La Loi accord une large protection à ceux qualifiés de « lanceurs d’alertes » mais encore faut-il respecter toutes les conditions requises. Application au cas d’un salarié alertant son employeur puis les autorités de failles de cybersécurité.
Dans quels cas un employé peut-il invoquer le statut de lanceur d’alerte ? Le sujet est de pleine actualité.
Une société a été mise en cause à raison de failles de sécurité dans les solutions logicielles qu’elle commercialise dans le domaine de la santé.
Or, l’un de ses employés indique avoir signalé à ses supérieurs hiérarchiques, à plusieurs reprises, des vulnérabilités dans les logiciels. Faute de réactions de leur part, il aurait alerté de hauts fonctionnaires gouvernementaux en charge de la cybersécurité qui, constatant la gravité des faits, auraient mis en demeure la société de colmater les brèches.
Considérant que l’employé avait outrepassé sa mission, la société l’a licencié pour « faute grave ».
Celui-ci revendique le statut de lanceur d’alerte qui permet de dénoncer des faits ou des comportements d’une certaine gravité au sein de l’entreprise tout en étant protégé contre d’éventuelles représailles.
Cette affaire soulève plusieurs questions intéressantes.
S’agissant tout d’abord de l’obligation d’alerte, il convient de préciser qu’elle existe bien à la charge du salarié, mais seulement dans les situations dont il a un motif raisonnable de penser qu’elle présente un danger pour sa vie ou sa santé. Il doit alors immédiatement alerter son employeur et lui signaler toute défectuosité qu’il constate dans les « systèmes de protection » (Code du travail, art. L4131-1).
Peut-on considérer que les « systèmes de protection » incluent de manière extensive « les systèmes de protection informatiques » défaillants dans le cas qui nous intéresse ?
La loi n’apporte aucune réponse.
Le contrat de travail, la convention collective, le règlement intérieur, la charte informatique… peuvent certainement encadrer et préciser cette obligation. Ainsi, s’agissant du contrat de travail d’un employé en charge de la cybersécurité, on peut penser que l’obligation d’alerte est liée à la fonction. On peut même penser que le défaut d’alerte constituerait une faute dans l’exécution de la mission de cyberveille.
Mais qu’en est-il pour un employé qui n’assure pas de mission de cybersurveillance ? Par exemple un « développeur informatique », fonction de l’employé dans l’affaire qui nous intéresse ? Son employeur lui aurait demandé à plusieurs reprises de se recentrer sur ses seules missions et d’arrêter de rechercher les brèches de sécurité.
Dans le silence de la loi et du contrat de travail, l’employé peut-il s’improviser lanceur d’alerte ?
Pour invoquer ce statut, il faut remplir des conditions de fond et des conditions de forme.
L’intéressé doit « être une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi un crime ou un délit une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement une menace ou un préjudice grave pour l’intérêt général, dont elle a eu personnellement connaissance » (Loi Sapin II de 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, article 6).
Par ailleurs, il doit respecter la procédure de signalement : (i) saisir son supérieur hiérarchique direct ou indirect, à savoir son employeur ou le référent désigné par celui-ci ; (ii) en l’absence de diligences, dans un délai raisonnable, de la personne auprès de laquelle a été porté le signalement, le salarié adresse le signalement à l’autorité judiciaire (procureur par exemple) ou à l’autorité administrative (services d’inspection par exemple) ou aux ordres professionnels (ordre des médecins par exemple) – ; (iii) à défaut de traitement du signalement par les organismes mentionnés, dans un délai de trois mois, le lanceur d’alerte pourra rendre public son signalement.
Il ne peut être dérogé à cette procédure graduée que dans le cas « de danger grave et imminent ou en présence d’un risque de dommages irréversibles » (Loi Sapin II de 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, article 8).
Par ailleurs, et à chacune des étapes précitées, le lanceur d’alerte peut s’adresser au Défenseur des droits (Loi Sapin II de 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, article 6) qui pourra orienter vers l’organisme approprié de recueil de l’alerte.
Ces conditions de fond et de forme sont cumulatives et d’une importance égale.
Sur les conditions de fond, on peut sans doute admettre que, dans notre affaire, le salarié est intervenu « de manière désintéressée et de bonne foi ».
Mais il faut également vérifier la qualification des faits signalés.
S’agissait-il d’« un crime ou un délit » ? (V. Cass. Soc. 4 nov. 2020, FS-P+B, n° 18-15.669) La société n’a peut-être pas fait preuve de diligence pour colmater des failles de sécurité, mais il ne s’agit pas a priori de corruption, ni d’un quelconque trafic illicite. Faut-il dans ce cas viser des infractions telles que le fait de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil (V. Code Pénal, art. 226-17-1 : 5 ans d’emprisonnement et 300 000 € d’amende) ? Ou encore celles qui sanctionnent les atteintes aux systèmes de traitement automatisé de données (STAD) (V. Code Pénal, art. 323-1 à 323-8) ?
S’agissait-il de la « violation grave et manifeste d’un engagement international (…) » ? Peut-on, à ce titre, considérer que le non-respect des dispositions du RGPD relève de cette catégorie ?
S’agissait-il d’« une menace ou (d’) un préjudice grave pour l’intérêt général » ?
Quid des conditions de forme ? A priori, le salarié aurait respecté la saisine préalable de sa hiérarchie. Il l’aurait même alertée à plusieurs reprises.
De même, il aurait attendu un an avant de saisir les autorités, soit un délai largement raisonnable.
Concernant les autorités, la question de savoir si l’autorité qu’il a saisie était compétente. En effet, il aurait pris attache avec « un haut responsable gouvernemental en charge de la cybersécurité » qui l’a dirigé vers « un autre haut fonctionnaire de défense et de sécurité en charge de la cybersécurité au sein d’un ministère ».
Toutes ces questions relèvent de l’appréciation souveraine des juges et d’une analyse au cas par cas. Mais, dans tous les cas, deux hypothèses sont alors à prévoir.
Soit les juges considèrent que les conditions sont réunies pour que le salarié puisse bénéficier du statut de lanceur d’alerte : il bénéficie alors d’un régime de protection contre toute sanction susceptible d’être prononcée à son égard. Il ne pourra donc pas faire l’objet d’une procédure de licenciement. Cette protection est conforme à la jurisprudence de la CEDH (CEDH 18 oct. 2011, req. n° 10247/09 Sosinowska et CEDH 12 févr. 2008, req. n° 4277/04, Guja c/Moldavie) qui a considéré, à de nombreuses reprises, que les sanctions prises à l’encontre de salariés ayant critiqué le fonctionnement d’un service ou divulgué des conduites ou des actes illicites constatés sur leur lieu de travail constituent une violation à leur droit d’expression au sens de l’article 10-1 de la Convention de sauvegarde des droits de l’homme. La Cour de cassation a, quant à elle, admis la nullité de toute mesure (par exemple un licenciement) portant atteinte à une liberté fondamentale du salarié (Soc. 6 févr. 2013, no 11-11.740, D. 2013. 440 et Soc. 29 oct. 2013, no12-22.447 ; D. 2013. 2584).
Soit les juges considèrent que les conditions ne sont pas réunies : le comportement du salarié sera alors « fautif ». Telle a été la décision rendue par la cour d’appel de Chambéry qui a refusé le statut de lanceur d’alerte à un salarié au motif qu’il « n’est nullement démontré que les agissements de la société X révélés par les documents litigieux caractérisent une quelconque infraction » (Chambery, 16 nov. 2016, Madame X. et Monsieur Y. c/Tefal. A noter que cette décision a été censurée par la Cour de cassation mais seulement concernant l’inspectrice condamnée pour recel de biens provenant d’un délit et violation du secret professionnel. v. Cour de cassation, criminelle, Chambre criminelle, 17 octobre 2018, 17-80.485). Par ailleurs, l’abus dans l’exercice du droit de signalement peut être sanctionné au titre des dispositions du Code pénal relatives à la dénonciation calomnieuse (Code pénal, art. 226-10).
Vers un renforcement du dispositif d’alerte.
Toute personne morale de droit privé ou de droit public qui compte au moins 50 salariés a l’obligation de mettre en place des procédures appropriées de recueil des signalements émis soit par les membres de leur personnel, soit par des collaborateurs extérieurs et occasionnels (L. Sapin II de 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique). Ce dispositif doit être clair, accessible et sécurisé pour garantir la confidentialité (Décret no 2017-564, 19 avr. 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’état, JO 20 avril, no 10).
Cependant, aucune sanction n’est prévue en cas de manquement. Seule est prévue une peine d’un an de prison et de 15 000 euros d’amende pour toute personne faisant obstacle « de quelque façon que ce soit » à la transmission d’un signalement en interne à l’entreprise ou à une autorité (L. Sapin, art. 13). La corrélation entre l’absence de mise en place d’une telle procédure et le fait de faire obstacle à la transmission d’un signalement n’est pas automatique. Il faudra donc certainement davantage d’éléments pour retenir la responsabilité de l’employeur sur cet unique fondement.
Il est à noter que les politiques internes relatives au traitement des lanceurs d’alerte sont généralement incluses dans le concept plus global de la Responsabilité Sociale d’Entreprise (ou RSE). Ce type de mécanisme est ainsi davantage perçu comme un marqueur de qualité d’une entreprise plutôt que comme un défaut de conformité règlementaire. L’enjeu pour les entreprises réside donc plus du côté de l’image de marque, voire de valorisation sur un marché, plutôt que du côté légal ou règlementaire.
Le dispositif légal d’encadrement du lanceur d’alerte devrait encore se renforcer d’ici la fin de l’année 2021, avec la transposition de la directive relative aux lanceurs d’alerte adoptée le 7 octobre 2019. L’alerte aux autorités administratives ou judiciaires devrait être facilitée. L’alerte au public ne serait protégée qu’en cas d’absence de réaction des destinataires de l’alerte ou si le lanceur d’alerte a des éléments raisonnables de craindre une menace manifeste ou imminente à un intérêt public ou qu’il craint une collusion entre les autorités et son entreprise ou des représailles. Enfin, le champ des personnes protégées s’élargit pour inclure, au-delà des travailleurs, les actionnaires, les anciens travailleurs et les personnes travaillant pour des contractants, des sous-traitants et des fournisseurs et même un tiers ayant aidé ou étant lié au lanceur d’alerte (collègues, parents, etc.). Les mesures de rétorsion interdites sont également plus larges, car elles vont au-delà des questions entourant le contrat de travail et les sanctions disciplinaires. Enfin serait sanctionné tout traitement injuste, intimidation, mise en cause de la réputation de la personne ou rupture anticipée de contrat avec un fournisseur. Le lanceur d’alerte serait également protégé en cas de procédures judiciaires annexes comme la diffamation ou l’atteinte au secret des affaires.
