La transposition en France de la Directive européenne 2019/1937 du 23 octobre 2019 sur la protection des lanceurs d’alerte par la loi n° 2022-401 du 21 mars 2022 dite « Waserman », ainsi que par son décret d’application n° 2022-1284 du 3 octobre 2022, renforce les garanties minimales au profit des lanceurs d’alerte et en élargit la notion.
En conséquence, la Commission nationale de l’informatique et des libertés (CNIL) met à jour son référentiel visant à aider les entreprises à mettre en place un dispositif d’alertes professionnelles (DPA).
Ce nouveau référentiel de la CNIL conserve la même logique que le précédent et couvre l’ensemble des dispositifs d’alerte, en se limitant toutefois aux seuls aspects liés à la protection des données.
Les principales modifications du référentiel portent sur :
- l’ajout de nouvelles finalités de collecte de données personnelles
- l’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de celles-ci, mais également des suites réservées à sa démarche
- de nouvelles possibilités d’externaliser la gestion des alertes internes vers des organismes tiers
- de nouvelles précisions relatives aux durées de conservation des données
- la mise à jour du tableau des mesures de sécurité à mettre en place suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril 2023
Cette mise à jour est accompagnée d’une FAQ identifiant clairement les modifications pratiques consécutives à cette transposition normative.