamment son périmètre étendu puisqu’il couvre désormais les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi tels qu'une violation grave et manifeste de la loi ou du règlement.
Protection du lanceur d'alerte
La CNIL précise, entre autres, que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués – sauf à l’autorité judiciaire – qu’avec le consentement de la personne. De même, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués – sauf à l’autorité judiciaire – qu’une fois établi le caractère fondé de l’alerte.
Formalités
Dans la mesure où le nouveau champ d’application de l'autorisation unique couvre ceux antérieurement listés, les organismes qui auraient déjà accompli des formalités n’ont aucune autre démarche à effectuer. Néanmoins, ils devront s’assurer de respecter les nouvelles conditions posées par le texte. A l'inverse, si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.
Source : délibération CNIL n° 2017-191 du 22 juin 2017, JO du 26 août.
Sybilline Chassat-Philippe