L’article 40 du code de procédure pénale dispose que : "Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs". Cet article de loi s'étend aux journalistes, citoyens et salariés estimant que la publication d'informations est d'intérêt général. Peu à peu, la législation qui concerne les lanceurs d'alerte se précise. En 2017, comme l'indiquait cet article d'IT SOCIAL, la Commission européenne s’était déjà dotée d’un outil de messagerie cryptée pour le lancement d'alertes pour dénoncer anonymement les pratiques anticoncurrentielles. Il était alors possible pour les entreprises de négocier une réduction de l'amende qui leur était infligée.
Dernière évolution de la loi dans le domaine, le décret d'application de la loi sur la protection des lanceurs d'alerte, entrée en vigueur le 1er septembre 2022. Elle impose, notamment, aux personnes morales de droit public ou de droit privé employant au moins 50 agents ou salariés, de mettre en place un dispositif sécurisé de recueil et de traitement des signalements, qui garantit la confidentialité de l’identité de l’auteur du signalement. Le secret des affaires invoqué par les entreprises pour se protéger est désormais fortement encadré par plusieurs textes législatifs dont les lois Sapin II et Waserman mais aussi par l’article L. 151-8 du Code de commerce qui précise que "le secret des affaires n’est pas opposable lorsque son obtention, son utilisation ou sa divulgation intervient, notamment, aux fins de l'exercice du droit à la liberté d’expression et de communication, le respect de la liberté de la presse, et la liberté d’information."
La Cnil modifie son référentiel « alertes professionnelles » et l'Anssi met en place un dispositif spécifique
La CNIL a mis à jour son référentiel, initialement publié en 2019, tenant ainsi compte de la transposition en France de la directive européenne sur la protection des lanceurs d’alerte par la loi Waserman. Parmi les ajouts, figurent la mise à jour du tableau des mesures de sécurité, de nouvelles précisions relatives aux durées de conservation des données, avec notamment, les mesures basiques de sécurisation, de sauvegarde et de préservation de la continuité d'activité, d’archivage de manière sécurisée.L'Agence nationale de la sécurité des systèmes d'information (Anssi) a mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte. Il concerne les informations "portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international."
Dans cet article nous avons mentionné cette note de l'AFCDP sur les pressions exercées sur les DPO (Délégué à la protection des données) par certaines directions métier ou même par le responsable de traitement des données. L'une des conséquences, c'est que les DPO ne peuvent, dans ces conditions, que juger rétrospectivement si la conception d'un projet est conforme au RGPD. En bref, la législation européenne et française sur les lanceurs d'alerte expriment que la protection d'une entreprise ne doit pas les réduire au silence lorsqu'ils agissent pour le bien public et collectif.