Blog Données personnelles
Publication par la CNIL du référentiel relatif aux dispositifs d’alertes professionnelles
A la suite d’une consultation publique, la Commission nationale Informatique et Libertés (CNIL) a adopté le 18 juillet 2019 le référentiel relatif aux dispositifs d’alertes professionnelles (DAP) qui remplace l’autorisation unique AU-004.
Ce référentiel permet d’actualiser et de consolider la doctrine de la CNIL sur les alertes professionnelles, en intégrant les évolutions liées à l’entrée en application du RGPD et à la loi Informatique et Libertés modifiée, ainsi que certaines évolutions introduites par la directive européenne relative à la protection des lanceurs d’alerte du 7 octobre 2019, dont l’application effective est prévue à partir de 2021.
Parmi les évolutions notables du référentiel figurent :
- l’encadrement des dispositifs résultant à la fois d’une obligation légale (loi dite « devoir de vigilance », loi « Sapin II », etc.), et ceux mis en place à la seule initiative du responsable de traitement (notamment les alertes dites « éthiques ») ;
- l’instauration d’un cadre unique pour l’ensemble des dispositifs d’alerte ;
- l’ajout de précisions sur les durées de conservation des données.
La CNIL rappelle également que la mise en place d’un tel dispositif vient en complément des autres possibilités de remontées d’alertes (comme la voie hiérarchique) et ne doit avoir ni pour objet ni pour effet d’exonérer l’employeur de ses obligations (telle que celle de prévenir les risques psychosociaux), et du respect de la règlementation qui lui est applicable (droits et libertés fondamentales, code du travail, etc.).
Enfin, la CNIL a complété ce référentiel par une foire aux questions permettant de répondre à certaines questions pratiques régulièrement posées sur ce sujet.