Qui peut accéder au contenu d’un signalement dans l’entreprise ?

Réponse courte

Seules les personnes expressément désignées par l’employeur pour recevoir et traiter les signalements internes peuvent accéder au contenu d’un signalement dans l’entreprise. Ces personnes doivent être indépendantes, impartiales, formées à la gestion des alertes et à la protection des données, et sont soumises à une obligation stricte de confidentialité.

L’accès d’autres salariés, membres de la direction ou représentants du personnel n’est possible qu’en cas de nécessité impérieuse, dans le respect du principe de confidentialité et sous réserve d’une traçabilité stricte. L’accès à des tiers extérieurs (avocats, experts, autorités compétentes) n’est autorisé que si leur intervention est indispensable et qu’ils sont soumis à une obligation de confidentialité équivalente.

Définition

Le contenu d’un signalement interne regroupe l’ensemble des informations transmises par un lanceur d’alerte dans le cadre d’une procédure de recueil et de traitement des alertes professionnelles au sein d’une entreprise. Cela inclut les faits rapportés, les éléments de preuve, l’identité du lanceur d’alerte (sauf anonymat), les personnes visées, ainsi que tout document ou support joint au signalement.

L’accès à ce contenu est strictement encadré afin d’assurer la confidentialité, la protection du lanceur d’alerte, le respect des droits des personnes concernées et la conformité aux obligations légales, notamment en matière de protection des données et d’égalité de traitement.

Conditions d’exercice

Seules les personnes expressément désignées par l’employeur pour recevoir et traiter les signalements internes peuvent accéder au contenu d’un signalement. Ces personnes doivent être indépendantes, impartiales et bénéficier d’une formation spécifique à la gestion des alertes et à la protection des données.

Elles sont soumises à une obligation légale de confidentialité, y compris vis-à-vis de la hiérarchie, des autres salariés et des représentants du personnel. L’accès d’autres salariés, membres de la direction ou représentants du personnel n’est possible qu’en cas de nécessité impérieuse, dans le respect du principe de confidentialité et sous réserve d’une traçabilité stricte.

L’accès à des tiers extérieurs (avocats, experts, autorités compétentes) n’est autorisé que si leur intervention est indispensable à l’examen du signalement, sous réserve qu’ils soient soumis à une obligation de confidentialité équivalente. L’identité du lanceur d’alerte et des personnes visées ne peut être divulguée sans leur consentement, sauf obligation légale ou nécessité pour la défense des droits de la personne mise en cause.

Modalités pratiques

L’employeur doit désigner formellement, par écrit, les personnes habilitées à accéder au contenu des signalements. Cette désignation doit être documentée, traçable et portée à la connaissance des salariés, conformément au principe de transparence.

Les accès informatiques et physiques aux dossiers de signalement doivent être limités à ces personnes par des mesures techniques et organisationnelles appropriées, telles que la gestion des droits d’accès, la traçabilité des consultations et la conservation sécurisée des documents.

Toute consultation ou transmission du contenu d’un signalement doit être consignée dans un registre spécifique, mentionnant l’identité de la personne ayant accédé à l’information, la date et le motif de l’accès. Les échanges d’informations doivent s’effectuer par des canaux sécurisés, garantissant l’intégrité et la confidentialité des données. En cas de changement de fonction ou de départ d’une personne habilitée, ses accès doivent être immédiatement révoqués.

Pratiques et recommandations

Il est recommandé de limiter le nombre de personnes habilitées à accéder au contenu des signalements au strict nécessaire, afin de réduire les risques de divulgation non autorisée. Les personnes désignées doivent suivre une formation régulière sur la gestion des alertes, la protection des données personnelles et les obligations de confidentialité.

L’entreprise doit mettre en place une procédure interne permettant de signaler toute violation potentielle de la confidentialité. Il est conseillé d’informer l’ensemble des salariés, lors de la mise en place du dispositif de signalement, des modalités d’accès au contenu des alertes et des garanties offertes en matière de confidentialité.

Un audit régulier des accès et des procédures doit être organisé pour s’assurer du respect des obligations légales, de la traçabilité des accès et de la prévention de tout manquement. L’encadrement humain du dispositif doit être assuré à chaque étape du traitement du signalement.

Cadre juridique

Loi du 16 mai 2023 portant transposition de la directive (UE) 2019/1937 sur la protection des personnes qui signalent des violations du droit national, notamment :
- Article 8 (obligation de désignation des personnes habilitées et confidentialité)
- Article 9 (protection de l’identité du lanceur d’alerte et des personnes visées)
- Article 10 (modalités de traitement et traçabilité)
Code du travail luxembourgeois :
- Article L.271-1 à L.271-10 (protection des lanceurs d’alerte, confidentialité, égalité de traitement)
- Article L.261-1 et suivants (protection des données à caractère personnel dans le cadre de la relation de travail)
Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (transposant le RGPD)
Toute consultation ou divulgation non autorisée expose l’employeur et les personnes concernées à des sanctions administratives, civiles et pénales.

Note

L’accès non autorisé ou la divulgation injustifiée du contenu d’un signalement constitue une violation grave susceptible d’engager la responsabilité civile, administrative et pénale de l’employeur et des personnes concernées. Il est impératif de documenter chaque accès et de garantir un encadrement humain à chaque étape du traitement.