Titre : | Doctrine: Loi « lanceurs d'alerte » pour le secteur privé : analyse et points d'attention relatifs à la protection des données (2023) |
Auteurs : | Florine De Ridder, Auteur |
Type de document : | Article : texte imprimé |
Dans : | Bulletin des assurances (424, septembre 2023) |
Article en page(s) : | P.283-297 |
Langues: | Français |
Sujets : |
IESN Doctrine juridique ; Lanceur d'alerte ; Secteur privé |
Résumé : |
La loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé a été publiée au Moniteur belge du 15 décembre 2022 (ci-après, « la Loi »). Elle impose notamment aux entités juridiques du secteur privé (ci-après, les « Entités ») de mettre en œuvre un canal de signalement interne. La gestion de ce canal engendrera quasi systématiquement un traitement de données à caractère personnel qui devra être conforme à la législation applicable en matière de protection des données.
La présente contribution a pour objectif de clarifier les principaux éléments de ce traitement (qualification des acteurs ; finalité du traitement ; catégories de données à caractère personnel ; fondement légal ; périodes de rétention). Concernant la qualification des acteurs impliqués, l’Entité est un responsable du traitement ; le gestionnaire externe d’un canal de signalement est un sous-traitant pour autant qu’il se limite à fournir et à héberger le canal de signalement (dans le cas contraire, et notamment s’il est également chargé de l’enquête, il doit être considéré comme un responsable du traitement) ; l’auteur de signalement est une personne concernée vis-à-vis de l’Entité (sauf en cas de signalement anonyme) ; le facilitateur a le plus souvent une double qualification : personne concernée vis-à-vis de l’Entité et, pour autant qu’il agisse dans un contexte professionnel, responsable du traitement vis-à-vis de l’auteur de signalement. La finalité du traitement est la mise en œuvre du canal de signalement. Dans ce cadre, il convient de souligner la difficulté pour les Entités de collecter uniquement des données pertinentes. Pour ce qui est du fondement légal le plus approprié, nous défendons le choix de « l’intérêt public » qui confère notamment une marge de manœuvre plus large à l’Entité pour implémenter la Loi et qui ouvre un droit d’opposition aux personnes concernées. Enfin, la détermination des périodes de rétention constitue selon nous un point particulièrement problématique dans la Loi car celle-ci prévoit des périodes de rétention floues et potentiellement contradictoires entre elles. La présente contribution analyse également deux aspects précis de la mise en conformité du canal de signalement interne avec le RGPD : la transparence (un point d’attention concerne l’obligation d’informer la personne concernée de son droit d’opposition si le traitement est basé sur « l’intérêt public » ou « l’intérêt légitime ») et le rôle du délégué à la protection des données (ci-après, « DPO ») dans la mise en œuvre d’un canal de signalement (à cet égard, nous déconseillons à l’Entité de nommer le DPO comme « gestionnaire de signalement » afin d’éviter tout conflit d’intérêt). (Extrait de Bulletin des assurances, 3/2023, p.283) |
Note de contenu : |
Lanceur d'alerte secteur privé
Traitement des données à caractère personnel, généralités Intérêt public ou autorité public (traitement licite des données à caractère personnel) Délégué à la protection des données (obligations du responsable du traitement et du sous-traitant, données à caractère personnel) Plan: Introduction 1. Principaux éléments du traitement de données 1.1. Qualification des acteurs 1.2. Finalité du traitement 1.3. Catégories de données traitées 1.4. Fondement légal 1.5. Périodes de rétention 2. Mise en conformité du canal de signalement interne avec le RGPD 2.1. Transparence à l'égard des personnes concernées 2.2. Rôle du délégué à la protection des données (DPO) |
Exemplaires (1)
Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
---|---|---|---|---|---|
Bibliothèque IESN | _Périodiques | Périodique | 34 BA 424 | Non empruntable | Exclu du prêt |