Délibération n° 2023-064 du 6 juillet 2023 portant abrogation de la délibération n° 2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles et adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles

JO du 21 juillet 2023

Suite à la modification de la réglementation relative à la protection des lanceurs d’alerte issue notamment de la loi n° 2022-401 du 21 mars 2022 modifiant la loi dite « Sapin 2 », ce texte adopte le nouveau référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles.
Il abroge la délibération n°2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles.
Ce référentiel s’adresse :
– aux organismes privés ou publics qui sont tenus ou décideraient de mettre en œuvre un dispositif de recueil et de gestion internes des alertes professionnelles (DAP) impliquant un traitement de données à caractère personnel, quelle que soit leur taille et qu’ils soient ou non membres d’un groupe de sociétés national ou international ;
– aux différentes entités tierces proposant des services liés à la réception, au traitement et à la conservation des alertes.
Il couvre l’ensemble des traitements susceptibles d’être mis en place en vue d’assurer la réception et le traitement des alertes professionnelles. Il s’applique :
– aux traitements de signalements encadrés par des dispositions spécifiques du droit français, tels que :
– un dispositif d’alerte interne relevant de l’article 17.II.2° de la loi Sapin 2 modifiée et permettant le recueil des faits relatifs à « l’existence de conduites ou de situations contraires au code de conduite de la société » ;
– un dispositif d’alerte interne relevant des articles 6 et suivants de la même loi et permettant (sous certaines conditions et limites) le recueil des faits tels qu’« un crime ou délit, une menace ou un préjudice pour l’intérêt général, une violation, une violation supposée ou une tentative de dissimulation d’une violation : d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement » ;
– aux dispositifs d’alertes mis en place sans contrainte règlementaire par des organismes, ou mis en œuvre pour se conformer à une obligation résultant du droit étranger, et dont le régime n’est pas expressément encadré par des règles juridiques françaises.
Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. Il est non contraignant.
Il constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).