Existe-t-il une obligation de confidentialité autour des alertes RPS ?

Réponse courte

Il existe une obligation de confidentialité autour des alertes relatives aux risques psychosociaux (RPS) en entreprise au Luxembourg. Cette obligation concerne aussi bien le contenu de l’alerte que l’identité de toutes les personnes impliquées (auteur du signalement, personne mise en cause, témoins), et s’applique quel que soit le canal de signalement utilisé.

La confidentialité doit être respectée à chaque étape du traitement de l’alerte, avec un accès limité aux seules personnes habilitées et des procédures internes précises. Toute divulgation d’informations n’est permise que dans la stricte mesure nécessaire à l’instruction des faits et à la mise en œuvre de mesures correctives, sous peine d’engager la responsabilité disciplinaire ou civile de l’auteur de la divulgation et de l’employeur.

Définition

Les alertes relatives aux risques psychosociaux (RPS) correspondent à des signalements effectués par un salarié, un représentant du personnel ou toute autre personne au sein de l’entreprise, concernant des situations susceptibles de porter atteinte à la santé mentale ou physique des travailleurs. Ces situations incluent notamment le harcèlement moral, le harcèlement sexuel, le stress professionnel, la violence au travail ou toute autre forme de souffrance psychique liée à l’activité professionnelle.

L’alerte RPS vise à permettre à l’employeur de prendre les mesures nécessaires pour prévenir ou faire cesser ces risques, conformément à son obligation générale de sécurité et de protection de la santé des salariés.

Conditions d’exercice

L’obligation de confidentialité s’applique dès qu’une alerte RPS est portée à la connaissance de l’employeur, du service des ressources humaines ou d’un représentant du personnel. Cette obligation découle du respect de la vie privée des personnes concernées, qu’il s’agisse de l’auteur du signalement, de la personne mise en cause ou de tout témoin cité.

La confidentialité s’impose quel que soit le canal de signalement utilisé (oral, écrit, boîte dédiée, etc.) et concerne tant le contenu de l’alerte que l’identité des personnes impliquées. La divulgation d’informations relatives à une alerte RPS ne peut intervenir que dans la stricte mesure nécessaire à l’instruction des faits et à la mise en œuvre des mesures correctives, dans le respect du principe d’égalité de traitement et de non-discrimination.

Modalités pratiques

La gestion confidentielle des alertes RPS impose la mise en place de procédures internes précises et documentées. L’accès aux informations relatives à l’alerte doit être limité aux seules personnes habilitées à traiter le dossier, telles que les membres du service RH, la direction ou le comité de sécurité et santé.

Les documents et échanges liés à l’alerte doivent être conservés de manière sécurisée, avec des restrictions d’accès appropriées et une traçabilité des consultations. Lors de l’enquête interne, l’anonymat du lanceur d’alerte doit être préservé autant que possible, sauf si la révélation de son identité est indispensable à la manifestation de la vérité et sous réserve de l’en informer préalablement.

Toute communication externe, notamment à des tiers ou à d’autres salariés, doit être strictement encadrée et justifiée par les nécessités de l’enquête ou par des obligations légales spécifiques. L’encadrement humain du dispositif de traitement des alertes doit être assuré à chaque étape.

Pratiques et recommandations

Il est recommandé d’intégrer dans le règlement interne ou dans une procédure dédiée une clause rappelant l’obligation de confidentialité applicable aux alertes RPS. Les personnes susceptibles de recevoir ou de traiter ces alertes doivent être formées à la gestion confidentielle des signalements et sensibilisées à la protection des données personnelles.

Il convient d’informer l’ensemble des salariés de l’existence de la procédure, des garanties de confidentialité offertes et des voies de recours en cas de manquement. Toute violation de la confidentialité peut engager la responsabilité disciplinaire de l’auteur de la divulgation, voire la responsabilité civile de l’employeur en cas de préjudice subi par les personnes concernées.

Il est conseillé de documenter précisément les mesures prises pour garantir la confidentialité à chaque étape du traitement de l’alerte, et de prévoir un suivi régulier de l’efficacité du dispositif.

Cadre juridique

Article L.121-6 du Code du travail : Protection de la vie privée au travail, encadrement de la collecte et du traitement des données à caractère personnel.
Article L.245-2 du Code du travail : Protection contre le harcèlement moral et sexuel, obligation de prévention et de traitement des situations signalées.
Articles L.271-1 à L.271-10 du Code du travail : Dispositif de protection des lanceurs d’alerte, garanties de confidentialité et interdiction de représailles.
Loi du 16 mai 2023 relative à la protection des lanceurs d’alerte : Procédure de signalement interne, confidentialité de l’identité du lanceur d’alerte et des personnes concernées.
Règlement (UE) 2016/679 (RGPD) : Principes applicables à la protection des données personnelles dans le cadre du traitement des alertes.
Jurisprudence luxembourgeoise : Obligation pour l’employeur de veiller à la stricte confidentialité des informations recueillies lors de l’instruction d’une alerte RPS, sous peine de voir sa responsabilité engagée en cas de divulgation non justifiée.

Note

La confidentialité autour des alertes RPS n’exonère pas l’employeur de son obligation de diligenter une enquête sérieuse, impartiale et documentée. Toute atteinte injustifiée à la confidentialité peut constituer une faute et exposer l’entreprise à des sanctions civiles, administratives ou pénales. Il est essentiel de garantir l’encadrement humain du dispositif et la traçabilité des actions menées.