La protection des données personnels est devenue un enjeu de société. Et à l’ère de la digitalisation à tout-va, le respect des règles mises en place vise à protéger le citoyen d’une exploitation à mauvais escient de certaines informations le concernant. C’est ainsi qu’en 2022, par exemple, la Commission nationale de protection des données luxembourgeoise a reçu 354 notifications de violations de données. Un chiffre relativement stable ces dernières années.

Reste que pour certains salariés, il reste délicat de signaler une éventuelle dérive de son employeur dans la gestion des données électroniques confiées par des clients, des partenaires, des employés. D’où la mise en service par la CNPD d’un “Canal pour lanceurs d’alerte“.

Par le biais de ce fichier à compléter, quiconque peut signaler en parfaite confidentialité tout fait ou suspicion de « violations de la confidentialité des données, failles de sécurité informatique ou tout autre aspect préoccupant concernant la manipulation ou l’utilisation non autorisée de données personnelles », liste la Commission.

S’identifier ou pas, au choix

Une fois le signalement effectué, à charge pour la CNPD d’enquêter, demander des rectifications voir sanctionner. Ainsi, en 2022, des amendes ont été dressées. Sanctionnant pour 48.375 euros les “entorses” à la loi constatées.

Afin de protéger le lanceur d'alerte, nulle obligation n'est faite de donner son identité. L'anonymat peut donc être pleinement conservé. Et si l'auteur de la notification souhaite s’identifier, seuls les enquêteurs (les "need to know") auront accès à son nom.

Tout signalement dans le "canal" entraînera une enquête « menée avec rigueur » , assure-t-on côté CNPD. Sachant que pour la faute soit réprimandée, il n'est nullement obligatoire de la signaler d'abord en interne dans son entreprise.