Questions les plus fréquemment posées - Règlements de systèmes d'alerte interne professionnelle

Ce n'est pas nécessairement un problème dans la mesure où ces acteurs offrent les mêmes garanties (d'indépendance, de neutralité, d'objectivité, …) que le "gestionnaire des plaintes" dont il est question dans la recommandation.

Un problème plus important se poserait par exemple si le supérieur immédiat et le comité de direction prenaient part à la procédure du système d'alerte. Dans la recommandation de la Commission, la hiérarchie est en effet maintenue en dehors du système d'alerte. Elle est seulement informée par le "gestionnaire des plaintes" s'il s'avère après enquête qu'un signalement a été effectué de mauvaise foi (par exemple en vue de poursuites contre le dénonciateur) ou dans le cas d'un signalement qui, après enquête par le gestionnaire des plaintes, s'est avéré fondé (par exemple en vue de poursuites contre la personne mise en cause).

La hiérarchie ne peut pas faire partie de la procédure du système d'alerte. Une telle procédure est en effet précisément entamée si la voie primaire du management ne peut pas être suivie pour l'une ou l'autre raison et que l'affaire doit être reprise par une personne ou une cellule suffisamment "indépendante" de la hiérarchie.

Cela ne veut par ailleurs pas dire que si une plainte est enregistrée et traitée en dehors du système d'alerte interne – donc par le management de ligne même -, cela pourrait se faire sans devoir respecter les droits que le plaignant et l'auteur du signalement peuvent faire valoir en application de la loi vie privée. 

Ce qui est contraire aux "règles externes", généralement reprises dans une législation formelle et donc revêtues d'un caractère contraignant, comme des infractions au secret bancaire, à la législation comptable, à la législation sur le blanchiment, la fraude, la corruption, le délit d'initié, la manipulation des cours, … justifie un signalement via le système d'alerte, vu la gravité intrinsèque des infractions précitées qui sont (peuvent être) ipso facto néfastes pour la situation financière, les résultats et/ou la réputation du responsable du traitement et qui peuvent souvent même être sanctionnées pénalement. En cas de non respect de simples accords d'entreprise, il devra s'agir d'abus concrets dont la nature et la gravité justifient de les signaler via le système d'alerte. Comme il semble que cette procédure ne puisse pas s'appliquer à toute infraction aux règles internes en vigueur auprès du responsable du traitement, les membres du personnel doivent au moins avoir une idée du type d'accords d'entreprises qui, s'ils ne sont pas respectés, peuvent faire l'objet d'une plainte via le système d'alerte. Cela permettra aussi d'éviter que le système d'alerte interne ne soit perçu par les collaborateurs comme un "système de délation".

Les systèmes de signalement abordés dans l'avis 1/2006 du 1er février 2006 de l'organe consultatif européen indépendant sur la protection des données et de la vie privée (appelé Groupe 29) relatif à l'application des règles de l'UE en matière de protection des données aux mécanismes internes de dénonciation des dysfonctionnements dans les domaines de la comptabilité, des contrôles comptables internes, de l'audit, de la lutte contre la corruption et la criminalité bancaire et financière se limitent, en ce qui concerne leur portée, aux signalements dans le domaine de la comptabilité, des contrôles comptables internes, de l'audit, de la lutte contre la corruption et la criminalité bancaire et financière, mais le Groupe 29 n'exclut a priori pas la compatibilité entre la protection des données et d'autres domaines d'application (plus larges) des systèmes de signalement, à condition que le cas échéant, ces systèmes soient toutefois assortis de garanties supplémentaires, autres que celles dont il est actuellement question dans l'avis.

Un exemple de signalement qui n'entre donc pas dans le cadre d'un tel système est celui d'un traitement grossier d'un client par un collègue. Il est donc recommandé aux employeurs de réduire les éventuelles perceptions erronées de la part des travailleurs quant à la portée du système (les domaines qu'il couvre ou peut couvrir) en les informant suffisamment.

Si des données à caractère personnel aboutissent dans un fichier automatisé, une déclaration auprès de la Commission est en principe nécessaire, comme par exemple si l'utilisateur introduit le formulaire de signalement auprès du gestionnaire des plaintes par voie électronique. L'utilisateur du formulaire de signalement est souvent obligé de mentionner son adresse de messagerie électronique, ce qui peut indiquer la possibilité que le feed-back prévu à propos de son signalement se fasse par la voie électronique. Toutefois, dès qu'une partie du dossier de signalement est conservée par un moyen informatique, la loi vie privée et donc l'obligation de déclaration, peuvent être déclarées applicables à tout le dossier.

La sécurité au sens de l'article 16 de la loi vie privée suppose également des garanties, notamment sur le plan de l’intégrité, de l’authenticité et de la disponibilité des données à caractère personnel ainsi que des garanties que les données à caractère personnel ne pourront pas être détruites de façon illégale lors du traitement du signalement. Il convient également de prévoir des garanties concernant la possibilité d’audit du traitement de données à caractère personnel (contrôle visant à savoir qui a fait quoi, avec quelles données à caractère personnel et à quel moment). Ces mesures doivent garantir un niveau de sécurité adéquat en tenant compte de la nature des données à protéger et des risques potentiels. On peut renvoyer aux mesures de références en la matière édictées par la Commission vie privée.