Alors que celle-ci s’est prononcée sur la gestion des ressources humaines, elle a également établi un référentiel spécifique aux alertes.
De la même façon que pour le premier référentiel, la CNIL a créé un repère pour les organismes afin qu’ils puissent identifier tous “traitements de données à caractère personnel dans le cadre d’un dispositif d’alerte”.
Cela concerne notamment tout “organismes privés ou publics ainsi qu’aux services qui décideraient ou seraient tenus de mettre en œuvre un dispositif leur permettant de recueillir et traiter des signalements de conduites ou de situations susceptibles de constituer un manquement aux règles applicables dans leur entité”.
Dès lors, ce projet permet à tout organisme public ou privé d’identifier des traitements de données qui impliquent tout type d’alertes ou de signalements permettant de révéler “un manquement à une règle spécifique”. Cela peut être un crime, un délit, un manquement à un code de conduite au sein d’un organisme,… qui peuvent être révélées par des dispositifs d’alerte.
Ainsi, au regard de ce qu’a avancé la CNIL, ces traitements peuvent notamment porter sur des données relatives à l’identité de l’émetteur de l’alerte professionnelle, de la personne faisant l’objet de l’alerte, des comptes-rendus des opérations de vérification,… Ces données peuvent également avoir pour destinataires des personnes spécialement chargées de la gestion de ces alertes, d’un prestataire de service chargé de recueillir et de traiter ces alertes,…
Tout comme le référentiel portant sur la gestion des ressources humaines, ce référentiel concernant les alertes contient des informations concernant les durées de conservation, les informations des personnes concernées ainsi que leur droits, mais également les mesures de sécurité qui doivent être mis en place (utiliser des fonctions cryptographiques, sécuriser les serveurs,…).
Une section est également prévue par la CNIL au regard des Analyses d’Impact sur la Protection des Données (ou AIPD) afin que tout organisme concerné puisse identifier les cas où cette analyse est nécessaire (lorsque cela concerne des personnes vulnérables, lorsqu’il y a une collecte de données sensibles ou à caractère hautement personnel,…)
Il faut cependant rappeler que ce référentiel fera l’objet d’une consultation publique afin que toute personne intéressée puisse se prononcer dessus. À l’issue de cette consultation, la CNIL soumettra à l’examen de la séance plénière ce projet de référentiel avant de l’adopter de façon définitive.
Source : Site officiel de la CNIL