Le 6 juillet dernier, la CNIL a mis à jour son référentiel « alertes professionnelles », à la suite de la transposition par la France de la directive européenne sur la protection des personnes qui signalent des violations du droit de l’Union.
Quels sont les principaux changements :
- un élargissement des catégories des personnes auxquelles l’accès au dispositif d’alertes professionnelles doit être garanti par l’organisme mettant en place un tel dispositif ;
- un élargissement des finalités du traitement des données collectées ;
- la description des différentes phases de traitement de l’alerte ;
- la durée de conservation des alertes (concernant notamment la liste des finalités pouvant justifier la conservation des données d’alerte) ;
- le traitement des signalements anonymes (notion propre à la loi Sapin 2 et qui doit être distinguée de celle d’« anonymisation des données » au sens du RGPD);
- la possibilité de confier la gestion de certaines opérations de traitement à des tiers (avec une distinction entre l’« externalisation » et la « mise en commun des ressources »).
La CNIL rappelle que ce référentiel n’a pas de valeur contraignante et que, par conséquent, les organismes peuvent s’en écarter. Toutefois, « il leur appartient (…) de justifier et de documenter ce besoin et les mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel. »
Source : ici