Outil pour lutter contre la corruption, prendre connaissance de situations d’harcèlements ou de dysfonctionnements important, l’enquête interne est un processus fastidieux pour les entreprises durant lequel les données personnelles doivent être protégées.
Plusieurs réflexes sont à mettre en œuvre dès lors que le responsable de la conformité, le directeur des ressources humaines ou le directeur juridique est saisi d’une alerte interne. Qu’il s’agisse d’une suspicion de corruption ou de cas d’harcèlement, l’entreprise est tenue de prendre en compte avec sérieux cette alerte en menant une enquête interne confidentielle.
En cas de signalement non anonyme, il appartient à l’entreprise d’accusé réception de l’alerte auprès de son auteur dans les sept jours qui suivent. Cet accusé de réception récapitule l’ensemble des documents et informations remis lors de l’alerte. Il est une protection pour l’auteur, qui devra après l’enquête interne, être informé des suites.
La ou les personnes visées, c’est-à-dire l’auteur éventuel, les témoins ou victimes, sont aussi informées de l'alerte les concernant dans un délai maximum d’un mois.
Renforcer l'obligation de confidentialité des receveurs d'alertes
La gestion des alertes anonymes s’avère un peu plus délicate. L’entreprise a la responsabilité de les traiter, à condition que les informations fournies soient suffisamment précises sur les faits rapportés. Le respect de la confidentialité de ces alertes et la préservation de l’anonymat de l’auteur imposent de limiter le nombre de personnes ayant accès aux données.
Ainsi, il est vivement conseillé de renforcer l’obligation de confidentialité dans les contrats de travail des salariés chargés de gérer ses alertes ainsi que dans les contrats de services avec les sous-traitants. L’avocat assistant l’entreprise dans le cadre d’une telle enquête interne est, quant à lui, soumis au secret professionnel.
Limiter le périmètre de la collecte des données
Au cours de cette enquête, seules les informations pertinentes pour la vérification sont collectées et conservées c’est-à-dire l’identité, les fonctions et les coordonnées du lanceur d’alerte s’il n’est pas anonyme, des personnes visées ainsi que des enquêteurs ; les faits signalés ; les comptes rendus de l’enquête et ses suites. Le tout dans le respect strict des obligations issues du Règlement européen de protection des données personnelles (RGPD).
Toutes ces informations seront conservées uniquement durant le temps de l’enquête et les personnes concernées doivent être prévenues de cette durée. La Commission nationale de l'informatique et des libertés (Cnil) précise que les données n’entrant pas dans le cadre du dispositif d’alerte ou récoltées alors qu’aucune suite n’est donnée à l’alerte doivent être détruites ou anonymisées.
Articles sur le même thème
Impôts 2023 : comment exonérer les frais de télétravail
Les frais de télétravail sont exonérés d’impôt sur le revenu dans une certaine limite. Voici comment les déclarer.
Harcèlement moral : le salarié le dénonçant est mieux protégé
Le salarié dénonçant un harcèlement moral, même de manière imprécise, ne peut pas être licencié selon la Cour de cassation.
Géolocalisation des salariés, attention à la surveillance constante
Un employeur ne peut pas licencier un salarié sur la seule base des données GPS d’un véhicule professionnel, selon la Cour de cassation.
La suite de cet article est réservée aux abonnés et en achat à la carte.