Corporate governance : les codes fleurissent tandis que les autorités s’inquiètent des dérives des ‘lignes éthiques’
Publié le 29/09/2005 par Etienne Wery
Corporate governance ! Il ne se passe pas un jour sans que la presse, les syndicats ou les cénacles parlementaires n’évoquent la Corporate gouvernance (bonne gouvernance d’entreprise). Et dans la foulée de ces travaux, les codes fleurissent, bourrés de recommandations destinées à assurer un fonctionnement harmonieux de l’entreprise dans le respect de son environnement socio-économique.…
Corporate governance ! Il ne se passe pas un jour sans que la presse, les syndicats ou les cénacles parlementaires n’évoquent la Corporate gouvernance (bonne gouvernance d’entreprise). Et dans la foulée de ces travaux, les codes fleurissent, bourrés de recommandations destinées à assurer un fonctionnement harmonieux de l’entreprise dans le respect de son environnement socio-économique. Tous les codes consacrent un chapitre à ce que l’on appelle dorénavant « les lignes éthiques » ; pour les détracteurs de celle-ci, l’appellation plus correcte serait « lignes de dénonciation ».
Les lignes éthiques ?
Les codes de Corporate gouvernance fixent un certain nombre de recommandations/règles.
Pour les auteurs de ces codes, ceux-ci perdent tout leur sens s’il n’existe pas de système organisationnel permettant de signaler les infractions au code (ou à la loi), commises au sein de l’entreprise ou par l’entreprise elle-même. Ce système organisationnel doit permettre de faire remonter l’information en vue de la traiter et de réagir le cas échéant devant les infractions constatées.
La situation se complique encore lorsque la mise en place de ces lignes éthiques découle d’une obligation légale nationale ou internationale.
Le cas d’école typique est la loi américaine Sarbanes-Oxley. Cette loi a été adoptée aux États-Unis à la suite du scandale financier Enron. Son objectif principal est que ce désastre financier qui a ruiné des milliers de familles ne se reproduise plus. Pour cela, des obligations de transparence sont imposées aux sociétés, dans le but de prévenir autant que possible la manipulation des comptes. Pour les entreprises cotées, la SEC joue le rôle de gendarme très actif. Or, le respect de la loi américaine requiert la mise en place de lignes éthiques.
Un certain nombre d’entreprises situées hors des États-Unis sont soumises à la loi Sarbanes-Oxley. Cela n’a en soi rien d’étonnant ni de choquant : il arrive fréquemment qu’une loi produise indirectement des effets extraterritoriaux. C’est ainsi qu’en matière de données à caractère personnel, un des critères d’application de la loi est l’utilisation, par des sociétés établies en dehors de l’union européenne, de moyens de traitement de l’information localisés dans l’union.
Les entreprises soumises indirectement à la loi Sarbanes-Oxley, ainsi que les entreprises qui entendent mettre en œuvre les principes dégagés par le Corporate gouvernance, ont donc réfléchi à la mise en place de lignes éthiques.
Ces jours-ci, l’actualité déborde d’illustrations des tensions qui peuvent surgir à ce sujet.
En France, la Compagnie européenne d’accumulateurs (CEAC) et McDonald’s ont tous deux fait les frais de la réserve de principe que la CNIL a opposé aux lignes éthiques.
En Belgique, c’est le groupe de bancassurance Fortis qui essuie les plâtres.
La position de la CNIL
Le 26 mai 2005, la CNIL a rendu deux avis négatifs au sujet des lignes éthiques.
Dans le dossier présenté par McDonald’s, la commission a estimé que :
la mise en œuvre par un employeur d’un dispositif destiné à organiser auprès de ses employés le recueil, quelle qu’en soit la forme, de données personnelles concernant des faits contraires aux règles de l’entreprise ou à la loi imputables à leurs collègues de travail, en ce qu’il pourrait conduire à un système organisé de délation professionnelle, ne peut qu’appeler de sa part une réserve de principe au regard de la loi du 6 janvier 1978 modifiée, et en particulier de son article 1er.
En ce sens, la Commission observe que la possibilité de réaliser une « alerte éthique » de façon anonyme ne pourrait que renforcer le risque de dénonciation calomnieuse.
Au surplus, la Commission estime que le dispositif présenté est disproportionné au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés objets d’une « alerte éthique ». Elle relève à cet égard que d’autres moyens prévus par la loi existent d’ores et déjà afin de garantir le respect des dispositions légales et des règles fixées par l’entreprise (actions de sensibilisation par l’information et la formation des personnels, rôle d’audit et d’alerte des commissaires aux comptes en matière financière et comptable, saisine de l’inspection du travail ou des juridictions compétentes).
La Commission relève enfin que les employés objets d’un signalement ne seraient, par définition, pas informés dès l’enregistrement de données mettant en cause leur intégrité professionnelle ou de citoyen, et n’auraient donc pas les moyens de s’opposer à ce traitement de données les concernant. Les modalités de collecte et de traitement de ces données, dont certaines pourraient concerner des faits susceptibles d’être constitutifs d’infractions pénales, ne peuvent dès lors être considérées comme loyales au sens de l’article 6 de la loi du 6 janvier 1978 modifiée.
Dans le dossier présenté par la Compagnie européenne d’accumulateurs (CEAC), la commission a rappelé sa réserve de principe, et basé son refus sur des motifs similaires (dispositif disproportionné au regard des objectifs poursuivis ; absence d’information des employés qui sont l’objet d’un signalement).
L’avenir
La CNIL a elle-même admis que sa réserve de principe doit aussi tenir compte des impératifs légaux. Et il est vrai qu’à ce niveau, lorsque la mise en place d’une ligne éthique est la conséquence d’une obligation légale, nationale ou étrangère, il est difficile de simplement opposer un veto systématique. Le risque est que les entreprises passent simplement outre le refus ou trouvent un moyen de le détourner.
Donc, comme elle en a pris l’habitude, la CNIL recherche actuellement donc une « solution praticable ».
Dans ce cadre, elle a rencontré en septembre des représentants de l’autorité américaine des marchés financiers (SEC) dans le but de trouver un compromis acceptable pour les deux parties.
L’une des pistes dégagées consiste à refuser les dénonciations anonymes qui encouragent en quelque sorte la délation, pour privilégier les signalements identifiés moyennant des garanties de confidentialité pour la personne qui l’effectue.
Une autre piste porte sur le délai dans lequel la personne qui est l’objet d’un signalement doit être informée, et sur les modalités de cette information. On comprend bien en effet que l’ensemble du système perd sa pertinence si la personne informée reçoit communication de tous les griefs et qu’elle en profite pour faire disparaître des preuves.
Le compromis doit aussi fixer un cadre pour l’effacement des données, surtout si l’enquête montre que le signalement était non fondé.
Il restera alors à trouver des systèmes plus proportionnés qui respectent la balance des intérêts entre, d’une part, le droit de l’entreprise de se prémunir contre des infractions à son code interne ou à la loi, et d’autre part, le droit de chacun de contrôler les informations personnelles qui circulent à son sujet et de veiller à leur pertinence.