RGPD et dénonciation : pourquoi vous ne devriez pas vous fier au consentement

Les personnes qui laissent un signalement par le biais d’un système de dénonciation peuvent inclure des données personnelles dans leur message. Les organisations souhaitant mettre en place un système de dénonciation pour leurs employés, fournisseurs ou tierces parties doivent tenir compte des aspects relatifs à la confidentialité qui entrent en jeu. Comment combiner la dénonciation et le RGPD de manière pragmatique ?

L’article 6 du règlement (UE) 2016/679 (Règlement Général sur la Protection des Données, ou RGPD) requiert la « licéité du traitement » des données personnelles. Le consentement semble être une bonne option. Mais ce n’est pas le cas. Ou en tout cas, pas pour la dénonciation.

Pourquoi n’est-ce pas le cas ?

Le consentement doit être « donné librement », mais il existe une relation de dépendance entre l’employeur et l’employé. Si un patron demande le consentement de son personnel, les employés l’accorderont en grande majorité. Dans son avis 2/2017 (WP 249), le Groupe de travail Article 29 sur la protection des données explique : « À l’exception de situations exceptionnelles, les employeurs devront s’appuyer sur un autre fondement juridique que le consentement ».

D’un point de vue plus pratique : le consentement est un motif instable. Celui-ci peut être révoqué à tout moment. Si vous menez une enquête sérieuse et qu’un employé décide soudain de révoquer son consentement, tout s’écroule et vous ne pourrez rien y faire.

Sans tenir compte des points juridiques et pratiques, imaginez un·e employé·e victime de harcèlement sexuel. Votre système de dénonciation a une case dédiée au consentement qui doit être cochée avant que quelqu’un ne puisse laisser un signalement. Votre employé·e a finalement trouvé le courage de parler de manière anonyme et la première question est : « Consentez-vous au traitement de vos données personnelles ? » Le risque est grand que cela effraie les informateurs et qu’ils décident même de rendre l’affaire publique. Vous ne pouvez pas vous permettre de manquer des cas importants !

Alors, mieux vaut faire sans le consentement. Mais comment respecter le RGPD en matière de dénonciation ?

Basez votre traitement des données sur l’intérêt légitime que vous avez à détecter une faute grave qui pourrait autrement ne pas être détectée à un stade précoce. Au final, n’oubliez pas que la protection des données et les droits à la vie privée sont très importants, mais l’objectif ici est de mettre en place un système de dénonciation efficace. Les gens devraient se sentir libres de s’exprimer, afin que votre organisation puisse réellement détecter et traiter les fautes graves !

Échangez avec nos experts

Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?

Contactez-nous

Share this page