Que faut-il savoir sur les procédures de lancement d’alerte?
Les procédures de lancement d’alerte fournissent des filières sûres permettant au personnel ou aux autres informateurs de signaler les fraudes, corruptions et autres manquements graves survenus au sein des organisations. Dans le cadre de procédures de ce type, le traitement de données à caractère personnel (également appelées «informations à caractère personnel») est nécessaire; par exemple, pour les informations concernant les personnes soupçonnées de manquements et celles concernant les informateurs et/ou les parties tierces, telles que les témoins. Les institutions et organes de l’Union européenne sont tenus de disposer de procédures de lancement d’alerte claires. Cette obligation découle du règlement de l’Union fixant le statut des fonctionnaires, en vertu duquel tout fonctionnaire ayant connaissance d’une activité illégale éventuelle est tenu d’en faire immédiatement le signalement.
Quelles sont les principaux enjeux en matière de protection des données?
Confidentialité — les informations concernant le dénonciateur et la personne mise en cause doivent être traitées avec la plus grande confidentialité. Il s’agit également d’un élément important pour encourager le personnel à signaler tout manquement.
Qualité des données — il importe de ne pas traiter plus de données à caractère personnel que nécessaire. Comment? En se contentant, d’emblée, de ne collecter que les informations pertinentes et strictement nécessaires. Cela signifie, en pratique, qu’il y a lieu de procéder à une vérification initiale des informations signalées et de conserver uniquement les données pertinentes au cas traité.
Droit à l’information — La publication d’une déclaration de confidentialité générale sur le site web de l’organisation n’est pas suffisante; les personnes concernées doivent être informées dès que possible sur la manière dont leurs données à caractère personnel seront traitées. Les informations à caractère personnel contenues dans un rapport de lancement d’alerte peuvent concerner les dénonciateurs, la personne soumise à enquête, les témoins ou les autres personnes mentionnées dans l’affaire. Toutefois, le fait d’informer à un stade précoce la personne mise en cause est susceptible de compromettre l’enquête. Dans ce type de cas, il peut être nécessaire de différer le partage de certaines informations avec la personne mise en cause. Le report de l’information doit être décidé au cas par cas et toute restriction doit être justifiée.
Droit d’accès — il est nécessaire d’assurer un équilibre entre tous les intérêts en jeu dans le cadre d’une demande de ce type, y compris ceux du dénonciateur et de la/des personne(s) mise(s) en cause.
Délais de conservation — les rapports n’ayant pas abouti à l’ouverture d’une enquête ne doivent pas être conservés aussi longtemps que ceux ayant entraîné l’ouverture d’une enquête.
Sécurité des données — vu le caractère sensible des informations traitées et les éventuelles conséquences néfastes liées à la divulgation ou à la diffusion non autorisée d’informations pour le dénonciateur comme pour les personnes mises en cause, il convient d’accorder une attention particulière aux mesures techniques et organisationnelles nécessaires afin d’atténuer les risques et de garantir la sécurité des données.
Informations complémentaires
La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire:
https://edps.europa.eu/data-protection/our-work/subjects/whistleblowing_en