RGPD et signalement d’alerte : ce que vous devez savoir #
Chaque signalement d’alerte contient des données personnelles. Le lanceur d’alerte peut indiquer son nom. Le signalement nommera probablement la personne accusée de faute. Les actions du référent sont enregistrees. Tout cela constitue des données personnelles au sens du RGPD.
Cela crée une tension à laquelle les responsables conformité font face au quotidien : la Directive sur la protection dès lanceurs d’alerte (2019/1937) vous oblige à collecter et conserver les signalements, et le RGPD exige que vous disposiez d’une base légale pour le faire, que vous minimisiez les données collectées et que vous les supprimiez lorsqu’elles ne sont plus nécessaires.
Voici comment ces deux cadres interagissent et ce que cela signifie en pratique.
Quelles données personnelles contient un signalement d’alerte ? #
Plus que vous ne le pensez :
| Donnée | Source | Catégorie RGPD |
|---|---|---|
| Nom du lanceur d’alerte (si fourni) | Volontaire | Données personnelles |
| Coordonnees du lanceur d’alerte (si fournies) | Volontaire | Données personnelles |
| Nom de la personne accusée | Contenu du signalement | Données personnelles (tiers) |
| Détails de la faute présumée | Contenu du signalement | Peut inclure des données de catégorie spéciale (Art. 9) |
| Fichiers téléchargés (documents, photos) | Lanceur d’alerte | Peut contenir des métadonnées (GPS, auteur, horodatages) |
| Actions et notes du référent | Gestion des dossiers | Données personnelles (référent) |
| Horodatages et piste d’audit | Système | Données personnelles |
Si un signalement décrit du harcèlement, de la discrimination, des problèmes de santé ou une activite criminelle, il peut contenir des données de catégorie spéciale au sens de l’article 9 du RGPD — ce qui déclenche des conditions de traitement plus strictes.
Quelle est la base juridique du traitement ? #
Vous avez besoin d’une base légale au titre de l’article 6 du RGPD pour traiter les données personnelles contenues dans les signalements d’alerte. Les bases les plus couramment utilisees :
Article 6(1)(c) — Obligation légale #
C’est la base principale. La Directive européenne 2019/1937 et ses transpositions nationales imposent une obligation légale d’exploiter un canal de signalement. Le traitement des données personnelles est nécessaire pour se conformer à cette obligation.
Cela couvre :
- La réception du signalement
- Son stockage sécurisé
- L’investigation des allégations
- La communication avec le lanceur d’alerte
- La tenue d’une piste d’audit
Article 6(1)(f) — Intérêt legitime #
Certaines organisations utilisent l’intérêt legitime comme base secondaire, en particulier pour les traitements allant au-delà des exigences minimales de la Directive (par exemple, analyses internes, rapports de tendances). Cela nécessite une évaluation de l’intérêt legitime (LIA) et un test de mise en balance.
Article 6(1)(e) — Intérêt public (secteur public) #
Les organisations du secteur public peuvent s’appuyer sur la base de l’intérêt public, en particulier lorsque la législation nationale autorisé explicitement le traitement aux fins de la protection dès lanceurs d’alerte.
Qu’en est-il du consentement ? #
Ne vous appuyez pas sur le consentement. Le déséquilibre de pouvoir entre le lanceur d’alerte et l’employeur signifie que le consentement ne sera probablement pas donné librement (considérant 43 du RGPD). Un lanceur d’alerte ne peut pas consentir de manière significative lorsque son emploi peut dependre du resultat. Utilisez l’obligation légale (Art. 6(1)(c)) à la place.
Signalements anonymes et RGPD #
C’est la question que posent le plus souvent les responsables conformité : si un signalement est véritablement anonyme, le RGPD s’applique-t-il ?
Si le lanceur d’alerte n’est pas identifiable : le RGPD ne s’applique pas à lui #
Le RGPD s’applique aux données personnelles relatives à une personne identifiée ou identifiable (Art. 4(1)). Si un lanceur d’alerte soumet un signalement sans fournir de nom, d’email ou toute information identifiante — et que le système n’enregistre pas son adresse IP ni aucun autre identifiant — le contenu du signalement ne constitue pas des données personnelles concernant le lanceur d’alerte.
Toutefois :
- La personne accusée nommee dans le signalement reste identifiable. Le RGPD s’applique pleinement à ses données.
- Si le contenu du signalement contient des détails permettant d’identifier indirectement le lanceur d’alerte (« je suis la seule femme au troisieme étage »), il peut tout de même constituer des données personnelles.
Ce que « anonyme » exige techniquement #
Pour que l’anonymat résiste à un examen au regard du RGPD, votre outil de signalement doit :
- Ne pas enregistrer les adresses IP. Tout enregistrement d’IP rend le lanceur d’alerte pseudonymisé, et non anonyme.
- Ne pas exiger de compte ni d’email. Si le lanceur d’alerte s’authentifié, il est identifiable.
- Supprimer les métadonnées des fichiers. Les photos et documents téléchargés contiennent des données EXIF (coordonnees GPS, nom de l’auteur, informations sur l’appareil) qui peuvent identifier le lanceur d’alerte.
- Ne pas utiliser de cookies analytiques ou de suivi sur le portail de signalement.
Si votre outil fait l’une de ces choses, vous collectez des données pseudonymisées, pas anonymes, et le RGPD s’applique intégralement.
Minimisation des données (Art. 5(1)(c)) #
La Directive exige un canal de signalement. Elle n’exige pas de collecter plus de données que nécessaire.
En pratique :
- L’identité du lanceur d’alerte doit être facultative. Le lanceur d’alerte doit pouvoir soumettre un signalement sans fournir son nom ni ses coordonnees.
- Les formulaires d’accueil ne doivent collecter que le nécessaire. Une description de la faute, la catégorie et des pieces justificatives optionnelles. N’exigez pas le service, le numero d’employé ou d’autres identifiants, sauf si le lanceur d’alerte choisit de les fournir.
- Les notes du référent doivent être pertinentes pour l’enquete. Ne consignez pas de détails personnels superflus sur le lanceur d’alerte ou la personne accusée.
Les droits de la personne accusée #
C’est ici que les choses se compliquent. La personne accusée dans un signalement d’alerte a des droits au titre du RGPD — y compris le droit d’être informée (Art. 14), le droit d’accès (Art. 15) et le droit à l’effacement (Art. 17).
Mais l’exercice de ces droits ne peut pas compromettre la confidentialité du lanceur d’alerte (Art. 16 de la Directive).
Droit d’être informe (Art. 14) #
En vertu du RGPD, vous devez informer les personnes lorsque vous traitez leurs données. Mais l’article 16(1) de la Directive exige la protection de l’identité du lanceur d’alerte. La solution :
- Vous pouvez informer la personne accusée qu’un signalement a été effectué — mais uniquement si cela ne risque pas de révéler l’identité du lanceur d’alerte.
- Le moment est important. De nombreux États membres autorisent le report de la notification jusqu’à ce qu’elle ne compromette plus l’enquete. Le HinSchG allemand restreint explicitement la divulgation pendant la periode d’investigation.
- Les autorités nationales de protection des données acceptent generalement que les exigences de confidentialité de la Directive priment sur l’obligation de notification immediate.
Droit d’accès (Art. 15) #
La personne accusée peut demander l’accès aux données détenues à son sujet. Vous devez les fournir — mais vous devez caviarder toute information qui permettrait d’identifier le lanceur d’alerte. Cela inclut le nom du lanceur d’alerte, mais aussi les détails contextuels qui pourraient le révéler indirectement.
Droit à l’effacement (Art. 17) #
La personne accusée ne peut pas exiger la suppression d’un signalement qui fait partie d’une enquete en cours ou qui doit être conserve en vertu d’obligations légales. L’article 17(3)(b) et (e) du RGPD prévoit des exceptions pour les obligations légales et les actions en justice.
Durées de conservation #
La Directive (Art. 18) exige la tenue de registres des signalements. Le RGPD (Art. 5(1)(e)) exige de ne pas conserver les données personnelles plus longtemps que nécessaire.
Combien de temps faut-il conserver les signalements ? #
La Directive ne prescrit pas de durée de conservation spécifique. Les transpositions nationales varient :
| Pays | Durée de conservation | Source |
|---|---|---|
| France | 5 ans apres la cloture du dossier | Décret 2022-1284 |
| Italie | 5 ans à compter de la date du signalement | D.Lgs. 24/2023 |
| Allemagne | 3 ans apres la cloture du dossier (sauf procédure en cours) | HinSchG §11 |
| Espagne | Non spécifiée (la minimisation RGPD generale s’applique) | Law 2/2023 |
Bonnes pratiques #
- Définissez une durée de conservation configurable (par exemple, 12, 24, 36 ou 60 mois apres la cloture du dossier).
- Supprimez automatiquement les dossiers clos lorsque la durée de conservation expire.
- Permettez la suppression manuelle par les administrateurs pour les dossiers dont la conservation n’est plus nécessaire.
- Documentez votre politique de conservation et soyez pret à la justifier auprès d’un régulateur.
Transferts internationaux de données #
Les données relatives aux lanceurs d’alerte doivent rester dans l’UE, sauf si vous disposez d’un mécanisme de transfert valide au titre du chapitre V du RGPD.
Cela compte lors du choix d’un outil de signalement :
- Plateformes hébergées dans l’UE (données stockées en Allemagne, France, Pays-Bas, etc.) : pas de problème de transfert.
- Plateformes hébergées aux États-Unis ou utilisant des fournisseurs cloud américains (AWS US, Azure US, Google Cloud US) : nécessitent le recours aux clauses contractuelles types (CCT) ou au EU-US Data Privacy Framework — tous deux contestes juridiquement.
Le chemin le plus simple : choisir une plateforme qui hébergé toutes les données dans l’UE. Cela élimine entierement la question du transfert.
Analyse d’impact relative à la protection des données (AIPD) #
L’article 35 du RGPD exige une AIPD lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertes des personnes physiques ».
Le signalement d’alerte remplit probablement ce critère car :
- Il implique des allégations sensibles concernant des personnes identifiées
- Les signalements peuvent contenir des données de catégorie spéciale (Art. 9)
- Il existe un déséquilibre de pouvoir inhérent entre le lanceur d’alerte et l’organisation
- Les manquements à la confidentialité pourraient entraîner des représailles
La plupart des autorités de protection des données recommandent de réaliser une AIPD avant la mise en place d’un système de signalement d’alerte.
Ce que votre outil de signalement doit faire #
Sur la base des exigences RGPD ci-dessus, votre logiciel de signalement d’alerte doit :
| Exigence | Pourquoi |
|---|---|
| Identité du lanceur d’alerte facultative | Minimisation des données (Art. 5(1)(c)) |
| Pas d’enregistrement d’IP | Préserver l’anonymat, éviter de créer des données pseudonymisées |
| Suppression des métadonnées des fichiers | Empêcher l’identification accidentelle via les données EXIF/GPS |
| Chiffrement au repos | Intégrité et confidentialité (Art. 5(1)(f)) |
| Durées de conservation configurables | Limitation de la conservation (Art. 5(1)(e)) |
| Suppression automatique des dossiers expirés | Application de la limitation de conservation |
| Contrôles d’accès bases sur les roles | Confidentialité (Art. 16 de la Directive) |
| Piste d’audit en ajout seul | Responsabilité (Art. 5(2)) |
| Hébergement des données dans l’UE | Éviter les complications liées àux transferts internationaux (chapitre V) |
| Avis de confidentialité sur le formulaire de signalement | Transparence (Art. 13/14) |
Comment EthicsPortal gere le RGPD #
EthicsPortal a été conçu dès le premier jour avec la Directive et le RGPD comme contraintes :
- Base juridique : Le traitement est fondé sur l’obligation légale (Art. 6(1)(c)) — conformité à la Directive européenne 2019/1937.
- Anonymat par défaut : Pas d’enregistrement d’IP, pas de compte, pas de suivi. Les métadonnées des fichiers (EXIF, GPS, auteur) sont supprimees automatiquement.
- Minimisation des données : Le nom et les coordonnees du lanceur d’alerte sont des champs facultatifs. Seules les données essentielles sont collectées.
- Chiffrement au repos : Toutes les descriptions de signalements, noms, coordonnees et messages sont chiffrés dans la base de données.
- Conservation configurable : Les organisations définissent leur propre durée de conservation (12, 24, 36 ou 60 mois). Les dossiers clos expirés sont supprimes automatiquement.
- Hébergement dans l’UE : Toutes les données stockées sur les serveurs Hetzner à Nuremberg, Allemagne. Aucune donnée ne quitte l’UE. Pas de fournisseurs cloud américains.
- Contrôles d’accès : Seuls les administrateurs et les référents assignes peuvent consulter les signalements. Les noms des référents ne sont jamais reveles aux lanceurs d’alerte.
- Piste d’audit : Journal en ajout seul de chaque action pour la responsabilité et le contrôle réglementaire.
- DPA disponible : Accord de traitement des données conforme à l’article 28 du RGPD disponible pour tous les clients.
Pour l’analyse de conformité article par article, consultez notre page de conformité .
Dernière mise à jour: