Quel rôle pour les DPO dans la protection des lanceurs d’alerte ?

Les délégués à la protection des données ont un rôle important à jouer dans la protection des lanceurs d’alerte.

Même si les travaux parlementaires mettent en doute qu’ils puissent endosser le rôle de gestionnaire de signalement, ils devront donner leur avis sur la manière dont le canal est mis en place.

Les DPO devront donc être attentifs à cette nouvelle législation, qui a de nombreux impacts sur la protection des données à caractère personnel, qu’il s’agisse de celles du lanceur d’alerte ou de celles de la personne mise en cause.

Quand le DPO doit-il être consulté ?

L’avis du DPO est nécessaire concernant :

• La procédure à mettre en place ; celle-ci devrait prévoir :
  • L’implication du DPO lors de l’exercice des droits d’information/accès/rectification,
  • Lorsque c’est possible lors de retour d’information,

• Le choix de la plateforme de signalement qui :
  • Permet le cas échéant l’anonymat,
  • Garantit la confidentialité de l’identité de l’auteur et des personnes mentionnées,
  • Empêche l’accès par des personnes non autorisées.

Comment le DPO doit-il être impliqué dans la mise en place du canal de signalement interne ?

Parmi les missions du DPO, figure le contrôle du respect du RGPD. Il devrait donc être intégré au système d’alerte interne dans les matières qui le concernent.

Il doit notamment :

• Rédiger une politique de protection des données de l’auteur du signalement ainsi que de la personne concernée par le signalement (elle doit être disponible à l’entrée du canal de signalement interne) ;
• Rédiger et/ou revoir les contrats de sous-traitance (plateforme de signalement, gestionnaire de signalement, experts externes) ;
• Adapter le registre des traitements ;
• Réaliser une analyse d’impact, le cas échéant ou documenter le fait qu’il n’est pas nécessaire d’en réaliser une.