Les entreprises concernées doivent mettre en place une procédure de recueil des alertes émises par les salariés ou les collaborateurs extérieurs et occasionnels, dans le respect de la protection des données personnelles.

Les entreprises d'au moins 50 salariés ont jusqu'au 1er janvier 2018 pour mettre en place une procédure de recueil des alertes visant notamment à lutter contre une menace ou un préjudice grave pour l'intérêt général, un crime ou un délit.

Dans sa version initiale, l'autorisation unique n°AU-004 émise par la Commission nationale de l'informatique et des libertés (CNIL) limitait le champ des alertes à des domaines spécifiques : financier, comptable, bancaire, par exemple. Ce champ a été élargi par la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin 2.

Ainsi, depuis le 22 juin 2017, elle couvre tout dispositif visant à recueillir des signalements ou révélations portant notamment sur :

• un crime ou un délit ;
• une violation grave et manifeste de la loi ou du règlement ;
• une menace ou un préjudice grave pour l'intérêt général dont le lanceur d'alerte a eu personnellement connaissance.

À noter :

Les collaborateurs extérieurs et occasionnels sont les personnes intervenant pour l'entreprise sans être liées par un contrat de travail comme les intérimaires, les stagiaires et le personnel mis à disposition par un prestataire de services notamment.

Textes de référence. Dispositif d'alertes professionnelles - autorisation unique AU-004

Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004)

Source. service-public.fr