Canal de signalement et protection des données : comment respecter le RGPD
Mettre en place un canal de signalement n’est plus optionnel pour une grande partie des PME espagnoles : la Ley 2/2023, qui transpose la directive européenne sur les lanceurs d’alerte (whistleblowing, Directiva UE 2019/1937), oblige les entreprises de 50 salariés ou plus à disposer d’un système interne de signalement. Mais respecter la loi sur les lanceurs d’alerte n’est que la moitié du travail. L’autre moitié, celle qui reste souvent en suspens, c’est la protection des données à caractère personnel : un canal de signalement traite des informations particulièrement sensibles (identités, accusations, preuves) et, s’il ne se conforme pas au RGPD, il expose l’entreprise à des sanctions tant de l’Autorité indépendante de protection du lanceur d’alerte (Autoridad Independiente de Protección del Informante) que de l’Agence espagnole de protection des données (Agencia Española de Protección de Datos, AEPD). Voyons comment articuler ces deux obligations sans prise de tête.
Aspects fondamentaux de la confidentialité dans un canal de signalement
Un canal de signalement traite des données personnelles dès la première minute : celles du lanceur d’alerte, celles de la personne mise en cause et celles d’éventuels témoins. Avant de le mettre en service, il convient d’avoir en tête plusieurs principes de confidentialité que le RGPD lui-même et la Ley 2/2023 exigent de manière expresse.
Informer correctement les personnes de l’entreprise
La transparence est le fondement de tout traitement de données. L’ensemble du personnel doit savoir que le canal existe, à quoi il sert, qui gère l’information et quels droits chacun détient sur ses données. Cette information préalable —le classique devoir d’information de l’article 13 du RGPD— n’est pas une simple formalité : elle génère de la confiance dans le système et encourage les personnes à l’utiliser lorsqu’elles détectent une irrégularité. Un canal que personne ne connaît, ou dont on se méfie, est un canal mort.
En pratique, cela se traduit par une politique d’utilisation du canal accessible, une clause d’information dans le formulaire de signalement lui-même et, ce qui est vivement recommandé, une communication interne lors du lancement du système.
Équilibrer la vie privée de la personne mise en cause et les droits du lanceur d’alerte
C’est là l’un des points les plus délicats. D’un côté, il faut protéger l’identité du lanceur d’alerte avec des garanties renforcées de confidentialité, car c’est précisément la peur des représailles que la loi cherche à neutraliser. De l’autre, la personne mise en cause conserve ses droits : présomption d’innocence, droit à la défense et, au moment procéduralement opportun, accès à l’information qui la concerne.
L’essentiel est que le droit à l’information de la personne mise en cause ne puisse pas être utilisé pour révéler l’identité du lanceur d’alerte. L’entreprise doit concevoir la procédure de façon à ce que ces deux droits coexistent, en différant la communication à la personne mise en cause lorsqu’il existe un risque réel que l’enquête soit compromise.
Qui peut accéder aux données
L’accès à l’information du canal doit être strictement limité. Seules devraient pouvoir la consulter :
- Le responsable du système interne de signalement, une fonction que la Ley 2/2023 impose de désigner.
- Le personnel des Ressources humaines ou de la conformité qui participe à l’instruction du dossier.
- Le conseil juridique interne ou externe, lorsque le signalement l’exige.
- Le Délégué à la protection des données (DPD), si l’entreprise en a désigné un.
- Les autorités judiciaires, policières ou administratives, uniquement lorsque la loi l’exige.
Tout autre accès constitue une faille de sécurité. C’est pourquoi il est si important que le canal enregistre qui consulte quoi et quand.
Le rôle du Délégué à la protection des données
Si votre entreprise est tenue de nommer un DPD —ou si vous en avez désigné un volontairement— sa participation à la conception et à la supervision du canal est vivement recommandée. Le DPD veille à ce que le traitement respecte le RGPD, conseille sur les durées de conservation, examine l’analyse d’impact (EIPD) lorsqu’il y a lieu et agit comme point de contact avec l’AEPD. Dans les canaux qui traitent des données sensibles de manière systématique, disposer de cette fonction réduit énormément le risque d’erreurs.
Principes de protection des données dans la gestion des signalements
Au-delà de la mise en service, le quotidien du canal doit respecter les principes du RGPD dans chaque dossier. Voici les quatre qui pèsent le plus dans la gestion des signalements.
Limitation de la finalité
Les données recueillies via le canal ne peuvent être utilisées que pour enquêter sur les faits signalés. La Ley 2/2023 circonscrit l’objet du canal aux infractions au droit de l’Union et aux actions ou omissions susceptibles de constituer une infraction pénale ou administrative grave ou très grave. Ce n’est pas une boîte à suggestions ni un canal pour les conflits de travail ordinaires, et les données ne peuvent pas être réutilisées à d’autres fins étrangères à l’enquête.
Anonymat du lanceur d’alerte
L’une des avancées de la Ley 2/2023 est qu’elle admet expressément les signalements anonymes : le système doit permettre de signaler sans s’identifier. Lorsque le lanceur d’alerte s’identifie, son identité est protégée par l’obligation légale de confidentialité et ne peut être révélée que dans les cas strictement prévus par la loi, généralement dans le cadre d’une enquête judiciaire. Cet anonymat est, là encore, ce qui fait fonctionner le canal.
Confidentialité de l’information
Toute l’information du dossier doit être traitée avec la plus grande confidentialité et stockée dans un environnement sécurisé, avec chiffrement et contrôles d’accès. Cela implique des journaux d’accès, des mesures techniques contre les fuites et la formation du personnel qui intervient. Un signalement divulgué ne détruit pas seulement la confiance dans le système : il peut entraîner des sanctions pour non-respect du RGPD et des responsabilités vis-à-vis du lanceur d’alerte.
Conservation et suppression des données
Le RGPD exige de ne pas conserver les données plus longtemps que nécessaire, et sur ce point la Ley 2/2023 est précise : les données d’un signalement ne peuvent être conservées dans le système interne de signalement que pendant le temps indispensable pour décider de son traitement, et en tout état de cause pas plus de trois mois à compter de leur réception si aucune action n’a été engagée. Si, passé ce délai, il y a lieu d’enquêter, l’information est transférée vers un dossier distinct. Si ce n’est pas le cas, elle doit être supprimée ou anonymisée. Ces délais automatiques figurent parmi les premiers éléments que l’AEPD vérifie lors d’un contrôle.
Comment un logiciel spécialisé le résout
Faire coïncider tout ce qui précède à la main —contrôle des accès, journaux, délais de trois mois, confidentialité du lanceur d’alerte— est fastidieux et source d’erreurs. Un logiciel qui intègre le canal de signalement au reste de la gestion des personnes simplifie la conformité : accès restreint par rôles, traçabilité de chaque consultation, formulaires avec la clause d’information déjà intégrée et suppression automatique des dossiers arrivés à échéance.
Chez LapsoWork, le canal de signalement est prêt à respecter la Ley 2/2023 et le RGPD, et il coexiste avec le gestionnaire documentaire pour conserver en toute sécurité les preuves et les dossiers associés à chaque affaire. Ainsi, le canal cesse d’être une obligation contraignante pour devenir un outil qui protège aussi bien votre personnel que votre entreprise.
Conclusion
Le canal de signalement et la protection des données sont les deux faces d’une même pièce. Il ne suffit pas d’avoir une boîte pour recevoir des alertes : il faut garantir la confidentialité du lanceur d’alerte, respecter les droits de la personne mise en cause, limiter l’accès aux données et respecter les durées de conservation fixées par la Ley 2/2023. Le faire correctement vous évite une double sanction et, surtout, construit une culture interne dans laquelle les personnes osent parler. Et cette confiance, en fin de compte, c’est ce qui fait fonctionner le système.