Quelle légalité pour les dispositifs d'alertes professionnelles ?

Le Sarbanes Oxley Act, adopté le 2 juillet 2002 aux Etats Unis à la suite du scandale Enron, n’en finit pas de donner lieu à des débats jurisprudentiels au regard du droit français.

La dernière affaire en date concerne le « code de conduite des affaires » mis en place par la société DASSAULT Systèmes afin de rappeler les règles à respecter par les salariés dans l’exercice de leur activité professionnelle.

Ce code comprenait la mise en place d’un dispositif d’alerte professionnelle permettant aux salariés de signaler tout manquement via une adresse électronique dédiée.

La CNIL a, le 8 décembre 2005, adopté une autorisation unique de traitement automatisé de données à caractère personnel, mise en œuvre dans le cadre de dispositifs d’alerte professionnelle.

De tels dispositifs sont définis comme des systèmes mis à la disposition des employés d’un organisme public ou privé, pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

La CNIL considère que ces dispositifs de whistleblowing constituent des traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toutes dispositions législatives ou réglementaires.

Elle a donc pris le soin d’établir, dans sa délibération, des conditions d’autorisation de mise en œuvre de tels traitements, en conformité avec la loi Informatique et Libertés.

La finalité du dispositif mis en œuvre doit ainsi être limitée à l’établissement de procédure de contrôle interne dans les domaines financiers comptables, bancaires et de la lutte contre la corruption.

La CNIL recommande également d’entourer le traitement d’une alerte transmise par un salarié de précaution particulière telle qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif.

L’employeur doit s’abstenir d’inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif doit en tenir compte.

La société DASSAULT Systèmes a, préalablement à la mise en place de son dispositif d’alerte professionnelle, effectué une déclaration de conformité à l’autorisation unique n°4 élaborée par la CNIL.

Saisie par le Fédération des Travailleurs de la Métallurgie CGT, la Cour de Cassation a eu l’occasion de se prononcer sur la légalité du Code of Business Conduct, mis en place par la société DASSAULT Systèmes.

Dans son Arrêt n° 2524 de la Chambre Sociale du 8 décembre 2009, les Magistrats retiennent qu’aucune mesure d’information et de protection des personnes n’était prévue dans ce dispositif d’alerte professionnelle de manière conforme aux exigences de la Loi Informatique et Libertés et de la délibération de la CNIL portant autorisation unique.

La Cour de Cassation relève également, qu’à partir du moment où le dispositif d’alerte faisant l’objet de l’engagement de conformité à l’autorisation unique transmis par la société DASSAULT Systèmes, avait une finalité différente de celle prévue dans l’autorisation unique, celui-ci devait faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL.

En effet, tandis que la délibération du 8 décembre 2005 de la CNIL prévoit que le traitement mis en œuvre doit répondre à une obligation législative ou règlementaire visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptables, bancaires et de lutte contre la corruption pouvant être élargi à tout domaine lorsque l’intérêt vital de la société ou l’intégrité physique ou morale de ses employées est en jeu, la société DASSAULT Systèmes permettait plus généralement à ses employés de dénoncer les faits de délits d’initiés, de conflits d’intérêt, de harcèlement, de discrimination ou de divulgation d’informations confidentielles.

La Cour de Cassation a, en conséquence, invalidé le dispositif mis en place.

En conséquence, comme souvent en matière de droit des données personnelles, le débat porte sur la finalité réelle du procédé mis en place.