Le canal interne de signalement doit protéger à la fois les lanceurs d'alerte, les personnes concernées et les tiers. La loi 2/2023 (loi espagnole relative à la protection des lanceurs d'alerte) fournit la base légale et des règles spécifiques, mais elle ne transforme pas le système en une archive sans limites. L'organisation doit restreindre les accès, séparer la réception de l'enquête, informer sans révéler l'identité du lanceur d'alerte, maîtriser les délais de conservation et documenter chaque communication de données.
Système interne, canal et dossier
La loi 2/2023 distingue le système interne d'information, le canal de réception et la procédure de gestion. Du point de vue de la protection des données, il convient de séparer chaque élément :
- Boîte/canal : reçoit le signalement.
- Registre restreint : conserve les métadonnées et le statut.
- Enquête : dossier avec accès selon le besoin d'en connaître.
- Mesures ultérieures : disciplinaires, juridiques ou d'amélioration.
- Preuves bloquées : conservées lorsque des responsabilités sont en jeu.
Tout ce qui est reçu ne doit pas nécessairement circuler dans le dossier ni être conservé pendant le même délai.
Responsable et gouvernance
L'entité assujettie est généralement responsable du traitement. L'organe d'administration met en place le système et désigne le responsable du système dans les termes prévus par la loi.
Les rôles suivants doivent être clairement définis :
| Fonction | Responsabilité |
|---|---|
| Organe de gouvernance | Politique, ressources et indépendance |
| Responsable du système | Gestion diligente et accès contrôlé |
| Instructeur | Enquête sur le dossier assigné |
| DPO | Conseil et supervision indépendants |
| Informatique/sécurité | Plateforme, accès et incidents |
| Prestataire | Opère pour le compte de l'entité en tant que sous-traitant |
Le DPO ne doit pas automatiquement être l'instructeur de tous les dossiers : cela pourrait compromettre son indépendance ou sa disponibilité.
Base juridique et données sensibles
L'article 30 de la loi 2/2023 régit le traitement des données personnelles au sein du système interne d'information. Selon le sujet assujetti et le contexte, la base juridique se rattache au respect d'une obligation légale ou à l'intérêt public. Le consentement ne doit jamais être présenté comme le fondement d'un canal à caractère obligatoire.
Les signalements peuvent contenir des données de santé, une appartenance syndicale, l'orientation, des données pénales ou des informations intimes. Il convient d'éviter de demander des catégories de données inutiles et d'appliquer une protection renforcée à celles qui s'avèrent inévitables.
Les données manifestement non pertinentes pour le traitement d'un signalement ne doivent pas être conservées. Si elles parviennent de la propre initiative du lanceur d'alerte, elles doivent être évaluées et supprimées lorsqu'elles ne sont pas nécessaires.
Information et transparence
La politique du canal doit expliquer, au minimum :
- Identité du responsable du traitement.
- Finalités et base juridique.
- Personnes pouvant signaler.
- Canaux interne et externe disponibles.
- Confidentialité et anonymat.
- Destinataires et prestataires.
- Délais de conservation.
- Droits et leurs limites.
- Coordonnées du DPO.
- Protection contre les représailles.
L'information doit être claire et accessible. Il ne faut pas promettre un anonymat absolu si la configuration technique ou l'enquête ne peuvent pas le garantir.
Confidentialité de l'identité
L'accès à l'identité du lanceur d'alerte est limité aux personnes autorisées. Elle n'est pas communiquée à la personne concernée dans le cadre du droit d'accès. Toute divulgation légalement nécessaire doit se limiter au strict minimum et être documentée.
Les notifications, les agendas et les noms de fichiers peuvent révéler indirectement l'identité. La confidentialité doit aussi couvrir les métadonnées, la voix, le style rédactionnel, le poste et le contexte.
Accès minimaux
- Comptes individuels et authentification multifacteur (MFA).
- Profils distincts entre administration et enquête.
- Interdiction des comptes partagés.
- Journaux de lecture, téléchargement et modification.
- Accès temporaire par dossier.
- Révision trimestrielle des habilitations.
- Chiffrement et copies restreintes.
- Désactivation immédiate lorsque l'accès n'est plus nécessaire.
La direction ne doit pas disposer d'un accès général du fait de sa position hiérarchique. Seules les personnes prévues par la loi et par la procédure doivent y accéder, selon le besoin d'en connaître.
Réception et accusé de réception
Le canal doit permettre des signalements écrits ou verbaux dans les conditions applicables. Si un signalement est enregistré, le lanceur d'alerte doit en être informé au préalable et l'enregistrement doit être protégé. Il peut également être documenté par une transcription complète et fidèle, en offrant au lanceur d'alerte la possibilité de la vérifier, de la rectifier et de l'accepter, comme le prévoit la loi.
L'accusé de réception et les communications ultérieures ne doivent pas transiter par courrier électronique ordinaire. Il convient d'utiliser une boîte sécurisée ou un identifiant de dossier.
Recevabilité et enquête
L'évaluation initiale détermine le périmètre, la pertinence, les éventuels conflits d'intérêts, l'urgence et les mesures de protection nécessaires. Si le signalement est déclaré irrecevable, seule la preuve nécessaire à cette décision est conservée, pendant le délai applicable.
Pendant l'enquête :
- L'objet de l'enquête est défini.
- L'information est limitée aux faits pertinents.
- La présomption d'innocence est préservée.
- Le droit de la défense est protégé.
- La diffusion interne du dossier est évitée.
- La source et la chaîne de conservation des preuves sont enregistrées.
- La copie et le téléchargement de la documentation sont contrôlés.
La personne visée par l'enquête reçoit l'information au moment et sous la forme qui ne compromettent pas l'enquête, dans le respect de la loi et de ses droits.
Conservation
La loi établit des règles spécifiques pour les données du système. L'information ne peut être conservée dans le canal que le temps strictement nécessaire pour décider d'ouvrir ou non une enquête, dans la limite légale applicable ; elle doit ensuite être supprimée du canal, sans que cela empêche de la conserver dans le dossier d'enquête lorsque cela est nécessaire.
Le régime de conservation doit distinguer, au minimum :
- Signalements non recevables.
- Signalements recevables et transmis.
- Preuves du fonctionnement du système.
- Enquêtes.
- Mesures disciplinaires ou judiciaires.
- Données bloquées.
Il n'existe ni délai unique ni conservation indéfinie. Avant de publier des durées précises, il convient de vérifier l'article en vigueur et la procédure interne.
Droits
Le droit d'accès ne permet pas de connaître l'identité du lanceur d'alerte. Les droits de rectification ou d'effacement peuvent être limités par des obligations légales, par les besoins de l'enquête ou pour la défense de droits. Chaque demande doit être analysée et faire l'objet d'une réponse motivée.
La plateforme doit permettre de localiser les données concernées sans remettre l'intégralité du dossier relatif à des tiers.
Prestataires
Si une plateforme opère pour le compte de l'entreprise, elle doit disposer d'un contrat conforme à l'article 28 du RGPD. Il convient notamment de vérifier :
- Hébergement et support.
- Sous-traitants ultérieurs.
- Chiffrement et gestion des clés.
- Journaux et administrateurs.
- Anonymat technique.
- Exportation des données.
- Suppression et restitution des données à la fin du contrat.
- Gestion des incidents.
- Transferts internationaux de données.
La plateforme ne remplace ni la procédure ni le responsable du système.
Groupes de sociétés
La loi permet certaines formules partagées, mais chaque entité du groupe doit définir sa propre responsabilité, ses propres accès et son propre traitement. Un canal de groupe ne justifie pas que la société mère accède sans discernement aux dossiers de ses filiales.
Des règles claires doivent exister pour l'attribution des dossiers, la gestion des conflits, les transferts internes et l'utilisation d'équipes communes.
Sécurité et incidents
Parmi les menaces habituelles figurent :
- Accès indu de la personne mise en cause.
- Notifications révélant l'identité du lanceur d'alerte.
- Téléchargement local d'informations non chiffrées.
- Prestataires dont les administrateurs disposent de permissions excessives.
- Liens de suivi prévisibles.
- Enregistrements sans contrôle adéquat.
- Rançongiciel ou suppression malveillante.
Le plan de gestion des violations doit tenir compte du risque particulier de représailles. Il doit préserver les preuves, révoquer les accès, évaluer les personnes concernées et statuer sur la notification.
Plan de mise en œuvre
1. Gouvernance
Politique, responsable du système, DPO, gestion des conflits et ressources.
2. Conception
Canaux, accès, anonymat, procédure, conservation et droits.
3. Prestataire
Due diligence, contrat et configuration sécurisée.
4. Tests
Signalement anonyme, gestion des conflits, contrôle des accès, enquête, clôture, exportation et suppression.
5. Exploitation
Formation, indicateurs, audit et révision périodique.
Indicateurs prudents
- Délais d'accusé de réception et de traitement.
- Dossiers par statut.
- Accès non justifiés.
- Conflits réassignés.
- Données non pertinentes supprimées.
- Incidents de sécurité.
- Mesures adoptées et améliorations mises en œuvre.
Il ne faut pas publier de statistiques susceptibles de permettre la réidentification dans les petites organisations.
Erreurs fréquentes
- Utiliser une adresse e-mail partagée.
- Donner accès à toute la direction.
- Demander le consentement comme base du canal.
- Promettre un anonymat qui n'est pas garanti.
- Tout conserver dans la boîte sans faire le tri.
- Révéler l'identité par le biais des métadonnées.
- Confondre le canal avec le dossier.
- Recourir à une plateforme sans procédure.
- Ne pas gérer les conflits d'intérêts.
- Ignorer les droits de la personne concernée.
Checklist
- Responsable et rôles définis.
- Politique et procédure approuvées.
- Information claire et accessible.
- Confidentialité et anonymat testés.
- Accès minimaux avec journalisation.
- Canal séparé du dossier.
- Conservation par catégorie.
- Droits gérés sans révéler le lanceur d'alerte.
- Prestataire et sous-traitants évalués.
- Violations, conflits et continuité testés.
Questions fréquentes
Le signalement peut-il être anonyme ?
Oui, le système doit permettre des signalements anonymes dans les termes prévus par la loi. La plateforme et la procédure doivent le protéger techniquement.
La personne mise en cause peut-elle connaître l'identité du lanceur d'alerte ?
Le droit d'accès n'inclut pas la révélation de l'identité du lanceur d'alerte.
Combien de temps l'information est-elle conservée ?
Cela dépend de la phase et de la finalité. Le canal et l'enquête doivent être distingués, en appliquant les limites spécifiques fixées par la loi et les responsabilités propres au dossier.
Un tiers peut-il le gérer ?
Oui, avec un contrat, des garanties, sans que cela ne déplace la responsabilité de l'entité.
Sources officielles consultées
- Loi 2/2023.
- AEPD (autorité espagnole de protection des données) : rapport juridique 0054/2023.
- AEPD (autorité espagnole de protection des données) : procédure de gestion des signalements.
- RGPD.
Summum Consultoría peut examiner la gouvernance, la confidentialité, le prestataire et la procédure du canal sans se substituer aux décisions réservées au responsable du système.