L’importance d’une analyse d’impact pour un système d’alerte interne en entreprise
Face à la nouvelle loi protégeant les lanceurs d’alerte, les entreprises doivent adopter un canal de signalement interne pour le 17 décembre 2023, si elles comptent plus de 50 travailleurs.
Protégeant ceux qui signalent des violations du droit, cette loi englobe de multiples domaines tels que les fraudes fiscales, les marchés publics ou encore la protection des consommateurs.
Ceci implique un traitement des données à caractère personnel délicat, touchant aussi bien le lanceur d’alerte que la personne incriminée par le signalement.
Faut-il réaliser une analyse d’impact sur la protection des données (AIPD) ?
Au vu de la nature du traitement, une AIPD semble en effet incontournable selon la CNIL et AGORIA.
Le European Data Protection Board (EDPB) et l’APD énoncent quant à eux des critères, dont deux suffisent pour rendre l’AIPD obligatoire :
- Traitement de données d’une “personne vulnérable”, souvent un employé ;
- Manipulation de données sensibles, incluant les détails sur les infractions pénales.
Sur quoi doit porter l’AIPD ?
L’AIPD doit également aborder en détail le choix de l’outil de réception du signalement et le mode de gestion des enquêtes. Le choix de la plateforme ou de l’outil de signalement doit être éclairé par des considérations de sécurité, de confidentialité et de facilité d’utilisation pour les lanceurs d’alerte.
De plus, le mode de gestion des enquêtes doit être clairement défini, en incluant les procédures de collecte, de documentation et de traitement des informations reçues.
Il est essentiel d’élaborer des protocoles qui garantissent la confidentialité et la protection des données à chaque étape de la gestion des signalements, tout en respectant les droits des personnes impliquées.
En prenant en compte ces aspects dans l’AIPD, les entreprises renforceront la conformité légale de leur canal de signalement interne et renforceront la confiance de leurs employés dans le processus d’alerte, favorisant ainsi une culture d’intégrité au sein de l’organisation.
L’AIPD ne sera donc que la formalisation des questions que se posent déjà (ou devraient se poser) l’ensemble des entreprises face à cette nouvelle obligation légale.
Comme toujours, l’AIPD doit donc être un outil, et non simplement un résultat à atteindre.
Le risque des sanctions du RGPD
N’oubliez pas qu’en l’absence de conformité, les sanctions du RGPD s’appliquent.
Ces sanctions peuvent être sévères, entraînant des amendes lourdes et des dommages réputationnels irréversibles pour l’entreprise.
Our advice:
- Ne minimisez pas l’importance d’une AIPD pour l’efficacité et la légalité de votre canal de signalement interne. Les risques juridiques et financiers sont réels.
- Veillez à ce que votre AIPD détaille rigoureusement les traitements des données envisagés et évalue les risques associés.
- Tenez compte du temps nécessaire à la réalisation de cette AIPD dans la procédure d’adoption de votre canal de signalement !
Pour la sécurité de vos employés, la réputation de votre entreprise et la conformité légale, agissez sans tarder. N’hésitez pas à nous contacter !