Un employeur peut-il externaliser la gestion du canal de signalement ?
Réponse courte
Un employeur peut externaliser la gestion du canal de signalement, à condition de respecter les exigences légales de confidentialité, d’indépendance et d’impartialité prévues par la loi du 16 mai 2023. L’externalisation doit garantir la sécurité des données, la protection des lanceurs d’alerte et l’accès effectif au dispositif pour tous les salariés.
L’employeur reste toutefois pleinement responsable du respect de l’ensemble des obligations légales, même en cas de recours à un prestataire externe. Il doit conclure un contrat écrit avec le prestataire, s’assurer de la conformité au RGPD et à la législation luxembourgeoise, et mettre en place des contrôles réguliers pour vérifier la conformité du dispositif externalisé.
Définition
Le canal de signalement est un dispositif interne permettant aux salariés et personnes assimilées de signaler, de manière confidentielle, des violations effectives ou potentielles du droit luxembourgeois dans le cadre professionnel. Ce dispositif vise à garantir la protection des lanceurs d’alerte et à assurer le traitement approprié des signalements.
L’employeur peut choisir de gérer ce canal en interne ou de confier sa gestion à un prestataire externe, sous réserve du respect strict des exigences prévues par la loi du 16 mai 2023 relative à la protection des lanceurs d’alerte. L’externalisation ne modifie pas la finalité du canal, qui demeure la réception, le traitement et le suivi des alertes dans le respect du cadre légal.
Conditions d’exercice
L’externalisation du canal de signalement est autorisée à condition que l’employeur garantisse la confidentialité de l’identité de l’auteur du signalement, des personnes concernées et de toute information recueillie. Le prestataire externe doit présenter des garanties suffisantes en matière de sécurité, d’indépendance et d’impartialité.
L’employeur reste responsable du respect de l’ensemble des obligations légales, même en cas de délégation à un tiers. Il doit veiller à ce que le prestataire respecte les principes d’égalité de traitement, de non-discrimination et de traçabilité des signalements. L’accès au canal doit être effectif pour tous les salariés et personnes assimilées, sans restriction ni obstacle technique ou organisationnel.
L’externalisation ne doit pas porter atteinte à la protection contre les représailles prévue par la loi, ni limiter les droits des personnes concernées par un signalement.
Modalités pratiques
L’employeur qui souhaite externaliser la gestion du canal de signalement doit conclure un contrat écrit avec le prestataire, précisant les obligations de confidentialité, de sécurité des données et de traitement impartial des signalements. Le prestataire doit être clairement identifié et ses coordonnées communiquées à l’ensemble des salariés.
Le traitement des données à caractère personnel dans le cadre du canal de signalement doit respecter les exigences du règlement (UE) 2016/679 (RGPD) tel qu’appliqué au Luxembourg, ainsi que la loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Un accord de sous-traitance conforme à l’article 28 du RGPD doit être établi.
L’employeur doit s’assurer que le prestataire externe dispose de procédures permettant de garantir la traçabilité des signalements, la protection des informations sensibles et la possibilité pour le lanceur d’alerte de suivre l’état d’avancement de son dossier. Il doit également organiser une information claire et accessible sur le fonctionnement du canal externalisé, et mettre à disposition une documentation détaillée.
Pratiques et recommandations
Il est recommandé de sélectionner un prestataire spécialisé dans la gestion des dispositifs d’alerte, disposant d’une expérience avérée et de références en matière de conformité au droit luxembourgeois. Avant toute externalisation, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD) afin d’identifier et de limiter les risques pour les personnes concernées.
Des sessions d’information à destination des salariés sont conseillées pour garantir la confiance dans le dispositif. L’employeur doit prévoir des mécanismes de contrôle régulier de la conformité du prestataire, notamment par des audits ou des revues périodiques des procédures mises en œuvre.
Il est conseillé d’inclure dans le contrat des clauses de résiliation en cas de manquement aux obligations légales ou contractuelles, ainsi que des dispositions relatives à la restitution ou à la destruction des données à l’issue de la prestation.
Cadre juridique
- Loi du 16 mai 2023 relative à la protection des lanceurs d’alerte :
- Article 10 : possibilité d’externaliser la gestion du canal de signalement, sous réserve du respect des exigences de confidentialité, d’indépendance et d’impartialité.
- Articles 6 à 12 : obligations relatives à la mise en place, au fonctionnement et à la protection des lanceurs d’alerte.
- Code du travail luxembourgeois :
- Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
- Règlement (UE) 2016/679 (RGPD) :
- Article 28 : obligations du sous-traitant.
- Articles 5, 6, 13 à 15 : principes relatifs au traitement des données, information des personnes concernées, droits d’accès et de rectification.
Note
La délégation de la gestion du canal de signalement à un prestataire externe ne transfère pas la responsabilité légale de l’employeur. Il est impératif de vérifier régulièrement la conformité du prestataire, de documenter les contrôles effectués et de conserver la maîtrise des processus essentiels liés au traitement des alertes.