Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 12 juillet 2026
RGPD

Dispositif d'alerte professionnelle : le guide RGPD 2026

Dispositif d'alerte professionnelle et RGPD : base légale, confidentialité du lanceur, données sensibles, conservation et référentiel CNIL 2023.

L’essentiel. Depuis la loi Waserman du 21 mars 2022, toute entreprise d’au moins 50 salariés doit disposer d’une procédure interne de recueil et de traitement des signalements. Ce dispositif traite des données particulièrement sensibles — identité du lanceur d’alerte, accusations, parfois données de santé ou d’orientation sexuelle. Sa conformité RGPD repose sur quatre piliers : une base légale claire, la stricte confidentialité de l’identité du lanceur, un encadrement des données sensibles (article 9 RGPD) et des durées de conservation maîtrisées. Le référentiel CNIL du 6 juillet 2023 sert de mode d’emploi.

Mettre en place une ligne d’alerte éthique paraît simple : une adresse e-mail dédiée, une procédure, et le tour est joué. En réalité, un dispositif d’alerte professionnelle est l’un des traitements les plus risqués qu’une organisation puisse déployer. Il concentre des données ultra-sensibles, met en jeu la réputation de personnes accusées, et une fuite d’identité peut détruire la carrière d’un lanceur d’alerte. Dans mon expérience de conseil, c’est un sujet où l’écart entre l’outil technique et la conformité juridique est maximal. Voici ce qu’il faut comprendre — et ce qu’il faut faire.

Qu’est-ce qu’un dispositif d’alerte professionnelle ?

Un dispositif d’alerte professionnelle (DAP) est un outil permettant à une personne — salarié, prestataire, tiers — de signaler à l’organisation une situation, un comportement ou un risque susceptible de caractériser une violation de la loi ou des règles éthiques internes (charte, code de conduite). Il peut prendre la forme d’un portail intranet, d’une adresse e-mail dédiée, d’une plateforme en ligne ou d’une ligne téléphonique.

Il faut distinguer deux régimes :

  • Le dispositif de droit commun (« alerte interne » au sens de la loi Sapin 2 modifiée), qui vise les signalements de crimes, délits, menaces ou atteintes à l’intérêt général.
  • Les dispositifs éthiques, mis en place à la seule initiative de l’organisme pour faire respecter une charte interne, un code de conduite ou des engagements de conformité (anticorruption, devoir de vigilance).

Dans les deux cas, les traitements de données présentent les mêmes enjeux pour les droits des personnes. C’est pourquoi la CNIL a choisi d’adopter un cadre unifié, applicable à l’ensemble des dispositifs, quel que soit leur régime juridique.

Qui doit mettre en place un dispositif d’alerte ?

L’obligation découle de la loi n° 2016-1691 du 9 décembre 2016 (dite loi Sapin 2), profondément remaniée par la loi n° 2022-401 du 21 mars 2022 (loi Waserman), qui transpose la directive (UE) 2019/1937 relative à la protection des lanceurs d’alerte. Son décret d’application est le décret n° 2022-1284 du 3 octobre 2022.

Le seuil de déclenchement est clair : toute entité d’au moins 50 salariés doit établir une procédure interne de recueil et de traitement des signalements, après consultation du CSE. Certaines obligations sectorielles (secteur financier notamment) imposent un dispositif indépendamment de l’effectif.

Le décret encadre le calendrier de traitement : l’organisme doit accuser réception du signalement dans un délai de 7 jours ouvrés, puis communiquer à l’auteur les mesures envisagées ou prises pour évaluer le signalement dans un délai raisonnable n’excédant pas 3 mois. L’employeur choisit librement l’instrument de diffusion de la procédure : accord collectif, note de service ou charte.

Point crucial souvent négligé : le cercle des personnes protégées a été élargi. Sont désormais protégés contre les représailles non seulement l’auteur du signalement, mais aussi les facilitateurs (ceux qui l’ont aidé) et les personnes en lien avec lui susceptibles de subir des représailles « par ricochet ». Le traitement de données doit permettre de suivre et de protéger l’ensemble de ces personnes.

RGPD : les points de conformité du dispositif d’alerte

La base légale

Le choix de la base légale dépend du caractère obligatoire ou facultatif du dispositif. Lorsque le DAP répond à une obligation légale — cas des entreprises de 50 salariés et plus — le traitement repose sur l’article 6(1)© du RGPD (respect d’une obligation légale). Pour un dispositif éthique mis en place volontairement, la base pertinente est généralement l’intérêt légitime de l’organisme (article 6(1)(f)), à condition de documenter la mise en balance avec les droits des personnes. Le choix de la base légale du traitement n’est pas un détail administratif : il détermine les droits que pourront exercer les personnes concernées.

Les données sensibles (article 9)

Par nature, un signalement peut révéler des données sensibles : un fait de discrimination, un harcèlement, des données de santé, des opinions syndicales ou politiques. Or l’article 9 du RGPD interdit en principe le traitement de ces données sensibles, sauf exception.

La CNIL considère qu’un dispositif mis en place pour répondre à une obligation légale relève du « motif d’intérêt public important » au sens de l’article 9(2)(g) : les données sensibles peuvent alors être traitées si leur prise en compte est nécessaire au traitement du signalement. Pour les dispositifs facultatifs, l’exception mobilisable est celle de la constatation, l’exercice ou la défense d’un droit en justice (article 9(2)(f)). Dans tous les cas, ces données doivent présenter un lien direct et étroit avec les faits dénoncés — pas question de collecter des données sensibles « au cas où ». Pour aller plus loin, voyez notre analyse des exceptions de l’article 9 RGPD.

La confidentialité de l’identité du lanceur

C’est le cœur du dispositif. L’identité de l’auteur du signalement, celle des personnes visées et les informations recueillies sont strictement confidentielles. Concrètement, seules les personnes directement chargées de l’instruction de l’alerte et celles qui participent à la décision sur les suites à donner doivent pouvoir accéder aux données. Ni le DRH, ni un responsable hiérarchique, ni un membre d’un comité d’éthique ne peut accéder au dossier au seul titre de sa fonction.

Cette exigence se traduit en mesures de sécurité concrètes au sens de l’article 32 du RGPD : habilitations restrictives, chiffrement, traçabilité des accès, cloisonnement de la boîte de réception. Une divulgation d’identité constitue non seulement une violation de données, mais expose l’organisme à des poursuites, la révélation d’éléments permettant d’identifier le lanceur étant pénalement sanctionnée.

L’information des personnes et l’exercice des droits

La personne mise en cause par un signalement doit être informée du traitement de ses données (articles 13 et 14 du RGPD). Mais cette information peut être différée tant qu’il existe un risque de destruction de preuves ou d’obstruction à la vérification des faits. C’est une application encadrée des limitations prévues par le RGPD.

De même, la personne visée dispose des droits d’accès et de rectification, mais leur exercice ne doit jamais permettre de révéler l’identité du lanceur d’alerte. Ce point est délicat : il faut répondre à une demande de droit d’accès tout en occultant les éléments identifiants. C’est un arbitrage à documenter au cas par cas.

Les durées de conservation

La logique de conservation suit le cycle de vie de l’alerte. Les données sont conservées en base active jusqu’à la décision sur les suites à donner au signalement, dans un délai raisonnable. Ensuite, elles peuvent être conservées en archivage intermédiaire pour une durée strictement proportionnée, notamment le temps des procédures ou de la prescription des actions. Lorsqu’un signalement n’entre pas dans le périmètre du dispositif, les données doivent être effacées ou anonymisées rapidement. Une bonne pratique consiste à formaliser ces règles dans le tableau des durées de conservation de l’organisme.

AIPD, registre et documentation

Le traitement combine données sensibles, surveillance et risque élevé pour les personnes : une analyse d’impact (AIPD) est en pratique quasi systématiquement requise. Le dispositif doit par ailleurs figurer au registre des activités de traitement, avec une description précise des finalités, des catégories de données, des destinataires et des durées de conservation.

Le référentiel CNIL « alertes professionnelles »

Face à ces enjeux, la CNIL a adopté un référentiel dédié par la délibération n° 2023-064 du 6 juillet 2023, qui abroge et remplace le référentiel de 2019 (délibération n° 2019-139 du 18 juillet 2019). Cette mise à jour tire les conséquences de la loi Waserman.

Ce référentiel est un outil de droit souple : il n’a pas de valeur contraignante. Mais les organismes qui le respectent bénéficient d’une présomption de conformité de leur traitement. En cas de contrôle, s’en écarter oblige à justifier ses choix au regard du RGPD — un exercice inconfortable. En pratique, le référentiel constitue donc la référence à suivre. Il précise notamment l’élargissement des personnes protégées, les finalités autorisées, les nouvelles règles de conservation et le traitement des signalements anonymes — à ne pas confondre avec l’anonymisation des données au sens du RGPD : un signalement anonyme reste un traitement de données personnelles dès lors qu’il concerne des personnes identifiables.

L’externalisation du dispositif

Beaucoup d’organisations confient leur ligne d’alerte à un prestataire (plateforme en ligne, cabinet d’avocats). La loi Sapin 2 modifiée autorise l’externalisation du canal de réception des signalements, ainsi que la mise en commun de ressources entre organismes sous certaines conditions d’effectif. Mais attention : la CNIL rappelle que chaque organisme doit vérifier la faisabilité juridique de la délégation, notamment lorsqu’il envisage de confier à un tiers l’ensemble du traitement, y compris l’instruction sur le fond.

Sur le plan RGPD, le prestataire agit comme sous-traitant au sens de l’article 28 du RGPD : un contrat de sous-traitance (DPA) encadrant confidentialité, sécurité et instructions est obligatoire. C’est précisément le type de contrôle contractuel que Legiscope automatise pour maintenir à jour le registre et les relations sous-traitants.

Les sanctions encourues

L’enjeu est double. Sur le terrain RGPD, un manquement (défaut de sécurité, conservation excessive, information insuffisante) expose aux sanctions de la CNIL, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Sur le terrain de la protection des lanceurs d’alerte, la loi Sapin 2 modifiée prévoit un délit d’entrave : faire obstacle à la transmission d’un signalement est puni d’un an d’emprisonnement et de 15 000 € d’amende, et la divulgation d’éléments confidentiels permettant d’identifier le lanceur est également sanctionnée pénalement. Un dispositif mal conçu cumule donc les risques.

Checklist de mise en conformité

Avant de déployer ou d’auditer votre dispositif, vérifiez les points suivants :

  • La procédure interne est formalisée et le CSE a été consulté.
  • La base légale est identifiée (obligation légale ou intérêt légitime) et documentée.
  • L’accès aux alertes est restreint aux seules personnes chargées de l’instruction.
  • Les mesures de sécurité garantissent la confidentialité de l’identité du lanceur.
  • Les mentions d’information sont rédigées, avec possibilité d’information différée de la personne visée.
  • Les durées de conservation (base active, archivage, effacement hors périmètre) sont définies.
  • Une AIPD a été réalisée et le traitement est inscrit au registre.
  • Le contrat de sous-traitance (article 28) est signé avec tout prestataire externe.
  • La procédure respecte les délais du décret : accusé de réception sous 7 jours, retour sous 3 mois.

Ce qu’il faut retenir

  • Toute entreprise d’au moins 50 salariés doit disposer d’un dispositif d’alerte professionnelle depuis la loi Waserman du 21 mars 2022.
  • La conformité RGPD repose sur la confidentialité stricte de l’identité du lanceur : accès limité aux seules personnes chargées de l’instruction.
  • Les données sensibles peuvent être traitées via l’article 9(2)(g) (motif d’intérêt public important) pour les dispositifs obligatoires, à condition qu’elles soient en lien direct avec les faits.
  • Le référentiel CNIL du 6 juillet 2023 (délibération n° 2023-064) offre une présomption de conformité : c’est la référence à suivre.
  • Une AIPD et l’inscription au registre sont en pratique incontournables ; l’externalisation impose un contrat de sous-traitance article 28.

FAQ

Quelles entreprises doivent mettre en place un dispositif d’alerte ?

Toute entité d’au moins 50 salariés doit établir une procédure interne de recueil et de traitement des signalements, après consultation du CSE. Certaines obligations sectorielles, notamment dans le secteur financier, imposent un dispositif indépendamment de l’effectif.

Le référentiel CNIL « alertes professionnelles » est-il obligatoire ?

Non, il s’agit d’un outil de droit souple sans valeur contraignante. Mais les organismes qui le respectent bénéficient d’une présomption de conformité de leur traitement. S’en écarter oblige à justifier ses choix au regard du RGPD en cas de contrôle.

Peut-on traiter un signalement anonyme ?

Oui. La loi Sapin 2 modifiée et le référentiel CNIL permettent le traitement des signalements anonymes. Attention à ne pas confondre signalement anonyme et anonymisation des données : un signalement anonyme reste un traitement de données personnelles dès lors que des personnes y sont identifiables.

Qui peut accéder au contenu d’une alerte ?

Seules les personnes directement chargées de l’instruction de l’alerte et celles qui participent à la décision sur les suites à donner. Ni le DRH, ni un responsable hiérarchique ne peut y accéder au seul titre de sa fonction : la confidentialité de l’identité du lanceur prime.

Quelle durée de conservation pour les données d’alerte ?

Les données sont conservées en base active jusqu’à la décision sur les suites, puis en archivage intermédiaire pour une durée strictement proportionnée (procédures, prescription). Un signalement hors périmètre du dispositif doit être effacé ou anonymisé rapidement.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →