La Commission nationale de l’informatique et des libertés (Cnil) vient d’adopter un nouveau référentiel sur le traitement des données personnelles pour la mise en œuvre d’un dispositif d’alerte professionnelle, remplaçant celui de 2019
La Cnil vient d’adopter et de publier un nouveau référentiel relatif aux traitements de données effectués dans le cadre des dispositifs d’alertes professionnelles. Celui qu’elle avait établi en 2019 (Délibération 2019-139 du 18-7-2019) est abrogé.
A noter : L’article 8 de la loi 78-17 du 6 janvier 1978 sur l’informatique et les libertés prévoit la publication par la Cnil de référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec la réglementation applicable en matière de protection de ces données.
Ce référentiel s’adresse aux organismes privés ou publics qui doivent ou décident de mettre en place un dispositif de recueil et de gestion interne des alertes professionnelles impliquant un traitement de données à caractère personnel, et aux entités tierces qui proposent un service de réception, traitement et conservation des alertes. Sont concernés les dispositifs d’alerte dans le cadre des articles 6 et suivants de la loi Sapin II (lanceur d’alerte), les alertes en cas de faits de corruption ou de trafic d’influence (Loi Sapin II, article 17) et tout autre dispositif d’alerte interne qui serait mis en place sans contrainte réglementaire ou pour se conformer à une obligation résultant du droit étranger.
Le référentiel permet d’aider ces entités à assurer la conformité de leurs pratiques avec le règlement général sur la protection des données (RGPD), avec la loi 78-17 du 6 janvier 1978 sur l’informatique et les libertés et avec l’ensemble des règles de droit du travail applicables en vertu des législations spécifiques ou générales. Il donne des indications sur les objectifs du traitement, ses bases légales, le traitement des données aux différentes étapes de l’alerte, les accédants et destinataires des informations, les durées de conservation, l’information des personnes, leurs droits, et la sécurité du dispositif.
Il est sans valeur contraignante mais les entités qui s’en écarteraient devraient justifier et documenter ce choix et les mesures prises pour garantir la conformité de leur traitement de données personnelles à la réglementation.
Délibération Cnil 2023-064 du 6-7-2023 : JO 21 – L’@ctualité en ligne, www efl.fr 27/07/2023