Comment doit faire une entreprise qui veut mettre en place un dispositif d’alerte professionnelle ?

Il y a deux options possibles. Dans la grande majorité des cas, les entreprises utilisent un cadre prédéfini que nous appelons l’autorisation unique numéro quatre, mise en place le 8 décembre 2005. Cette autorisation unique se trouve sur le site de la CNIL. Elle a pour but de simplifier les obligations déclaratives des entreprises. Les entreprises concernées doivent regarder article par article si leur dispositif est bien conforme à cette autorisation.

Concrètement, Les procédures d’alerte doivent concerner les domaines financier, comptable, bancaire et la lutte contre la corruption. L’émetteur de l’alerte professionnelle doit s’identifier, mais son identité doit être traitée de façon confidentielle par l’organisation chargée de la gestion des alertes, sauf exception (par exemple si un salarié lance une alerte contre son supérieur hiérarchique directe et risque pour cette raison un licenciement).

Les données personnelles des protagonistes ne peuvent être gardées plus de deux mois à compter de la clôture des opérations de vérification lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire. La personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif dès l’enregistrement. Une information claire et complète des utilisateurs potentiels du dispositif d’alerte doit être réalisée.

Si le dispositif mis en place par l’entreprise se révèle conforme à ces conditions, l’entreprise peut mettre en place un système d’alerte professionnelle.

La deuxième option concerne un nombre beaucoup plus réduit d’entreprises : celles qui n’entrent pas dans le dispositif général de l’autorisation unique numéro quatre. Ces entreprises doivent passer en séance pl