Quel nouveau référentiel pour les dispositifs d’alertes professionnelles ?

Écrit par le , Modifié le

Fin 2019, la CNIL a publié son nouveau référentiel concernant les dispositifs d’alertes professionnelles. Ce référentiel remplace les recommandations contenues dans son ancienne autorisation unique AU-004. Il prend par ailleurs en compte certaines dispositions de la directive européenne relative à la protection des lanceurs d’alerte.

A quoi sert un dispositif d’alertes professionnelles ?

Ce type de dispositif permet aux personnes de remonter à l’organisme concerné les infractions liées à des obligations légales, au respect de règles éthiques ou de son règlement intérieur. Il peut s’agir par exemple des dispositifs prévus par la loi Sapin 2 dans le cadre de la lutte contre la corruption.

Ces dispositifs sont généralement en premier lieu mis à disposition des salariés. Ils peuvent néanmoins également être mis à disposition de tiers tels que des sous-traitants, partenaires, etc.

Certains organismes décident d’adopter des outils spécifiques dédiés et d’autres de se limiter à l’utilisation d’une ligne téléphonique ou à la mise en place d’une adresse mail.

Pourquoi un référentiel de la CNIL ?

La CNIL a souhaité aider les organismes à s’assurer de la conformité de leurs traitements en matière de protection des données. En effet, ce type de traitement de données personnelles est sensible. Sa mise en œuvre peut conduire au traitement de données sensibles pour les organismes (suspicion de faits de corruption par exemple) et sensibles au regard du RGPD. De nombreuses situations déclarées via un dispositif d’alertes professionnelles peuvent révéler des données relatives à la santé, l’orientation sexuelle ainsi qu’à des infractions. Ce pourrait par exemple être le cas d’une alerte relative à des faits de harcèlement sexuel. De plus, ce type de traitement est également sensible pour les personnes concernées en ce qu’il peut induire des conséquences négatives tant pour l’auteur de l’alerte que pour la personne objet de l’alerte.

C’est pourquoi, les organismes doivent également s’attacher à la conformité de leur dispositif au regard du droit du travail (notamment information/consultation des instances représentatives du personnel) et du droit applicable à des législations spécifiques comme la loi Sapin 2.

A noter qu’il est tout à fait possible pour un organisme de déroger au référentiel de la CNIL. Toutefois, dans une telle hypothèse, il devra justifier ce besoin et en conserver la preuve au titre de sa documentation.

Ce référentiel peut également être utilisé dans le cadre de la réalisation d’une analyse d’impact (PIA). En effet, rappelons que la mise en œuvre d’un tel traitement implique de mener au préalable une analyse d’impact. Ce traitement figure en effet sur la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise publiée par la CNIL.

Quel est le contenu du référentiel ?

Dans ce référentiel, la CNIL rappelle les principes fondamentaux de la réglementation à savoir :

  • Disposer d’une finalité déterminée, explicite et légitime et l’absence de détournement de finalité ;
  • S’assurer que seules les personnes dont les fonctions le nécessitent auront accès aux données ;
  • Encadrer les transferts de données en dehors de l’Union européenne et la sous-traitance ;
  • Prendre toutes les précautions utiles au regard des risques présentés par son traitement.

Toutefois, plusieurs points de la réglementation nécessitent une attention particulière.

C’est par exemple le cas de la base juridique de ces traitements. Ce type de traitement est susceptible d’être fondé sur différentes bases juridiques telles que l’obligation légale (ex : loi Sapin 2 ou respect d’une convention internationale ratifiée par la France) ou l’intérêt légitime (ex : respect d’un code éthique). Un organisme peut même être soumis à plusieurs obligations légales (ex : Loi Sapin 2 et loi « devoir de vigilance »). Il convient donc de bien conserver au titre de sa documentation l’identification des différentes bases juridiques qui fondent le traitement.

S’agissant en particulier des données collectées, la CNIL souligne la difficulté pour le responsable de traitement d’anticiper les données qui peuvent lui être communiquées par le lanceur d’alerte. Elle invite donc les responsables de traitement à faire preuve de vigilance et à sensibiliser les personnes ayant vocation à utiliser les dispositifs d’alertes professionnelles. En effet, ce type de traitement impliquera souvent la collecte de données sensibles et de données d’infraction. Ce n’est qu’au stade de l’instruction de l’alerte que le responsable de traitement déterminera les informations pertinentes ou non.

Tout comme au sein de l’AU-004, si la CNIL n’oblige pas à l’identification des auteurs d’alerte, elle recommande cependant aux organismes de ne pas inciter les auteurs à conserver l’anonymat.

La mise en œuvre d’un tel dispositif pourra impliquer plusieurs durées de conservation. Celles-ci dépendront en partie de l’obligation légale qui sert de base juridique au traitement et qui, de plus, peut nécessiter une conservation des données en tant qu’archive intermédiaire. Ainsi, les données d’une alerte qui ne rentre pas dans le champ du dispositif devront être supprimées ou anonymisées sans délai. Dans l’hypothèse où l’organisme décide de ne pas donner suite à une alerte qui rentre dans le champ de son dispositif, les données doivent être supprimées ou anonymisée dans un délai de deux mois maximum. En cas de procédure disciplinaire ou contentieuse, les données seront classiquement conservées jusqu’au terme de la procédure. Il peut enfin être décidé par l’organisme de conserver les données afin d’assurer la protection du lanceur de l’alerte ou de permettre la constatation des infractions continues. Toutefois, sur cette dernière durée, la CNIL n’a pas émis de recommandations. Ainsi, afin de gérer les différentes durées de conservation, les dispositifs mis en place doivent permettre de :

  • Distinguer les différentes phases de la gestion d’une alerte :
    • Alerte qui rentre ou non dans le champ du dispositif ;
    • Alerte sans suite ;
    • Poursuite disciplinaire ;
    • Poursuite judiciaire ;
    • Constatation d’infractions continues ;
    • Protection de l’auteur.
  • Distinguer les différentes exigences législatives et réglementaires.

Le référentiel contient également des recommandations relatives à l’information et aux droits des personnes détaillées ci-après ainsi qu’une liste des mesures de sécurité applicables à un système d’information.

Comment informer les personnes concernées ?

L’information de toutes les personnes potentiellement concernées peut s’avérer particulièrement difficile. En effet, il convient d’informer les personnes qui sont susceptibles d‘être concernées en ce qu’elles seraient lanceurs d’alerte ou visées par l’alerte, et les personnes concernées, utilisatrices du dispositif ou objet de l’alerte. L’information des personnes potentiellement concernées n’est pas évidente car elles peuvent être des tiers à l’organisme comme les fournisseurs et sous-traitants.

Outre les mentions obligatoires du RGPD, l’information des personnes devra porter sur le fonctionnement du dispositif afin de décrire les étapes de la procédure de recueil et d’instruction des signalements. Elle devra également détailler les conditions et modalités de remontée des alertes ainsi que les conséquences d’une utilisation abusive. Ces éléments pourraient être décrits dans une procédure simple et compréhensible adressée ou remise à l’ensemble des collaborateurs internes. S’agissant des personnes externes à l’organisme telles que des assistants extérieurs qui ne sont pas salariés de l’organisme mais qui sont intégrés sur une longue durée au sein des équipes, cette procédure pourrait également être portée à leur connaissance. Concernant les lanceurs d’alerte extérieurs à l’entreprise, il peut être envisagé de réaliser l’information au travers d’un email d’accusé de réception. S’agissant des personnes visées par l’alerte, il convient dans la mesure du possible de les informer dans un délai d’un mois sauf si cela risque de compromettre gravement la réalisation du traitement. Ce qui sera dans les faits souvent le cas. Une fois le risque écarté, il convient de réaliser l’information.

Afin de bien sensibiliser les salariés sur ces points, il peut être opportun de réfléchir à la mise en place d’un e-learning obligatoire à l’arrivée des collaborateurs avec une piqûre de rappel tous les deux ans.

Y a-t-il des limites aux droits des personnes ?

Il existe en effet des limites aux droits des personnes.

En effet, dans le cadre de ce type de traitement, le droit d’opposition perdra souvent de son sens. L’organisme pourra y faire échec soit en invoquant l’obligation légale soit les exceptions de motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. L’organisme devra donc veiller à examiner attentivement toute demande d’opposition afin d’évaluer sa recevabilité.

S’agissant du droit d’accès, il est rappelé qu’il ne peut porter sur des données personnelles de tiers. Dès lors, la réglementation relative à la protection des données ne permettra pas à une personne visée par une alerte d’accéder aux informations relatives à l’auteur de l’alerte ou d’éventuels témoin. Toutefois, les règles relatives au droit processuel et au principe du contradictoire pourraient permettre un tel accès dans les conditions définies par la loi.

A quoi doit penser un organisme pour la mise en place d’un dispositif d’alertes professionnelles ?

En conclusion, dans le cadre de la mise en œuvre d’un tel dispositif, il est recommandé de penser en particulier à :

  • Réaliser une analyse d’impact (PIA) ;
  • Porter une attention toute particulière à l’information et à la gestion des droits des personnes ;
  • Protéger les personnes utilisant ces dispositifs ;
  • Sensibiliser les utilisateurs ;
  • Limiter les accès aux informations contenues dans ces traitements ;
  • Identifier et classifier les différents types d’alertes afin d’être en capacité de gérer les différences de régimes applicables ;
  • Choisir, le cas échéant, un outil de gestion des alertes efficient notamment s’agissant de la gestion des accès et des durées de conservation en fonction des stades d’instruction et des typologies d’alertes ;
  • Adopter et diffuser une procédure de gestion des alertes professionnelles;
  • Inscrire ce traitement au registre.

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article