- mercredi 4 mai 2022
- Envoyé par : GGV
- Catégorie : Actualités, Conseils pratiques
Mise à jour du 12 janvier 2024
Le dispositif d’alerte mis en place par un organisme peut être géré en interne ou en externe. Chacune de ces solutions a ses avantages.
Un système géré en interne permet de limiter les coûts de mise en œuvre, mais il appartient alors à l’organisme de s’assurer de la sécurité, notamment informatique, du dispositif mis en place et entre autres de sa conformité aux prescriptions édictées en matière de sécurité des données. Les entreprises peuvent à cet égard s’inspirer du référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles publié par la CNIL :
- s’assurer que les accès aux traitements de données s’effectuent par un identifiant unique à chaque utilisateur, un mot de passe utilisateur conforme aux recommandations de la CNIL et que le nombre de tentatives d’accès à un compte soit limité
- s’assurer que les accès soient enregistrés (système de journalisation) et que leur régularité soit contrôlée
- s’assurer que l’identité de l’auteur du signalement, des personnes visées et des tiers mentionnées dans le signalement ainsi que les informations recueillies par l’ensemble des destinataires du signalement soient traitées de façon confidentielle
- fournir une information claire et complète à l’ensemble des utilisateurs potentiels du dispositif d’alerte
- respecter les droits d’accès, de rectification et de d’effacement prévus par le RGPD
- s’assurer du respect des durées de conservation
Deux points d’attention sont donc à prendre en compte : avoir la capacité technique de respecter les obligations relatives à la protection des données à caractère personnel et assurer la confidentialité de l’identité de l’auteur du signalement et de la personne visée par le signalement, ainsi que des faits signalés. Dans une petite structure, qui n’a pas les moyens informatiques nécessaires et où les personnes sont facilement identifiables, même si des procédures de gestion d’accès strictes sont mises en place, ces deux exigences seront d’autant plus difficiles à respecter.
Externaliser le dispositif d’alerte auprès d’un prestataire, d’une plateforme professionnelle ou d’un cabinet d’avocats permet d’assurer la gestion de la ligne d’alerte par une structure disposant des moyens de sécurité, de l’expérience et de l’indépendance nécessaires au respect de la réglementation relatives aux données à caractère personnel et du traitement confidentiel des informations.