Internaliser ou externaliser la gestion de la ligne d’alerte?

Le dispositif d’alerte mis en place par un organisme peut être géré en interne ou en externe. Chacun des systèmes a ses avantages.

Un système géré en interne permet de limiter les coûts de mise en œuvre, mais il appartient alors à l’organisme de s’assurer de la sécurité, notamment informatique, du dispositif mis en place et de sa conformité aux prescriptions précisées par l’AU-004 de la CNIL :

• s’assurer que les accès aux traitements de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification ;
• s’assurer que ces accès sont enregistrés et leur régularité est contrôlée ;
• s’assurer que l’identité de l’émetteur d’une alerte et des personnes visées par l’alerte ainsi que les informations recueillies par l’ensemble des destinataires du signalement soient traitées de façon confidentielle ;
• fournir une information claire et complète à l’ensemble des utilisateurs potentiels du dispositif d’alerte ;
• respecter les droits d’accès et de rectification prévus par la loi Informatique & Libertés et bientôt le RGPD (Règlement générale de protection des données à caractère personnel) ;
• S’assurer qu’un système de gestion des accès permet le respect de la confidentialité du lanceur d’alerte, de la personne faisant l’objet de l’alerte et des faits révélés. et éventuellement l’anonymat du lanceur d’alerte.

Deux points d’attention sont donc à prendre en compte : avoir la capacité technique de respecter les obligations relatives à la protection des données à caractère personnelle et assurer la confidentialité de l’identité du lanceur d’alerte et de la personne visée par l’alerte. Dans une petite structure, qui n’a pas les moyens informatiques nécessaires et où les personnes sont facilement identifiables, même si des procédures de gestion d’accès strictes sont mises en place, ces deux exigences seront d’autant plus difficiles à respecter.

Externaliser le dispositif d’alerte auprès d’un prestataire, d’une plateforme professionnelle ou d’un cabinet d’avocats permet d’assurer la gestion de la ligne d’alerte par une structure qui a l’expérience de la sécurité technique, de la réglementation relatives aux données à caractère personnel et du traitement confidentiel des informations.

Cela permet aussi de dédramatiser le traitement des alertes : les salariés sont rassurés par le traitement qui sera fait des signalements qu’ils auront faits, le référent et son équipe n’auront pas à gérer l’alerte, du moins dans un premier temps.