Les difficultés soulevées par l'application aux entreprises françaises du "Sarbanes Oxley Act"

Le « SARBANES-OXLEY ACT » a été voté en juillet 2002 par le Congrès Américain, à la suite des scandales relatifs aux affaires ENRON et WORLDCOM.

Cette loi a notamment pour objectif de rétablir la confiance des opérateurs dans la fiabilité des informations communiquées par les entreprises cotées, par le biais d’un renforcement du contrôle interne sur les informations émanant de celles-ci.

Elle s’applique, de façon obligatoire, à toutes les entreprises, Américaines ou étrangères, cotées aux Etats-Unis et, par extension, aux filiales Européennes des groupes américains et aux entreprises qui travaillent ou exportent aux Etats-Unis.

Surtout, de nombreuses entreprises Françaises envisagent la mise en place de solutions informatiques, reposant sur la mise en œuvre de cette loi.

Il s’agit, notamment, de permettre de dénoncer tout comportement contraire à la loi ou aux règles fixées par l’entreprise.

Or, le cadre juridique applicable en France est susceptible de présenter certaines difficultés au regard des exigences posées par cette législation.

1. La mise en place de lignes éthiques

Dans le cadre d’une recherche d’informations à tous les niveaux de l’entreprise, destinée à améliorer le contrôle interne de celle-ci, plusieurs projets visant à mettre en place des dispositifs d’alerte professionnelle ont récemment été soumis à la CNIL.

Les outils proposés prévoient des aides à la recherche d’informations internes.

Ces systèmes, inspirés d’une lecture extensive du SARBANES-OXLEY ACT qui visait les seuls cadres financiers, sont imaginés pour permettre à tout salarié ayant connaissance d’une infraction aux lois et règlements ou même aux règles internes de l’entreprise, de signaler ces pratiques ou comportements à leur responsable, par téléphone, courrier électronique ou postal ou par télécopie.

Or, l’enregistrement de telles données constitue un traitement de données personnelles au sens de la loi Informatique et Libertés. Dès lors, les garanties prévues par cette loi au profit des personnes concernées doivent être respectées. Parmi celles-ci figurent, notamment, le droit de recevoir les informations relatives à ce traitement, le droit d’avoir accès aux données collectées et le cas échéant de les rectifier. La possibilité doit en outre être offerte aux personnes concernées de s’opposer, pour des motifs légitimes, à une telle collecte, à moins que celle-ci ne soit la conséquence d’une obligation légale. La qualité de salarié n’exclut pas l’application de ces règles.

Cet enregistrement de données est indépendant des déclarations effectuées par l’entreprise pour le fichier relatif à la gestion de la paie ou du personnel.

La CNIL préconise par ailleurs aux entreprises souhaitant mettre en place un tel dispositif de restreindre son champ aux domaines financiers, comptables, bancaires et de lutte contre la corruption, et de ne pas encourager les dénonciations anonymes.

Il convient de rappeler que la CNIL a publié un document d’orientation, plutôt qu’une recommandation, afin d’examiner au cas par cas chaque situation. Le 8 décembre 2005, a été mis en place un mécanisme d’autorisation unique.

La CNIL permet ainsi aux entreprises se conformant au document d’orientation le bénéfice d’une procédure déclarative, en lui adressant un engagement de conformité. Tous les autres systèmes sont soumis à procédure d’autorisation.

Elle préconise également le caractère complémentaire que doivent présenter ces dispositifs d’alerte. De même, le support d’enregistrement des données doit permettre l’enregistrement de données objectives et susceptibles de vérification.

La gestion de ces alertes doit être soumise à une organisation spécifique dans l’entreprise. Une communication des données recueillies peut être effectuée vers des sociétés du même groupe, si cette communication s’avère nécessaire pour les besoins de l’enquête.

Toutefois, l’identité de l’auteur de l’alerte ne pourra être donnée à la personne concernée.

En outre, si le Code du Travail prévoit qu’aucun salarié ne peut être sanctionné pour avoir relaté des faits constitutifs de harcèlement ou de discrimination (articles L 122-45 et suivants), le Code Pénal encadre néanmoins, aux articles L 226-10 et L 434-26, ce principe en sanctionnant les délits de dénonciation calomnieuse et de dénonciation d’infractions imaginaires, ce qui devrait être de nature à encourager les salariés à la plus grande prudence.

De même, le droit à la vie privée doit être respecté par l’employeur à l’égard de ses salariés. Il est recommandé de mettre en place une charte décrivant les comportements devant faire l’objet de dénonciations, et les comportements devant rester confidentiels. En effet, toute démarche subjective doit être proscrite, tant de la part d’un salarié que de la part d’un supérieur hiérarchique.

2. Le transfert de données personnelles hors Union Européenne

Par ailleurs, les données ainsi collectées sont, dans de nombreux cas, destinées à être transférées au siège Américain de l’entreprise. Or, en vertu de la loi Informatique et Libertés, le transfert de données personnelles vers un Etat hors Union Européenne ne garantissant pas un niveau suffisant de protection de la vie privée et des libertés fondamentales, n’est possible qu’après autorisation de la CNIL.

Les Etats-Unis étant signataires de l’accord Safe Harbour, l’entreprise destinataire des données doit s’engager à respecter les droits fondamentaux issus de la directive. L’entreprise expéditrice des données est responsable solidairement de l’utilisation qui sera faite des données.

Les entreprises disposent également de la possibilité de recourir, pour le transfert, aux clauses contractuelles types préconisées par la Commission Européenne, ou de mettre en place en interne, à l’échelle du groupe, des binding corporate rules relatives au transfert de données personnelles, assurant un niveau de protection de la vie privée et des droits des personnes suffisant.

3. La surveillance des salariés

Dans le cadre du renforcement de la vigilance dans l’entreprise, la mise en place de systèmes de surveillance des salariés, tels que la vidéosurveillance, le contrôle téléphonique, l’utilisation de badges, etc., peut également être envisagée.

Or, l’installation sur le lieu de travail d’un système de vidéosurveillance, captant et conservant des images sur un support numérique, constitue un traitement automatisé d’informations nominatives soumis à la loi Informatique et Libertés.

Susceptibles de porter atteinte à la liberté d’aller et venir, ces systèmes doivent respecter le principe de proportionnalité et s’effectuer de manière adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi (article L 120-2 du Code du Travail).

Ainsi, le nombre, l’emplacement, l’orientation, les fonctionnalités et les périodes de fonctionnement des caméras, de même que la nature des tâches accomplies par les personnes surveillées sont des éléments à prendre en compte pour l’évaluation du caractère proportionné du système.

Les personnes concernées (employés et visiteurs) doivent être informées de l’existence du dispositif, des destinataires des images ainsi que des modalités d’exercice de leur droit d’accès aux enregistrements.

La mise en place d’un tel système doit en outre faire l’objet d’une consultation des instances représentatives du personnel et d’une déclaration à la CNIL.

S’agissant du téléphone, les mêmes exigences en terme d’information du personnel et des instances représentatives existent (articles L 121-8 et L 432-2-1 du Code du Travail). L’accès aux relevés téléphoniques individuels n’est possible que de manière exceptionnelle, en cas par exemple d’utilisation anormale des services téléphoniques au regard de leur utilisation moyenne constatée au sein de l’entreprise.

En outre, l’article 226-15 du Code Pénal prévoit qu’aucun enregistrement ou écoute permanents du personnel ne peut être mis en œuvre par l’employeur, sauf législation particulière (par exemple, les salles de marché) ou cas justifiés (par exemple, la formation à l’accueil téléphonique).

La mise en place de badges ou de systèmes de géolocalisation fait l’objet des mêmes contraintes. Enfin, l’accès par l’employeur aux fichiers personnels du salarié nécessite que le salarié visé ait fait l’objet d’une information préalable (CCass, Ch. Soc., 17 mai 2005), sauf en cas de « risque ou d’évènement particulier ».