Ce n'est pas la première fois que la CNIL délègue. Déjà avec le CIL, c'était un moyen de mettre un peu de CNIL à l'intérieur des entreprises. Cette fois-ci, la CNIL s'invite avec un principe : "La dénonciation !".

Délation, subtilité, plus d'efficacité, manque de moyens : Que cache cette mise en service de « Lanceurs d'alerte" ?

Deux sentiments s’opposent avec le nouveau service de « lanceurs d’alerte » de la CNIL.

Le premier sentiment est celui lié à une nécessité de faire respecter la loi pour tous et que si certains l’oublient, le RGPD est avant tout une loi pour nous protéger. Protéger nos données personnelles c'est protéger la vie de nos conjoints(es), de nos enfants, nos parents, nos amis, notre employeur, nos salariés, nos collègues…

Alors pourquoi pas un service de « lanceurs d’alerte » permettant de renforcer celui de la « plainte » qui existait déjà.  Ce dernier existait surtout pour faire valoir un cas en lien avec une situation personnelle, strictement individuelle. Le lanceur d’alerte a vocation à être plus ouvert.

Le deuxième sentiment est que tout manquement au RGPD, n’est pas seulement le fait d’une mauvaise intention et fait souvent place à une vérité de petites entreprises qui ont du mal à gérer le quotidien et donc ont du mal à « organiser » toute la mise en conformité autour du RGPD. Je le vois régulièrement dans les entreprises ou structures pour lesquelles j’interviens en tant que consultant RGPD ou DPO…

Rappel sur le dispositif mis en place :

Rappelons que ce dispositif de « lanceurs d’alerte » est réservé aux personnes physiques qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi, des informations portant sur les données personnelles, et plus particulièrement :

  • une violation du droit de l'Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD) ;
  • un crime ;
  • un délit ;
  • une menace ou un préjudice pour l'intérêt général ;
  • une autre violation ou une tentative de dissimulation d'une violation :
    • d'un engagement international régulièrement ratifié ou approuvé par la France ;
    • d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement.

Lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles, le « lanceur d’alerte » doit en avoir eu personnellement connaissance.

Le « lanceur d’alerte » se voit protégé sur le plan civil est pénal. Plusieurs mesures de protection existent de « non-représailles », notamment disciplinaires.

Pour nos amis juristes, c’est le décret N°2022-1284 du 3 octobre 2022 qui encadre principalement ce texte règlementaire.

L'avis de notre expert :

Alors pour éviter de jouer « la Suisse », il faut bien à un moment se positionner. Dans le principe, surtout avec un regard bienveillant pour les victimes d’abus sur le non-respect de la règlementation sur la protection des données à caractère personnel, on ne peut que cautionner ce genre d’outil. En revanche, l’histoire a montré toutes les dérives liées à l’usage d’outil de délation, car c’est bien de cela dont on parle. Espérons simplement que la CNIL aura la marge de liberté souhaitable pour accorder toute la prudence nécessaire à ce genre de démarche et espérons que ce seront les bonnes cibles qui soient atteintes.