RGPD et signalement d’alerte : ce que vous devez savoir #
Chaque signalement d’alerte contient des donnees personnelles. Le lanceur d’alerte peut indiquer son nom. Le signalement nommera probablement la personne accusee de faute. Les actions du referent sont enregistrees. Tout cela constitue des donnees personnelles au sens du RGPD.
Cela cree une tension a laquelle les responsables conformite font face au quotidien : la Directive sur la protection des lanceurs d’alerte (2019/1937) vous oblige a collecter et conserver les signalements, et le RGPD exige que vous disposiez d’une base legale pour le faire, que vous minimisiez les donnees collectees et que vous les supprimiez lorsqu’elles ne sont plus necessaires.
Voici comment ces deux cadres interagissent et ce que cela signifie en pratique.
Quelles donnees personnelles contient un signalement d’alerte ? #
Plus que vous ne le pensez :
| Donnee | Source | Categorie RGPD |
|---|---|---|
| Nom du lanceur d’alerte (si fourni) | Volontaire | Donnees personnelles |
| Coordonnees du lanceur d’alerte (si fournies) | Volontaire | Donnees personnelles |
| Nom de la personne accusee | Contenu du signalement | Donnees personnelles (tiers) |
| Details de la faute presumee | Contenu du signalement | Peut inclure des donnees de categorie speciale (Art. 9) |
| Fichiers telecharges (documents, photos) | Lanceur d’alerte | Peut contenir des metadonnees (GPS, auteur, horodatages) |
| Actions et notes du referent | Gestion des dossiers | Donnees personnelles (referent) |
| Horodatages et piste d’audit | Systeme | Donnees personnelles |
Si un signalement decrit du harcelement, de la discrimination, des problemes de sante ou une activite criminelle, il peut contenir des donnees de categorie speciale au sens de l’article 9 du RGPD — ce qui declenche des conditions de traitement plus strictes.
Quelle est la base juridique du traitement ? #
Vous avez besoin d’une base legale au titre de l’article 6 du RGPD pour traiter les donnees personnelles contenues dans les signalements d’alerte. Les bases les plus couramment utilisees :
Article 6(1)(c) — Obligation legale #
C’est la base principale. La Directive europeenne 2019/1937 et ses transpositions nationales imposent une obligation legale d’exploiter un canal de signalement. Le traitement des donnees personnelles est necessaire pour se conformer a cette obligation.
Cela couvre :
- La reception du signalement
- Son stockage securise
- L’investigation des allegations
- La communication avec le lanceur d’alerte
- La tenue d’une piste d’audit
Article 6(1)(f) — Interet legitime #
Certaines organisations utilisent l’interet legitime comme base secondaire, en particulier pour les traitements allant au-dela des exigences minimales de la Directive (par exemple, analyses internes, rapports de tendances). Cela necessite une evaluation de l’interet legitime (LIA) et un test de mise en balance.
Article 6(1)(e) — Interet public (secteur public) #
Les organisations du secteur public peuvent s’appuyer sur la base de l’interet public, en particulier lorsque la legislation nationale autorise explicitement le traitement aux fins de la protection des lanceurs d’alerte.
Qu’en est-il du consentement ? #
Ne vous appuyez pas sur le consentement. Le desequilibre de pouvoir entre le lanceur d’alerte et l’employeur signifie que le consentement ne sera probablement pas donne librement (considerant 43 du RGPD). Un lanceur d’alerte ne peut pas consentir de maniere significative lorsque son emploi peut dependre du resultat. Utilisez l’obligation legale (Art. 6(1)(c)) a la place.
Signalements anonymes et RGPD #
C’est la question que posent le plus souvent les responsables conformite : si un signalement est veritablement anonyme, le RGPD s’applique-t-il ?
Si le lanceur d’alerte n’est pas identifiable : le RGPD ne s’applique pas a lui #
Le RGPD s’applique aux donnees personnelles relatives a une personne identifiee ou identifiable (Art. 4(1)). Si un lanceur d’alerte soumet un signalement sans fournir de nom, d’email ou toute information identifiante — et que le systeme n’enregistre pas son adresse IP ni aucun autre identifiant — le contenu du signalement ne constitue pas des donnees personnelles concernant le lanceur d’alerte.
Toutefois :
- La personne accusee nommee dans le signalement reste identifiable. Le RGPD s’applique pleinement a ses donnees.
- Si le contenu du signalement contient des details permettant d’identifier indirectement le lanceur d’alerte (« je suis la seule femme au troisieme etage »), il peut tout de meme constituer des donnees personnelles.
Ce que « anonyme » exige techniquement #
Pour que l’anonymat resiste a un examen au regard du RGPD, votre outil de signalement doit :
- Ne pas enregistrer les adresses IP. Tout enregistrement d’IP rend le lanceur d’alerte pseudonymise, et non anonyme.
- Ne pas exiger de compte ni d’email. Si le lanceur d’alerte s’authentifie, il est identifiable.
- Supprimer les metadonnees des fichiers. Les photos et documents telecharges contiennent des donnees EXIF (coordonnees GPS, nom de l’auteur, informations sur l’appareil) qui peuvent identifier le lanceur d’alerte.
- Ne pas utiliser de cookies analytiques ou de suivi sur le portail de signalement.
Si votre outil fait l’une de ces choses, vous collectez des donnees pseudonymisees, pas anonymes, et le RGPD s’applique integralement.
Minimisation des donnees (Art. 5(1)(c)) #
La Directive exige un canal de signalement. Elle n’exige pas de collecter plus de donnees que necessaire.
En pratique :
- L’identite du lanceur d’alerte doit etre facultative. Le lanceur d’alerte doit pouvoir soumettre un signalement sans fournir son nom ni ses coordonnees.
- Les formulaires d’accueil ne doivent collecter que le necessaire. Une description de la faute, la categorie et des pieces justificatives optionnelles. N’exigez pas le service, le numero d’employe ou d’autres identifiants, sauf si le lanceur d’alerte choisit de les fournir.
- Les notes du referent doivent etre pertinentes pour l’enquete. Ne consignez pas de details personnels superflus sur le lanceur d’alerte ou la personne accusee.
Les droits de la personne accusee #
C’est ici que les choses se compliquent. La personne accusee dans un signalement d’alerte a des droits au titre du RGPD — y compris le droit d’etre informee (Art. 14), le droit d’acces (Art. 15) et le droit a l’effacement (Art. 17).
Mais l’exercice de ces droits ne peut pas compromettre la confidentialite du lanceur d’alerte (Art. 16 de la Directive).
Droit d’etre informe (Art. 14) #
En vertu du RGPD, vous devez informer les personnes lorsque vous traitez leurs donnees. Mais l’article 16(1) de la Directive exige la protection de l’identite du lanceur d’alerte. La solution :
- Vous pouvez informer la personne accusee qu’un signalement a ete effectue — mais uniquement si cela ne risque pas de reveler l’identite du lanceur d’alerte.
- Le moment est important. De nombreux Etats membres autorisent le report de la notification jusqu’a ce qu’elle ne compromette plus l’enquete. Le HinSchG allemand restreint explicitement la divulgation pendant la periode d’investigation.
- Les autorites nationales de protection des donnees acceptent generalement que les exigences de confidentialite de la Directive priment sur l’obligation de notification immediate.
Droit d’acces (Art. 15) #
La personne accusee peut demander l’acces aux donnees detenues a son sujet. Vous devez les fournir — mais vous devez caviarder toute information qui permettrait d’identifier le lanceur d’alerte. Cela inclut le nom du lanceur d’alerte, mais aussi les details contextuels qui pourraient le reveler indirectement.
Droit a l’effacement (Art. 17) #
La personne accusee ne peut pas exiger la suppression d’un signalement qui fait partie d’une enquete en cours ou qui doit etre conserve en vertu d’obligations legales. L’article 17(3)(b) et (e) du RGPD prevoit des exceptions pour les obligations legales et les actions en justice.
Durees de conservation #
La Directive (Art. 18) exige la tenue de registres des signalements. Le RGPD (Art. 5(1)(e)) exige de ne pas conserver les donnees personnelles plus longtemps que necessaire.
Combien de temps faut-il conserver les signalements ? #
La Directive ne prescrit pas de duree de conservation specifique. Les transpositions nationales varient :
| Pays | Duree de conservation | Source |
|---|---|---|
| France | 5 ans apres la cloture du dossier | Decret 2022-1284 |
| Italie | 5 ans a compter de la date du signalement | D.Lgs. 24/2023 |
| Allemagne | 3 ans apres la cloture du dossier (sauf procedure en cours) | HinSchG §11 |
| Espagne | Non specifiee (la minimisation RGPD generale s’applique) | Law 2/2023 |
Bonnes pratiques #
- Definissez une duree de conservation configurable (par exemple, 12, 24, 36 ou 60 mois apres la cloture du dossier).
- Supprimez automatiquement les dossiers clos lorsque la duree de conservation expire.
- Permettez la suppression manuelle par les administrateurs pour les dossiers dont la conservation n’est plus necessaire.
- Documentez votre politique de conservation et soyez pret a la justifier aupres d’un regulateur.
Transferts internationaux de donnees #
Les donnees relatives aux lanceurs d’alerte doivent rester dans l’UE, sauf si vous disposez d’un mecanisme de transfert valide au titre du chapitre V du RGPD.
Cela compte lors du choix d’un outil de signalement :
- Plateformes hebergees dans l’UE (donnees stockees en Allemagne, France, Pays-Bas, etc.) : pas de probleme de transfert.
- Plateformes hebergees aux Etats-Unis ou utilisant des fournisseurs cloud americains (AWS US, Azure US, Google Cloud US) : necessitent le recours aux clauses contractuelles types (CCT) ou au EU-US Data Privacy Framework — tous deux contestes juridiquement.
Le chemin le plus simple : choisir une plateforme qui heberge toutes les donnees dans l’UE. Cela elimine entierement la question du transfert.
Analyse d’impact relative a la protection des donnees (AIPD) #
L’article 35 du RGPD exige une AIPD lorsque le traitement est « susceptible d’engendrer un risque eleve pour les droits et libertes des personnes physiques ».
Le signalement d’alerte remplit probablement ce critere car :
- Il implique des allegations sensibles concernant des personnes identifiees
- Les signalements peuvent contenir des donnees de categorie speciale (Art. 9)
- Il existe un desequilibre de pouvoir inherent entre le lanceur d’alerte et l’organisation
- Les manquements a la confidentialite pourraient entrainer des represailles
La plupart des autorites de protection des donnees recommandent de realiser une AIPD avant la mise en place d’un systeme de signalement d’alerte.
Ce que votre outil de signalement doit faire #
Sur la base des exigences RGPD ci-dessus, votre logiciel de signalement d’alerte doit :
| Exigence | Pourquoi |
|---|---|
| Identite du lanceur d’alerte facultative | Minimisation des donnees (Art. 5(1)(c)) |
| Pas d’enregistrement d’IP | Preserver l’anonymat, eviter de creer des donnees pseudonymisees |
| Suppression des metadonnees des fichiers | Empecher l’identification accidentelle via les donnees EXIF/GPS |
| Chiffrement au repos | Integrite et confidentialite (Art. 5(1)(f)) |
| Durees de conservation configurables | Limitation de la conservation (Art. 5(1)(e)) |
| Suppression automatique des dossiers expires | Application de la limitation de conservation |
| Controles d’acces bases sur les roles | Confidentialite (Art. 16 de la Directive) |
| Piste d’audit immuable | Responsabilite (Art. 5(2)) |
| Hebergement des donnees dans l’UE | Eviter les complications liees aux transferts internationaux (chapitre V) |
| Avis de confidentialite sur le formulaire de signalement | Transparence (Art. 13/14) |
Comment EthicsPortal gere le RGPD #
EthicsPortal a ete concu des le premier jour avec la Directive et le RGPD comme contraintes :
- Base juridique : Le traitement est fonde sur l’obligation legale (Art. 6(1)(c)) — conformite a la Directive europeenne 2019/1937.
- Anonymat par defaut : Pas d’enregistrement d’IP, pas de compte, pas de suivi. Les metadonnees des fichiers (EXIF, GPS, auteur) sont supprimees automatiquement.
- Minimisation des donnees : Le nom et les coordonnees du lanceur d’alerte sont des champs facultatifs. Seules les donnees essentielles sont collectees.
- Chiffrement au repos : Toutes les descriptions de signalements, noms, coordonnees et messages sont chiffres dans la base de donnees.
- Conservation configurable : Les organisations definissent leur propre duree de conservation (12, 24, 36 ou 60 mois). Les dossiers clos expires sont supprimes automatiquement.
- Hebergement dans l’UE : Toutes les donnees stockees sur les serveurs Hetzner a Nuremberg, Allemagne. Aucune donnee ne quitte l’UE. Pas de fournisseurs cloud americains.
- Controles d’acces : Seuls les administrateurs et les referents assignes peuvent consulter les signalements. Les noms des referents ne sont jamais reveles aux lanceurs d’alerte.
- Piste d’audit : Journal immuable de chaque action pour la responsabilite et le controle reglementaire.
- DPA disponible : Accord de traitement des donnees conforme a l’article 28 du RGPD disponible pour tous les clients.
Pour l’analyse de conformite article par article, consultez notre page de conformite.