Sur la lancée de la loi Sapin II, la Commission nationale de l'informatique et des libertés accroît la protection des lanceurs d’alerte. Ils sont désormais couverts en fonction de la nature des manquements qu’ils signalent.
Lanceur d’alerte : la Cnil veille au grain
La loi Sapin II avait porté une première pierre à l’édifice en définissant et en reconnaissant le statut de lanceur d’alerte en entreprise. La Cnil le renforce en publiant au Journal officiel une délibération destinée à élargir le champ d’application du dispositif. Désormais, n’importe quelle alerte professionnelle permettant « le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi » est couverte.
Le sort du salarié qui dénonce son entreprise
Avant cette délibération, seul un certain nombre de dispositifs d’alerte spécifiques et propres à des secteurs légalement prévus donnaient la possibilité au salarié de signaler des manquements aux règles internes tout en étant protégé en cas de poursuites par leur employeur. La révélation d’un crime ou un délit, d’une violation ou d’une menace grave permettaient de le protéger. Dorénavant, le sort du salarié qui dénonce son entreprise ne dépend plus d'une liste exhaustive mais de la nature des manquements signalés. Cela renforce nettement la protection juridique du lanceur d’alerte. Toutefois, les faits couverts par le secret médical, de défense nationale et par celui des relations entre un avocat et son client restent exclus.
Outre les salariés, un membre du personnel, un collaborateur extérieur ou occasionnel de l’entreprise peuvent désormais être lanceurs d’alerte et bénéficier du dispositif de protection. La Cnil rappelle que s’il est toujours impératif d’identifier la personne à protéger, « les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne ». Le régulateur garantit donc la confidentialité de son identité.
Un cadre unique
Si la Cnil semble vouloir réguler les dispositifs d’alerte, elle a d’abord refusé leur autorisation en les comparant à des « systèmes organisés de délation professionnelle ». Dans un premier temps, elle a suggéré de les encadrer simplement en appliquant les articles du code du travail, maus ceux-ci se sont révélés insuffisants. En conséquence, le gardien des données personnelles a rédigé dès 2005 une série de préconisations afin d’analyser les cas un par un. Le 8 décembre, la Cnil publiait une autorisation (qui porte le nom de « AU-004 ») posant un cadre unique pour traiter et protéger les données personnelles fournies par le lanceur d’alerte, dans le but de simplifier la procédure. Le texte définit des dispositifs d’alerte spécifiques respectant la loi et par lesquels les salariés peuvent signaler des manquements aux règles internes de leur entreprise sans craindre des représailles. L’actualisation du 25 août dernier a tout simplement élargi davantage la mise en place de ces dispositifs d’alerte.
La récente modification de l’autorisation unique n’est pas la première. En 2010, la Cnil est déjà intervenue pour y ajouter la lutte contre les pratiques anticoncurrentielles. De plus, elle a précisé que le responsable du traitement des données fournies doit contrôler qu’elles répondent à un intérêt légitime, comme prévu dans l’article 7 de la loi informatique et libertés . Par une délibération de janvier 2014, elle en rajoute encore en y intégrant la lutte contre les discriminations et le harcèlement au travail, la santé, l’hygiène et la sécurité et la protection de l’environnement.
Tout laisse supposer que la Cnil actualisera de nouveau son autorisation 004. En effet, à compter du 1er janvier 2018, les entreprises de plus de cinquante salariés devront mettre en place un dispositif d’alerte professionnelle. Faisant à l’origine écho aux affaires des Panama Papers et du Luxleaks, le statut de lanceur d’alerte devient de plus en plus concret.
Marine Calvo
