Dispositifs d’alerte professionnelle : la voie de la légalisation

La loi Sarbanes-Oxley impose aux sociétés cotées aux Etats-Unis et à leurs filiales étrangères de procurer à leurs employés un dispositif de whistleblowing, dénommé, en français « alerte professionnelle », leur permettant de dénoncer les délits financiers dont ils ont connaissance.

Il n’existe pas de loi française sur ces dispositifs mais elle pourrait bien voir le jour, cette voie étant préconisée par un rapport remis le 7 mars 2007 au Ministre délégué à l’emploi, au travail et à l’insertion professionnelle des jeunes.

En effet, les auteurs de ce rapport considèrent qu’ « il pourrait être judicieux, (…) d’introduire dans le Code du travail des règles spécifiques à l’alerte professionnelle », relevant que « l’existence de législations étrangères sur ce thème (…) conforte l’utilité et la faisabilité de cette démarche ».

Cette nouvelle réglementation aurait essentiellement pour objectifs de « – définir l’alerte professionnelle ; – déterminer les instruments juridiques de mise en place du dispositif ; – fixer les règles d’organisation que doit contenir l’instrument juridique choisi ; – protéger l’émetteur ».

Ainsi, le dispositif d’alerte professionnelle serait « un ensemble de règles organisant la possibilité pour un salarié ou toute autre personne exerçant une activité dans une entreprise de signaler au chef d’entreprise ou à d’autres personnes désignées à cet effet (i) des actes contraires à des dispositions législatives ou réglementaires, aux dispositions des conventions et accords collectifs de travail applicables à l’entreprise ou à des règles d’origine éthique ou professionnelles, qui nuisent gravement au fonctionnement de l’entreprise ;(ii) des atteintes aux droits des personnes et aux libertés individuelles qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ;(iii) des atteintes à la santé physique et mentale des salariés. »

Pour l’heure, c’est la Cnil qui encadre les conditions de mise en oeuvre de ces dispositifs qu’elle définit comme des « systèmes mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné ».

Dans un premier temps, la Cnil avait refusé, en mai 2005 , d’autoriser la mise en oeuvre de tels dispositifs, considérant qu’ils « étaient disproportionnés au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés objets d’une alerte éthique ».

Elle a également souligné que « les employés concernés par un signalement ne seraient, par définition, pas informés dès l’enregistrement de données mettant en cause leur intégrité professionnelle ou de citoyen et n’auraient donc pas les moyens de s’opposer à ce traitement de données les concernant. Les modalités de collecte et de traitement de ces données, dont certaines pouvaient concerner des faits susceptibles d’être constitutifs d’infractions pénales, peuvent donc être qualifiées de déloyales ». Cette position a eu pour effet de mettre les filiales françaises d’entreprises américaines en difficulté, celles-ci étant tenues de respecter les dispositions contradictoires de la loi informatique et libertés et celles de la loi Sarbanes-Oxley.

Aussi la Cnil a-t-elle révisé sa position. Elle s’est d’abord rapprochée de la Securities and Exchange Commission (SEC) en vue de trouver des garanties compatibles tant avec la loi informatique et libertés qu’avec la loi Sarbanes-Oxley et a publié le 10 novembre 2005 un document d’orientation pour préciser les conditions dans lesquelles il est possible de mettre en place un dispositif d’alerte éthique. Elle a ensuite adopté le 8 décembre 2005 une décision d’autorisation unique fixant les conditions à respecter pour pouvoir bénéficier des formalités simplifiées. Pour l’essentiel, elle a admis le principe de l’alerte professionnelle, mais en restreignant son champ à des domaines précis (comptable, financier, bancaire et de lutte contre la corruption).

Par ailleurs, elle prévoit que la mise en place d’un tel dispositif exige l’adoption de mesures de précaution pour collecter, traiter et transférer hors de l’Union européenne les données concernées. Parallèlement, les droits d’information, d’accès et de rectification des salariés ont été aménagés.

Le groupe des autorités européennes de protection des données personnelles – dit groupe de l’article 29 – a également adopté le 1er février 2006 un avis sur les dispositifs d’alerte professionnelle dans les domaines bancaire, comptable, du contrôle interne des comptes, de l’audit et de la lutte contre la corruption et les délais financiers. Il reprend pour l’essentiel les principes du document d’orientation et de l’autorisation unique émis par la Cnil en novembre et décembre 2005.

En marge de ces prescriptions, il faut tenir compte de la jurisprudence, à raison de l’inflation des actions visant à faire supprimer les systèmes d’alerte éthique.

Ainsi, dans une ordonnance du 15 septembre 2005, le juge des référés du tribunal de Libourne (Gironde) a demandé à la filiale française d’une société américaine, de retirer son dispositif d’alerte éthique, considérant que cette mesure s’imposait à raison de « la seule existence d’un dommage potentiel imminent pour les libertés individuelles de salariés victimes de dénonciations anonymes recueillies par le biais d’un dispositif privé échappant à tout contrôle, sans que l’intérêt de l’entreprise ne permette sérieusement de le justifier ».

Une ordonnance de référé du 27 décembre 2006 (TGI Nanterre) a également enjoint la suspension de la diffusion d’un questionnaire intitulé « business ethics » que les salariés avaient l’obligation de remplir et leur imposant notamment de « signaler si un membre de leur famille a un intérêt significatif dans une entreprise extérieure cherchant à travailler ou étant en concurrence avec la société » ou encore de préciser « si une relation familiale ou personnelle, pourrait les dissuader d’agir dans les meilleurs intérêts de la société ».
Le juge des référés a ainsi estimé que ce dispositif d’alerte éthique était non conforme à la délibération de la Cnil du 8 décembre 2005, en particulier dans la mesure où la Cnil a précisé que ne pourraient bénéficier du régime d’autorisation unique « que les dispositifs d’alerte ne présentent pas un caractère obligatoire ».

Mais il faut également compter avec les décisions validant les dispositifs d’alerte éthique, à l’instar de ce jugement du 19 septembre 2006 du tribunal de grande instance de Lyon qui a considéré que « si les demandeurs ont initialement évoqué et critiqué le dispositif d’alerte professionnelle mis en place, force est de constater que le texte remanié en ce qu’il le présente comme un moyen facultatif qui ne peut être utilisé que pour répondre à des intérêts dont la légitimité est établie (domaines comptables, contrôle des comptes et lutte contre la corruption), en ce que l’identité de l’émetteur est traitée de manière confidentielle et en ce que la personne visée bénéficie d’un droit d’accès aux renseignements et d’un droit de rectification, est conforme à la délibération de la Cnil du 8 décembre 2005. ».

En avril 2005 déjà, le juge des référés de Nanterre avait considéré que le document présenté au comité d’entreprise mettant en place une procédure d’alerte ne paraissait pas poser de problème ni d’interprétation, ni de violation des droits du salarié, au motif qu’il s’agissait d’une procédure facultative sans sanctions ni conséquences d’aucune sorte.

Au vu de ce qui précède, les dispositifs d’alerte professionnelle apparaissent indiscutablement en voie de légalisation.

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.