Outil pour lutter contre la corruption, prendre connaissance de situations d’harcèlements ou de dysfonctionnements important, l’enquête interne est un processus fastidieux pour les entreprises durant lequel les données personnelles doivent être protégées.   

Plusieurs réflexes sont à mettre en œuvre dès lors que le responsable de la conformité, le directeur des ressources humaines ou le directeur juridique est saisi d’une alerte interne. Qu’il s’agisse d’une suspicion de corruption ou de cas d’harcèlement, l’entreprise est tenue de prendre en compte avec sérieux cette alerte en menant une enquête interne confidentielle.
En cas de signalement non anonyme, il appartient à l’entreprise d’accusé réception de l’alerte auprès de son auteur dans les sept jours qui suivent. Cet accusé de réception récapitule l’ensemble des documents et informations remis lors de l’alerte. Il est une protection pour l’auteur, qui devra après l’enquête interne, être informé des suites.
La ou les personnes visées, c’est-à-dire l’auteur éventuel, les témoins ou victimes, sont aussi informées de l'alerte les concernant dans un délai maximum d’un mois.

 

Renforcer l'obligation de confidentialité des receveurs d'alertes

La gestion des alertes anonymes s’avère un peu plus délicate. L’entreprise a la responsabilité de les traiter, à condition que les informations fournies soient suffisamment précises sur les faits rapportés. Le respect de la confidentialité de ces alertes et la préservation de l’anonymat de l’auteur imposent de limiter le nombre de personnes ayant accès aux données.
Ainsi, il est vivement conseillé de renforcer l’obligation de confidentialité dans les contrats de travail des salariés chargés de gérer ses alertes ainsi que dans les contrats de services avec les sous-traitants. L’avocat assistant l’entreprise dans le cadre d’une telle enquête interne est, quant à lui, soumis au secret professionnel.

Limiter le périmètre de la collecte des données

Au cours de cette enquête, seules les informations pertinentes pour la vérification sont collectées et conservées c’est-à-dire l’identité, les fonctions et les coordonnées du lanceur d’alerte s’il n’est pas anonyme, des personnes visées ainsi que des enquêteurs ; les faits signalés ; les comptes rendus de l’enquête et ses suites. Le tout dans le respect strict des obligations issues du Règlement européen de protection des données personnelles (RGPD).

Toutes ces informations seront conservées uniquement durant le temps de l’enquête et les personnes concernées doivent être prévenues de cette durée. La Commission nationale de l'informatique et des libertés (Cnil) précise que les données n’entrant pas dans le cadre du dispositif d’alerte ou récoltées alors qu’aucune suite n’est donnée à l’alerte doivent être détruites ou anonymisées.

Articles sur le même thème

Peut-on tout dire au bureau ?

Peut-on tout dire au bureau ?

Remettre en cause publiquement les directives de sa supérieur hiérarchique ne justifie pas un licenciement, rappelle la Cour de cassation dans un arrêt du 21 septembre.

La suite de cet article est réservée aux abonnés et en achat à la carte.

Déjà abonné ? Se connecter

Abonnement annuel (100,00 )

S’abonner

Abonnement mensuel (9,99 )

S’abonner

Article à l’unité (8,00 )

Acheter