Accueil du site > > Informatique et (...)

Informatique et Libertés : la légalité des dispositifs d’alerte professionnelle

Informatique et Libertés : la légalité des dispositifs d'alerte professionnelle

Les entreprises et administrations qui recourent à des dispositifs d’alerte professionnelle permettant aux employés de dénoncer des manquements sont tenus de respecter certaines règles en matière de données personnelles. Le Sarbanes Oxley Act, adopté le 2 juillet 2002 aux Etats Unis à la suite du scandale Enron, n’en finit pas de donner lieu à des débats jurisprudentiels au regard du droit français. La dernière affaire en date concerne le « Code de conduite des affaires », mis en place par la société Dassault Systèmes, afin de rappeler les règles à respecter par les salariés dans l’exercice de leur activité professionnelle. Ce code comprenait l’instauration d’un dispositif d’alerte professionnelle permettant aux salariés de signaler tout manquement via une adresse électronique dédiée.

Droit

Les conditions de la Cnil

La Commission nationale Informatique et Libertés (Cnil) a, le 8 décembre 2005, adopté une autorisation unique de traitement automatisé de données à caractère personnel, mise en œuvre dans le cadre de dispositifs d’alerte professionnelle.

De tels dispositifs sont définis comme des systèmes mis à la disposition des employés d’un organisme public ou privé, pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

La Cnil considère que ces dispositifs de whistleblowing constituent des traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toutes dispositions législatives ou réglementaires. Elle a donc pris le soin d’établir, dans sa délibération, des conditions d’autorisation de mise en application de tels traitements, en conformité avec la loi Informatique et Libertés.

La finalité du dispositif mis en œuvre doit ainsi être limitée à l’établissement de procédure de contrôle interne dans les domaines financiers comptables, bancaires et de la lutte contre la corruption.

La Commission recommande également d’entourer le traitement d’une alerte transmise par un salarié de précaution particulière telle qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.

L’employeur doit s’abstenir d’inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif doit en tenir compte.

Finalité du dispositif

La société Dassault Systèmes a, préalablement à la mise en place de son dispositif d’alerte professionnelle, effectué une déclaration de conformité à l’autorisation unique n°4 élaborée par la Cnil. Saisie par le Fédération des travailleurs de la métallurgie CGT, la Cour de Cassation a eu l’occasion de se prononcer sur la légalité du Code of Business Conduct, instauré par l’entreprise.

Dans un arrêt de la Chambre Sociale du 8 décembre 2009 (n° 2524) , les magistrats ont retenu qu’aucune mesure d’information et de protection des personnes n’était prévue dans ce dispositif d’alerte professionnelle, conformément aux exigences de la Loi Informatique et Libertés et de la délibération de la Cnil portant autorisation unique.

La Cour de Cassation a également relevé qu’à partir du moment où le dispositif d’alerte faisant l’objet de l’engagement de conformité à l’autorisation unique transmis par Dassault Systèmes, avait une finalité différente de celle prévue dans l’autorisation unique, celui-ci devait faire l’objet d’une demande d’autorisation spécifique auprès de la Cnil.

En effet, tandis que la délibération de la Cnil prévoit que le traitement mis en œuvre doit répondre à une obligation législative ou règlementaire visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptables, bancaires et de lutte contre la corruption, pouvant être élargi à tout domaine lorsque l’intérêt vital de la société ou l’intégrité physique ou morale de ses employées est en jeu, Dassault Systèmes permettait, plus généralement, à ses employés de dénoncer les faits de délits d’initiés, de conflits d’intérêt, de harcèlement, de discrimination ou de divulgation d’informations confidentielles.

La Cour de Cassation a, en conséquence, invalidé le dispositif mis en place.

Comme souvent en matière de droit des données personnelles, le débat porte ainsi sur la finalité réelle du procédé mis en place.

mercredi 19 mai 2010

Suite des dépêches