Canal de signalement et protection des données

·

Le canal interne de signalement doit protéger à la fois les lanceurs d'alerte, les personnes concernées et les tiers. La loi 2/2023 (loi espagnole relative à la protection des lanceurs d'alerte) fournit la base légale et des règles spécifiques, mais elle ne transforme pas le système en une archive sans limites. L'organisation doit restreindre les accès, séparer la réception de l'enquête, informer sans révéler l'identité du lanceur d'alerte, maîtriser les délais de conservation et documenter chaque communication de données.

Système interne, canal et dossier

La loi 2/2023 distingue le système interne d'information, le canal de réception et la procédure de gestion. Du point de vue de la protection des données, il convient de séparer chaque élément :

  1. Boîte/canal : reçoit le signalement.
  2. Registre restreint : conserve les métadonnées et le statut.
  3. Enquête : dossier avec accès selon le besoin d'en connaître.
  4. Mesures ultérieures : disciplinaires, juridiques ou d'amélioration.
  5. Preuves bloquées : conservées lorsque des responsabilités sont en jeu.

Tout ce qui est reçu ne doit pas nécessairement circuler dans le dossier ni être conservé pendant le même délai.

Responsable et gouvernance

L'entité assujettie est généralement responsable du traitement. L'organe d'administration met en place le système et désigne le responsable du système dans les termes prévus par la loi.

Les rôles suivants doivent être clairement définis :

FonctionResponsabilité
Organe de gouvernancePolitique, ressources et indépendance
Responsable du systèmeGestion diligente et accès contrôlé
InstructeurEnquête sur le dossier assigné
DPOConseil et supervision indépendants
Informatique/sécuritéPlateforme, accès et incidents
PrestataireOpère pour le compte de l'entité en tant que sous-traitant

Le DPO ne doit pas automatiquement être l'instructeur de tous les dossiers : cela pourrait compromettre son indépendance ou sa disponibilité.

Base juridique et données sensibles

L'article 30 de la loi 2/2023 régit le traitement des données personnelles au sein du système interne d'information. Selon le sujet assujetti et le contexte, la base juridique se rattache au respect d'une obligation légale ou à l'intérêt public. Le consentement ne doit jamais être présenté comme le fondement d'un canal à caractère obligatoire.

Les signalements peuvent contenir des données de santé, une appartenance syndicale, l'orientation, des données pénales ou des informations intimes. Il convient d'éviter de demander des catégories de données inutiles et d'appliquer une protection renforcée à celles qui s'avèrent inévitables.

Les données manifestement non pertinentes pour le traitement d'un signalement ne doivent pas être conservées. Si elles parviennent de la propre initiative du lanceur d'alerte, elles doivent être évaluées et supprimées lorsqu'elles ne sont pas nécessaires.

Information et transparence

La politique du canal doit expliquer, au minimum :

L'information doit être claire et accessible. Il ne faut pas promettre un anonymat absolu si la configuration technique ou l'enquête ne peuvent pas le garantir.

Confidentialité de l'identité

L'accès à l'identité du lanceur d'alerte est limité aux personnes autorisées. Elle n'est pas communiquée à la personne concernée dans le cadre du droit d'accès. Toute divulgation légalement nécessaire doit se limiter au strict minimum et être documentée.

Les notifications, les agendas et les noms de fichiers peuvent révéler indirectement l'identité. La confidentialité doit aussi couvrir les métadonnées, la voix, le style rédactionnel, le poste et le contexte.

Accès minimaux

La direction ne doit pas disposer d'un accès général du fait de sa position hiérarchique. Seules les personnes prévues par la loi et par la procédure doivent y accéder, selon le besoin d'en connaître.

Réception et accusé de réception

Le canal doit permettre des signalements écrits ou verbaux dans les conditions applicables. Si un signalement est enregistré, le lanceur d'alerte doit en être informé au préalable et l'enregistrement doit être protégé. Il peut également être documenté par une transcription complète et fidèle, en offrant au lanceur d'alerte la possibilité de la vérifier, de la rectifier et de l'accepter, comme le prévoit la loi.

L'accusé de réception et les communications ultérieures ne doivent pas transiter par courrier électronique ordinaire. Il convient d'utiliser une boîte sécurisée ou un identifiant de dossier.

Recevabilité et enquête

L'évaluation initiale détermine le périmètre, la pertinence, les éventuels conflits d'intérêts, l'urgence et les mesures de protection nécessaires. Si le signalement est déclaré irrecevable, seule la preuve nécessaire à cette décision est conservée, pendant le délai applicable.

Pendant l'enquête :

La personne visée par l'enquête reçoit l'information au moment et sous la forme qui ne compromettent pas l'enquête, dans le respect de la loi et de ses droits.

Conservation

La loi établit des règles spécifiques pour les données du système. L'information ne peut être conservée dans le canal que le temps strictement nécessaire pour décider d'ouvrir ou non une enquête, dans la limite légale applicable ; elle doit ensuite être supprimée du canal, sans que cela empêche de la conserver dans le dossier d'enquête lorsque cela est nécessaire.

Le régime de conservation doit distinguer, au minimum :

Il n'existe ni délai unique ni conservation indéfinie. Avant de publier des durées précises, il convient de vérifier l'article en vigueur et la procédure interne.

Droits

Le droit d'accès ne permet pas de connaître l'identité du lanceur d'alerte. Les droits de rectification ou d'effacement peuvent être limités par des obligations légales, par les besoins de l'enquête ou pour la défense de droits. Chaque demande doit être analysée et faire l'objet d'une réponse motivée.

La plateforme doit permettre de localiser les données concernées sans remettre l'intégralité du dossier relatif à des tiers.

Prestataires

Si une plateforme opère pour le compte de l'entreprise, elle doit disposer d'un contrat conforme à l'article 28 du RGPD. Il convient notamment de vérifier :

La plateforme ne remplace ni la procédure ni le responsable du système.

Groupes de sociétés

La loi permet certaines formules partagées, mais chaque entité du groupe doit définir sa propre responsabilité, ses propres accès et son propre traitement. Un canal de groupe ne justifie pas que la société mère accède sans discernement aux dossiers de ses filiales.

Des règles claires doivent exister pour l'attribution des dossiers, la gestion des conflits, les transferts internes et l'utilisation d'équipes communes.

Sécurité et incidents

Parmi les menaces habituelles figurent :

Le plan de gestion des violations doit tenir compte du risque particulier de représailles. Il doit préserver les preuves, révoquer les accès, évaluer les personnes concernées et statuer sur la notification.

Plan de mise en œuvre

1. Gouvernance

Politique, responsable du système, DPO, gestion des conflits et ressources.

2. Conception

Canaux, accès, anonymat, procédure, conservation et droits.

3. Prestataire

Due diligence, contrat et configuration sécurisée.

4. Tests

Signalement anonyme, gestion des conflits, contrôle des accès, enquête, clôture, exportation et suppression.

5. Exploitation

Formation, indicateurs, audit et révision périodique.

Indicateurs prudents

Il ne faut pas publier de statistiques susceptibles de permettre la réidentification dans les petites organisations.

Erreurs fréquentes

  1. Utiliser une adresse e-mail partagée.
  2. Donner accès à toute la direction.
  3. Demander le consentement comme base du canal.
  4. Promettre un anonymat qui n'est pas garanti.
  5. Tout conserver dans la boîte sans faire le tri.
  6. Révéler l'identité par le biais des métadonnées.
  7. Confondre le canal avec le dossier.
  8. Recourir à une plateforme sans procédure.
  9. Ne pas gérer les conflits d'intérêts.
  10. Ignorer les droits de la personne concernée.

Checklist

Questions fréquentes

Le signalement peut-il être anonyme ?

Oui, le système doit permettre des signalements anonymes dans les termes prévus par la loi. La plateforme et la procédure doivent le protéger techniquement.

La personne mise en cause peut-elle connaître l'identité du lanceur d'alerte ?

Le droit d'accès n'inclut pas la révélation de l'identité du lanceur d'alerte.

Combien de temps l'information est-elle conservée ?

Cela dépend de la phase et de la finalité. Le canal et l'enquête doivent être distingués, en appliquant les limites spécifiques fixées par la loi et les responsabilités propres au dossier.

Un tiers peut-il le gérer ?

Oui, avec un contrat, des garanties, sans que cela ne déplace la responsabilité de l'entité.

Sources officielles consultées

Summum Consultoría peut examiner la gouvernance, la confidentialité, le prestataire et la procédure du canal sans se substituer aux décisions réservées au responsable du système.