Devoir de confidentialité
Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937
Devoir de confidentialité
1. Les États membres veillent à ce que l’identité de l’auteur de signalement ne soit pas divulguée sans le consentement exprès de celui-ci à toute personne autre que les membres du personnel autorisés compétents pour recevoir des signalements ou pour en assurer le suivi. Cela s’applique également pour toute autre information à partir de laquelle l’identité de l’auteur de signalement peut être directement ou indirectement déduite.
2. Par dérogation au paragraphe 1, l’identité de l’auteur de signalement et toute autre information visée au paragraphe 1 peuvent être divulguées uniquement lorsqu’il s’agit d’une obligation nécessaire et proportionnée imposée par le droit de l’Union ou le droit national dans le cadre d’enquêtes menées par des autorités nationales ou dans le cadre de procédures judiciaires, notamment en vue de sauvegarder les droits de la défense de la personne concernée.
3. Les divulgations effectuées en vertu de la dérogation prévue au paragraphe 2 font l’objet de mesures de sauvegarde appropriées en vertu des règles de l’Union et des règles nationales applicables. En particulier, les auteurs de signalement sont informés avant que leur identité ne soit divulguée, à moins qu’une telle information ne risque de compromettre les enquêtes ou les procédures judiciaires concernées. Lorsqu’elle informe les auteurs de signalement, l’autorité compétente leur adresse une explication écrite des motifs de la divulgation des données confidentielles concernées.
4. Les États membres veillent à ce que les autorités compétentes qui reçoivent des informations sur des violations qui comportent des secrets d’affaires n’utilisent pas ou ne divulguent pas ces secrets d’affaires à des fins allant au-delà de ce qui est nécessaire pour assurer un suivi approprié.
Au Luxembourg, le devoir de confidentialité est porté par l'Office des rapports de signalement (OFRS), autorité externe transversale, et sa violation est penalement sanctionnée : amendes de 1 250 a 25 000 EUR, doublees en cas de recidive, auxquelles s'ajoute l'indemnisation civile du lanceur d'alerte. La loi du 16 mai 2023 relative a la protection des lanceurs d'alerte impose le dispositif des 50 salariés pour les organisations publiques et privées, sans seuil pour les organismes publics, et prevoit le signalement sectoriel auprès de la CSSF (finance), de la CNPD (données), de l'ITM (travail), de la CAA (assurances) ou de l'ILR (telecom) selon le domaine.
Pratique Luxgap : limitez nominativement la liste des membres du personnel habilites, tracez chaque accès de manière inalterable et preparez le modèle d'information ecrite avant toute divulgation derogatoire, car c'est le premier point verifie en cas de contrôle OFRS ou CNPD.