[Questions à...] "Whistleblowing" : la Cnil met à jour son autorisation unique - Questions à Alexandra Néri et Olivier Menant, avocats au cabinet Herbert Smith

Afin d'encadrer la mise en place d'un dispositif d'alerte professionnelle ou de "whistleblowing" au sein des entreprises et de simplifier leurs démarches administratives, la Commission nationale de l'informatique et des libertés (Cnil) a adopté une autorisation unique, le 8 décembre 2005 (1), leur permettant de réaliser une déclaration simplifiée si elles se conformaient à un cadre juridique strictement défini. Cependant, le 14 octobre 2010 (2), la Cnil a modifié cette autorisation unique laissant alors six mois aux entreprises pour se mettre en conformité avec le nouveau texte. Lexbase Hebdo - édition sociale a rencontré Alexandra Néri et Olivier Menant, avocats au cabinet Herbert Smith, afin de revenir sur les enjeux de la nouvelle autorisation unique en matière professionnelle et leurs conséquences directes sur les salariés. Lexbase : Qu'est ce qu'un dispositif d'alerte professionnelle ?

Alexandra Néri et Olivier Menant : Les dispositifs d'alerte professionnelle (ou "whistleblowing") consistent concrètement en une série de procédures et de moyens de traitement (une boîte aux lettres électronique, une ligne téléphonique dédiée, etc.), permettant aux salariés de signaler des agissements illégaux sans passer par les voies hiérarchiques traditionnelles, celle-ci pouvant être parfois impliquées dans les faits signalés.

Les dispositifs d'alerte professionnelle se sont généralisés aux Etats-Unis à la suite de l'adoption de la loi "Sarbanes-Oxley" du 31 juillet 2002. Cette loi devait renforcer, à la suite des affaires "Enron" et "Worldcom", les obligations imposées aux entreprises en matière de transparence financière (obligations concernant d'ailleurs certaines sociétés françaises cotées sur le marché américain).

C'est également en réponse aux nouvelles obligations (3) de contrôle interne imposées aux entreprises que les "chartes éthiques" (4) et les alertes professionnelles se sont développées en France sur le modèle américain.

Ces dispositifs impliquent la collecte et le traitement de données à caractère personnel, afin de traiter, orienter, et suivre les alertes, et doivent dès lors être mis en oeuvre conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), et en particulier, faire l'objet d'une demande d'autorisation.

Dans un premier temps, la Cnil a simplement émis une recommandation générale, après avoir rejeté les demandes d'autorisation des sociétés McDonald's et Exide Technologies. Puis, face à la multiplication des demandes d'autorisation en application de l'article 25-I de la loi "informatique et libertés", la Cnil adoptait en 2005 (5) une autorisation unique n° AU-004, permettant aux entreprises concernées d'instaurer ce type de dispositif sur simple engagement de conformité à un cadre prédéfini. C'est cette autorisation unique qui a été mise à jour récemment.

Lexbase : Par une délibération du 14 octobre 2010 (6), la Cnil a modifié son autorisation unique permettant de mettre en place un dispositif d'alerte professionnelle. Pourriez-vous revenir sur le contexte et l'origine de cette décision ?

Alexandra Néri et Olivier Menant : En 2005, la Cnil avait défini le périmètre du dispositif aux termes de l'article 1er de son autorisation unique : les alertes devaient concerner uniquement les domaines comptables, bancaires, financiers et la lutte contre la corruption. Aux termes de l'article 3, la Cnil tolérait néanmoins que puissent être recueillies, puis réorientées les alertes situées hors du champ de l'article 1er et concernant certains faits graves, à savoir des faits mettant en jeu l'intérêt vital de l'organisme ou l'intégrité physique ou morale de ses employés.

Or, dans un arrêt du 8 décembre 2009 (7), la Cour de cassation a considéré que l'article 1er de l'autorisation unique définit de manière précise les finalités de ces alertes, de sorte que l'article 3 ne pouvait avoir pour effet d'y déroger.

La Cnil a ainsi modifié son autorisation unique afin de tenir compte de la position de la Cour de cassation.

Lexbase : Quels sont les nouveaux domaines pouvant faire l'objet d'une alerte professionnelle et quelles sont désormais les modalités d'archivage des alertes à mettre en oeuvre ?

Alexandra Néri et Olivier Menant : Avec cette mise à jour, il existe aujourd'hui un cinquième domaine couvert par l'autorisation unique, celui des pratiques anticoncurrentielles. Le terme est assez vague, mais il fait écho au Titre 2 (Livre 4) du Code de commerce sur les pratiques anticoncurrentielles, et est donc susceptible de couvrir un champ assez large, par exemple, les actions concertées, les ententes expresses ou tacites, les pratiques discriminatoires et autres abus de position dominante.

Par ailleurs, le système d'alerte peut maintenant couvrir les obligations nées de la loi japonaise "Financial Instrument and Exchange Act" du 6 juin 2006 (dite "Japanese Sox") et non plus seulement de la loi française ou de la section 301 de la loi américaine dite "Sarbanes Oxley".

Lexbase : Cette autorisation unique va-t-elle ouvrir de nouveaux droits ou obligations à l'égard des salariés ?

Alexandra Néri et Olivier Menant : Cette autorisation permet aux salariés de signaler en plus les comportements susceptibles de constituer une infraction au droit de la concurrence.

En revanche, le salarié ne peut plus utiliser le dispositif pour signaler de comportements autres que ceux clairement visés par l'autorisation unique. Par exemple, en cas de manquement grave à la politique de sécurité ou de divulgation d'informations confidentielles, le salarié devra utiliser les voies classiques.

Par ailleurs, s'agissant des données relatives aux salariés, et plus précisément de la durée de conservation de ces données, il est prévu que le responsable du traitement détruise ou archive les données relatives à une alerte dans un délai de deux mois lorsque celle-ci n'est pas suivie d'une procédure disciplinaire ou judiciaire, y compris dorénavant lorsque l'alerte n'a pas fait l'objet de vérifications.

Lexbase : Il n'est pas nécessaire aux entreprises de procéder à une nouvelle déclaration de conformité. En revanche, les entreprises concernées sont dans l'obligation de mettre en conformité leur traitement avant le 8 juin 2011. Quelle procédure devront alors suivre ces entreprises ?

Alexandra Néri et Olivier Menant : Les sociétés concernées doivent, d'une part, procéder à la modification des règles applicables dans l'entreprise (par exemple : code d'éthique définissant le champ d'application du dispositif à l'intention des salariés, avenant au règlement intérieur, et/ou à la charte informatique).

D'autre part, il est nécessaire de procéder à la destruction sans délai des données déjà collectées n'entrant pas dans le champ du dispositif, c'est-à-dire lorsqu'elles sont relatives à des faits mettant en jeu l'intérêt vital de l'entreprise ou l'intégrité physique ou morale des salariés.

Par ailleurs, il conviendra de mettre à jour (le cas échéant) le système informatique afin que les domaines hors champs ne puissent plus être traités ou que les alertes soient filtrées, et de manière à prendre en compte le nouveau champ des pratiques anticoncurrentielles. Dans le cas où le traitement a été confié à un prestataire externe, il conviendra de l'informer de cette mise à jour, de s'assurer que celui-ci respecte les nouvelles règles applicables et d'obtenir une garantie sur la conformité de ses services à ces règles.

Enfin, il conviendra d'informer les salariés sur le nouveau champ d'application en leur rappelant qu'ils doivent utiliser le recours aux voies classiques pour les domaines ne relevant pas de l'autorisation unique (voie hiérarchique, information des représentants syndicaux ou des services de ressources humaines) et, le cas échéant, de consulter les instances représentatives du personnel, et le comité d'hygiène de sécurité et des conditions de travail sur les nouvelles règles.

Lexbase : A quelles sanctions s'exposeront les entreprises qui n'auront pas procédé à cette mise en conformité avant la date impartie par la CNIL, le 8 juin 2011 ?

Alexandra Néri et Olivier Menant : Les entreprises qui mettent en oeuvre un traitement de données à caractère personnel en infraction à la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, et, en particulier, qui ne respectent pas, y compris par négligence, les normes de la Cnil peuvent être condamnées à 300 000 euros d'amende (à multiplier par cinq pour les personnes morales) aux termes des articles 226-16 (N° Lexbase : L4476GTX) à 226-24 (N° Lexbase : L2353IEU) du Code pénal.

Plus probablement, les entreprises en infraction sont susceptibles de se voir infliger des sanctions administratives et financières par la Cnil en vertu des articles 45 et suivants de la loi "informatique et libertés", c'est-à-dire concrètement, des avertissements, des mises en demeures, voire des sanctions pécuniaires d'un montant maximal de 150 000 euros.

La Cnil dispose, également, d'un moyen de pression important du fait de son pouvoir d'injonction, qui peut impliquer l'interdiction pour l'entreprise de continuer à traiter les données en question.

---

(1) Délibération CNIL n° 2005-305 du 8 décembre 2005.
(2) Délibération CNIL n° 2010-369 du 14 octobre 2010.
(3) Loi n° 2003-706 du 1er août 2003, de sécurité financière (N° Lexbase : L3556BLB), loi n° 2007-1598 du 13 novembre 2007, relative à la lutte contre la corruption (N° Lexbase : L2607H3X), loi n° 2001-420 du 15 mai 2001, relative aux nouvelles régulations économiques (N° Lexbase : L8295ASZ).
(4) Voir, Code de déontologie : "On ne renonce pas à sa liberté de penser lors d'une embauche, ni même au cours de l'exécution de son contrat de travail" - Questions à Maître Dominique Bianchi, avocat au barreau de Lille, Lexbase Hebdo n° 422 du 6 janvier 2011 - édition sociale (N° Lexbase : N0291BR9).
(5) Délibération CNIL n° 2005-305 du 8 décembre 2005, préc..
(6) Délibération CNIL n° 2010-369 du 14 octobre 2010, préc..
(7) Cass. soc., 8 décembre 2009, n° 08-17.191, FP-P+B+R+I (N° Lexbase : A3615EPL) et voir les obs. de Ch. Willmann, Alerte professionnelle : un code d'entreprise doit être conforme à la loi du 6 janvier 1978, Lexbase Hebdo n° 376 du 17 décembre 2009 - édition sociale (N° Lexbase : N7165BMC).

© Reproduction interdite, sauf autorisation écrite préalable