Devoir de confidentialité
Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937
Devoir de confidentialité
1. Les États membres veillent à ce que l’identité de l’auteur de signalement ne soit pas divulguée sans le consentement exprès de celui-ci à toute personne autre que les membres du personnel autorisés compétents pour recevoir des signalements ou pour en assurer le suivi. Cela s’applique également pour toute autre information à partir de laquelle l’identité de l’auteur de signalement peut être directement ou indirectement déduite.
2. Par dérogation au paragraphe 1, l’identité de l’auteur de signalement et toute autre information visée au paragraphe 1 peuvent être divulguées uniquement lorsqu’il s’agit d’une obligation nécessaire et proportionnée imposée par le droit de l’Union ou le droit national dans le cadre d’enquêtes menées par des autorités nationales ou dans le cadre de procédures judiciaires, notamment en vue de sauvegarder les droits de la défense de la personne concernée.
3. Les divulgations effectuées en vertu de la dérogation prévue au paragraphe 2 font l’objet de mesures de sauvegarde appropriées en vertu des règles de l’Union et des règles nationales applicables. En particulier, les auteurs de signalement sont informés avant que leur identité ne soit divulguée, à moins qu’une telle information ne risque de compromettre les enquêtes ou les procédures judiciaires concernées. Lorsqu’elle informe les auteurs de signalement, l’autorité compétente leur adresse une explication écrite des motifs de la divulgation des données confidentielles concernées.
4. Les États membres veillent à ce que les autorités compétentes qui reçoivent des informations sur des violations qui comportent des secrets d’affaires n’utilisent pas ou ne divulguent pas ces secrets d’affaires à des fins allant au-delà de ce qui est nécessaire pour assurer un suivi approprié.
Au Luxembourg, la loi du 16 mai 2023 relative a la protection des lanceurs d'alerte erige la violation du devoir de confidentialite en infraction penale autonome : la divulgation intentionnelle de l'identité d'un lanceur d'alerte expose son auteur a une amende de 1 250 a 25 000 EUR, doublee en cas de recidive, en plus d'une responsabilité civile pour le prejudice cause. L'OFRS (Office des rapports de signalement) est competent pour recevoir les plaintes en cas de manquement, et peut coordonner avec la CNPD lorsqu'un traitement de données est en cause, ou la CSSF / ITM / CAA / ILR selon le secteur regule.
Pratique Luxgap : nous nominons formellement les référents alerte dans un registre opposable, parametrons le canal interne avec separation cryptographique des roles, et redigeons la procédure de derogation article 16(2) pre-validee par votre conseil juridique pour eviter toute divulgation reflexe sur simple demande administrative.
