Systèmes d’alerte éthique sous surveillance de la Cnil
La loi américaine Sarbannes-Oxley impose aux sociétés cotées aux Etats-Unis et à leurs filiales étrangères de procurer à leurs employés un dispositif d’alerte leur permettant de dénoncer les délits financiers dont ils ont connaissance. C’est à ce titre que la Cnil a été saisie de plusieurs demandes de mise en place de systèmes d’alerte éthique dans de grandes entreprises.
La Cnil considére que de tels dispositifs sont contraires à la loi informatique et libertés en ce qu’ils sont « disproportionnés au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés objets d’une alerte éthique ». Cependant, la Cnil s’est rapprochée de la Securities and Exchange Community (S.E.C.) en vue de trouver des garanties compatibles tant avec la loi Informatique et libertés qu’avec la loi Sarbannes-Oxley. Elle indique désormais ne plus avoir d’« opposition de principe » à ces dispositifs dont elle reconnaît la légalité, à condition toutefois qu’ils aient « un caractère subsidiaire, un champ restreint et un usage facultatif».
Plusieurs recommandations devraient venir circonscrire les conditions de mise en oeuvre de tels dispositifs. Il s’agit pour l’essentiel de précautions à prendre, par exemple, en limitant les catégories de personnes impliquées dans le processus d’alerte aux seules personnes ayant accès aux informations financières et comptables ou encore, en prévoyant une information préalable à plusieurs niveaux, tenant compte des risques de disparition des preuves. Il convient également de respecter le droit à l’oubli et, à ce titre, de limiter la durée de conservation des données à la seule durée de l’enquête menée sur la fraude financière concernée. En tout état de cause, il importe de prendre des mesures de sécurité et de confidentialité, notamment pour éviter le transfert de ces données vers des pays en dehors de l’Union européenne.