Protection des lanceurs d’alerte pour le secteur public flamand : l’avis du VTC met en lumière des aspects de la protection des données

Le 17 décembre 2021 la Région Flamande publiait l’avant-projet du décret sur les lanceurs d’alerte qui développe un règlement pour la transposition de la Directive Européenne sur les Lanceurs d’Alerte (Directive 2019/1937) dans le secteur public pour le gouvernement flamand et les autorités locales. Le 18 janvier 2022 la Commission flamande de contrôle de la protection des données (Vlaamse toezichtcommissie voor de bescherming van persoonsgegevens – VTC) a rendu son avis nr. 2022/006 sur l’avant-projet. L'avis met en évidence certains aspects essentiels de la protection des données dans l'avant-projet, qui sont également pertinents pour qui doit introduire un règlement sur les lanceurs d’alerte dans le secteur privé.

Avant-projet de décret sur les lanceurs d’alerte

Nous avons déjà publié sur l'avant-projet de loi pour les entreprises du secteur privé (voir notre contribution du 15 décembre 2021). L'avant-projet du Gouvernement flamand du 17 décembre 2021 se concentre sur le secteur public et devrait permettre des signalements au sein des autorités flamandes et des autorités locales. Le décret modifie le Décret Provincial (« Provinciedecreet ») du 9 décembre 2005, le Décret du 22 décembre 2017 sur l’administration locale (« Decreet over het lokaal bestuur ») et le Décret de gouvernance (« Bestuurdecreet ») du 7 décembre 2018. Le Décret Provincial et le Décret sur l’administration locale comportent déjà une règlementation limitée en matière de signalement. Ces réglementations seront désormais supprimées de ces derniers et incorporées de manière extensive dans le Décret de gouvernance. Par conséquent, le Décret de gouvernance comprendra, à l'avenir, une règlementation sur la protection des lanceurs d’alerte pour un très large éventail d'autorités, allant, entre autres, des agences autonomes internes et externes flamandes aux communes flamandes jusqu’aux associations d’aide sociale (« welzijnsverenigingen ») et les établissements autonomes de soins (« autonome verzorgingsinstellingen »). 

Protection des données dans l’avant-projet de décret sur les lanceurs d’alerte

Le 18 janvier 2022 le VTC a rendu un avis sur le traitement des données personnelles qu’implique le décret sur les lanceurs d’alerte.

Bien que le décret sur les lanceurs d’alerte ne concerne que le secteur public, tout système de dénonciation, quel que soit le secteur, privé ou public, implique le traitement de données à caractère personnel. À cet égard, les commentaires du VTC ont donc une pertinence bien plus large et constituent, en quelque sorte, une checklist pour toute personne concernée par la règlementation relative au signalement des violations.

Le VTC conclut que l’avant-projet offre suffisamment de garanties pour la protection de données à caractère personnel, mais met toutefois en évidence certaines lacunes. Le VTC souligne les aspects suivants dans l’avant-projet :

• Il est nécessaire d'établir une démarcation plus claire entre le signalement et les autres procédures de signalement et de plaintes. Ainsi, les auteurs du signalement peuvent également se tourner vers d'autres canaux pour signaler le non-respect des dispositions légales ou réglementaires sur le lieu de travail. Il peut s'agir, par exemple, du signalement d'une violation du règlement général sur la protection des données (RGPD) au VTC ou – à l'avenir – d'une procédure de plainte pour discrimination auprès de l'Institut flamand des droits de l'homme.
• L'avant-projet doit inclure des lignes directrices supplémentaires afin de garantir la protection des données personnelles lorsque l’auteur du signalement divulgue l’infraction présumée. Au moment de la divulgation, une enquête n'a pas encore été menée mais l'identité des personnes impliquées (par exemple, la personne qui fait l'objet d'un signalement) peut déjà être rendue publique.
• Il doit y avoir une base juridique claire pour le traitement dans le cadre d’un signalement. Dans le secteur public, le traitement se fonde dans un premier temps sur l'article 6, paragraphe 1, point e) du RGPD (l’exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique), mais le VTC souligne également la nécessité d'une base légale à l'article 9 du RGPD. En effet, des catégories particulières de données à caractère personnel sont également susceptibles d’être traitées, comme les données biométriques. Il peut s'agir d'une voix lorsque la signalement se fait par le biais d'un enregistrement audio.
• Les canaux de signalement, tant internes (par exemple « Audit Vlaanderen » ou l’administration) qu'externes (par exemple le service de Médiation flamand), sont considérés par le VTC comme des responsables de traitement de données.
• Le VTC recommande de procéder à une analyse d'impact sur la protection des données au sens de l'article 35 du RGPD. Il explique que le règlement entraînera un risque élevé pour l’auteur du signalement et pour les autres personnes concernées qui sont, de façon justifiée ou non, mentionnées dans le dossier de signalement.
• Les données personnelles des personnes concernées doivent être limitées à ce qui est nécessaire. Dans le cas où un chef du personnel déléguerait son pouvoir de recevoir les signalements, le nombre de personnes ayant accès aux données personnelles en vertu de cette délégation devrait être limité.
• Les périodes de conservation sont fixées dans l'avant-projet à six ou dix ans, selon que les données sont liées ou non à une infraction. Ces délais de conservation sont alignés sur les délais de prescription applicables aux infractions et violations mais sont, selon le VTC, trop longs au regard du principe de limitation de la durée de conservation énoncé à l'article 5, paragraphe 1, point e), du RGPD. 
• L'avant-projet ne contient pas de disposition prévoyant que les données à caractère personnel doivent être exactes et actualisées, comme l'exige l'article 5, paragraphe 1, point d), du RGPD. 
• L'avant-projet indique que le supérieur hiérarchique de l'autorité publique flamande ou le chef du personnel de l'autorité locale ou de l'administration locale, à qui le signalement est transmis, peut décider, sous certaines conditions, de limiter les droits des personnes concernées (par exemple, l’auteur du signalement ou la personne qui en fait l'objet) repris aux articles 12-21 du RGPD. Comme dans les commentaires sur d'autres décrets, le VTC rappelle que le RGPD ne permet que la limitation de l'étendue des droits, mais pas de l'existence de ces droits en soi. En ce qui concerne l’auteur du signalement, le VTC s'oppose à toute limitation des droits. Après tout, cette personne est, en principe, déjà au courant de l'enquête. En ce qui concerne les autres personnes concernées (par exemple les tiers mentionnés par l’auteur du signalement), la référence générale aux dispositions du RGPD n'est pas suffisante et les possibilités de dérogation doivent en outre être précisées.
• Lorsque le rapport fait l'objet d'un enregistrement audio, le VTC estime qu'il ne suffit pas d'en informer l’auteur du signalement, mais recommande que celui-ci donne son accord pour que l'enregistrement soit effectué. Ceci est également repris dans la Directive sur les Lanceurs d’Alerte.
• En outre, l'avant-projet met en œuvre le principe de data protection by design pour les signalements reçus, de sorte qu’est garantie la confidentialité (i) de l'identité de l’auteur du signalement, (ii) de l'identité des tiers mentionnés par l’auteur du signalement, et (iii) des informations à partir desquelles l'identité de l’auteur du signalement ou d'un tiers peut être déduite. Le VTC recommande que cela soit appliqué à toutes les communications, y compris la communication externe du signalement. En outre, des garde-fous doivent être mis en place afin de garantir l'anonymat de l’auteur du signalement dans le cas d'un signalement anonyme.
• Enfin, l'avant-projet comprend une disposition relative aux fuites de données, par exemple lorsque quelqu'un a fait un signalement à un membre du personnel non autorisé ou que le signalement a été fait de manière non sécurisée. Dans ce cas, le membre du personnel non autorisé doit transmettre le signalement de manière sécurisée au membre du personnel autorisé dans les plus brefs délais. Les signalements peuvent également être effectués par téléphone, auquel cas la voix d'une personne peut être reconnue. Le VTC recommande que les enregistrements téléphoniques des signalements soient immédiatement brouillés et que d'autres mesures soient incluses dans l'avant-projet afin d’éviter les fuites de données. Ainsi, le VTC renvoie aux exemples de mesures de sécurité de l'article 32 du RGPD (par exemple, la pseudonymisation et le cryptage, ou encore la mise en place d'une procédure pour tester régulièrement les mesures de sécurité) et aux recommandations antérieures de la Commission de la protection de la vie privée. En outre, le VTC souligne l'importance d'une bonne gestion des utilisateurs et des accès, ainsi que de l’enregistrement de l'accès aux données. Pour l'utilisation des applications du cloud, celui-ci se réfère à ses avis et recommandations antérieurs.

Nous vous tiendrons naturellement informés des nouveaux développements. Nous vous assistons en outre volontiers dans la mise en place d’un règlement sur les lanceurs d’alerte au sein de votre organisation.