Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Lignes éthiques et autres whistleblowing : la CNIL propose une solution

Publié le par

La CNIL a adopté le 10 novembre 2005 un document d’orientation sur conditions de conformité des dispositifs d’alerte professionnelle (« whistleblowing » ou « lignes éthiques »). La CNIL a préféré une note d’orientation à une recommandation afin de conserver un maximum de souplesse pour l’examen au cas par cas d’autorisations de dispositifs d’alerte professionnelle.…

La CNIL a adopté le 10 novembre 2005 un document d’orientation sur conditions de conformité des dispositifs d’alerte professionnelle (« whistleblowing » ou « lignes éthiques »). La CNIL a préféré une note d’orientation à une recommandation afin de conserver un maximum de souplesse pour l’examen au cas par cas d’autorisations de dispositifs d’alerte professionnelle. Dans une seconde étape, la CNIL adoptera une décision d’autorisation unique des dispositifs conformes aux orientations retenues par elle afin de simplifier les obligations déclaratives des entreprises.

Lignes éthiques ? Whistleblowing ? Dispositifs d’alerte professionnelle ?

La CNIL a constaté le développement récent de dispositifs permettant à des employés de signaler le comportement de leurs collègues de travail supposé contraire à la loi ou aux règles établies par l’entreprise.

Simple retour à la pire époque du XXème siècle où il était de bon ton de dénoncer son voisin ?

Certes non ! Ces lignes éthiques sont la conséquence du « Corporate Governance » (bonne gouvernance d’entreprise). Cette nouvelle manière de penser et de faire fonctionner l’entreprise a pour but d’assurer un fonctionnement harmonieux de celle-ci dans le respect de son environnement socio-économique. Un autre avantage attendu est une meilleure prévention et gestion des conflits d’intérêts, au bénéfice des actionnaires, des travailleurs, des clients et du public.

Dans la foulée de ces travaux, les codes fleurissent, bourrés de recommandations. Un code pour les sociétés cotées en Bourse, un autre pour les petites et moyennes entreprises, un troisième pour les entreprises familiales, on trouve de tout.

Le sujet est tellement à la mode qu’un certain nombre de politiciens veulent transformer ces codes en textes légaux, provoquant ainsi la rage des chefs d’entreprise qui accusent le gouvernement d’utiliser contre eux une initiative d’autorégulation.

Pourtant, dans certains pays, la mise en place de ces lignes éthiques découle bel et bien d’une obligation légale nationale ou internationale.

Le cas d’école typique est la loi américaine Sarbanes-Oxley. Cette loi a été adoptée aux États-Unis à la suite du scandale financier Enron. Son objectif principal est que ce désastre financier qui a ruiné des milliers de familles ne se reproduise plus. Pour cela, des obligations de transparence sont imposées aux sociétés, dans le but de prévenir autant que possible la manipulation des comptes. Pour les entreprises cotées, la SEC joue le rôle de gendarme très actif. Or, le respect de la loi américaine requiert la mise en place de lignes éthiques.

Un certain nombre d’entreprises situées hors des États-Unis sont soumises à la loi Sarbanes-Oxley. Cela n’a en soi rien d’étonnant ni de choquant : il arrive fréquemment qu’une loi produise indirectement des effets extraterritoriaux. C’est ainsi qu’en matière de données à caractère personnel, un des critères d’application de la loi est l’utilisation, par des sociétés établies en dehors de l’union européenne, de moyens de traitement de l’information localisés dans l’union.

Les entreprises soumises indirectement à la loi Sarbanes-Oxley, ainsi que les entreprises qui entendent mettre en œuvre les principes dégagés par le Corporate gouvernance, ont donc réfléchi à la mise en place de lignes éthiques.

Pourquoi la CNIL s’intéresse-t-elle au sujet ? Quelle est sa jurisprudence ?

Le problème survient alors ce que ces lignes éthiques sont confrontées au texte de légaux assurant la protection des données à caractère personnel. Ceci explique le rôle joué par la CNIL dans ce dossier.

En France, la Compagnie européenne d’accumulateurs (CEAC) et McDonald’s ont tous deux fait les frais de la réserve de principe que la CNIL a opposé aux lignes éthiques. En Belgique, c’est le groupe de bancassurance Fortis qui essuie les plâtres.

Mais quelle est la position de la CNIL ?

Le 26 mai 2005, elle a rendu deux avis négatifs au sujet des lignes éthiques. Dans le dossier présenté par McDonald’s, la commission a estimé que :

La mise en œuvre par un employeur d’un dispositif destiné à organiser auprès de ses employés le recueil, quelle qu’en soit la forme, de données personnelles concernant des faits contraires aux règles de l’entreprise ou à la loi imputables à leurs collègues de travail, en ce qu’il pourrait conduire à un système organisé de délation professionnelle, ne peut qu’appeler de sa part une réserve de principe au regard de la loi du 6 janvier 1978 modifiée, et en particulier de son article 1er.

En ce sens, la Commission observe que la possibilité de réaliser une « alerte éthique » de façon anonyme ne pourrait que renforcer le risque de dénonciation calomnieuse.

Au surplus, la Commission estime que le dispositif présenté est disproportionné au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés objets d’une « alerte éthique ». Elle relève à cet égard que d’autres moyens prévus par la loi existent d’ores et déjà afin de garantir le respect des dispositions légales et des règles fixées par l’entreprise (actions de sensibilisation par l’information et la formation des personnels, rôle d’audit et d’alerte des commissaires aux comptes en matière financière et comptable, saisine de l’inspection du travail ou des juridictions compétentes).

La Commission relève enfin que les employés objets d’un signalement ne seraient, par définition, pas informés dès l’enregistrement de données mettant en cause leur intégrité professionnelle ou de citoyen, et n’auraient donc pas les moyens de s’opposer à ce traitement de données les concernant. Les modalités de collecte et de traitement de ces données, dont certaines pourraient concerner des faits susceptibles d’être constitutifs d’infractions pénales, ne peuvent dès lors être considérées comme loyales au sens de l’article 6 de la loi du 6 janvier 1978 modifiée.

Dans le dossier présenté par la Compagnie européenne d’accumulateurs (CEAC), la commission a rappelé sa réserve de principe, et basé son refus sur des motifs similaires (dispositif disproportionné au regard des objectifs poursuivis ; absence d’information des employés qui sont l’objet d’un signalement).

L’avenir – la recommandation adoptée le 10 novembre 2005

Dès le début du dossier, la CNIL a elle-même admis que sa réserve de principe doit aussi tenir compte des impératifs légaux. Et il est vrai qu’à ce niveau, lorsque la mise en place d’une ligne éthique est la conséquence d’une obligation légale, nationale ou étrangère, il est difficile de simplement opposer un veto systématique. Le risque est que les entreprises passent simplement outre le refus ou trouvent un moyen de le détourner.

Donc, comme elle en a pris l’habitude, la CNIL a recherché une « solution praticable ». Elle a notamment rencontré la SEC américaine pour évoquer la question. En résumé, la CNIL estime qu’il est important de tenir compte des éléments suivants :

Restreindre le dispositif d’alerte au domaine comptable, du contrôle des comptes, bancaire et de la lutte contre la corruption.

La mise en place de dispositifs d’alerte est acceptable quand elle répond soit à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne (domaine bancaire par exemple) soit à un intérêt dont la légitimité est bien établie (domaine comptable, contrôle des comptes, mais aussi lutte contre corruption). Ces dispositifs pourront bénéficier de la procédure simplifiée de l’autorisation unique. Dans ce cadre, les autorisations seront acquises sans délai dès que l’entreprise responsable du dispositif aura déclaré se conformer au texte de l’autorisation unique émise par la CNIL. En revanche la CNIL examinera au cas par cas, avant de les autoriser, tout dispositif dont le champ d’application serait plus large que ceux dont la CNIL a explicitement admis la légitimité. Tel sera notamment le cas de dispositifs à portée générale, visant à la fois le respect des règles légales, du règlement intérieur et des règles internes de conduite professionnelle.

Ne pas encourager les dénonciations anonymes.

Par principe, les auteurs d’alertes mettant en cause des comportements attribués à des personnes désignées doivent s’identifier. Ce n’est qu’ainsi que leur protection contre des représailles pourra être assurée et que pourront être évités des dérapages vers la délation et la dénonciation calomnieuse.

Cependant l’existence d’alertes anonymes est une réalité qu’il est difficile pour les responsables de l’entreprise de ne pas prendre en compte. Le traitement de telles alertes doit s’entourer de précautions particulières, notamment en ce qui concerne leur diffusion.

En tout état de cause, il ne doit pas y avoir d’incitation à l’utilisation anonyme de la procédure.

Mettre en place une organisation spécifique pour recueillir et traiter les alertes.

Le recueil et le traitement des alertes professionnelles doivent être confiés à une organisation spécifique mise en place au sein de l’entreprise concernée pour traiter ces questions. La circulation des informations doit être aussi limitée que possible compte tenu du risque de stigmatisation des personnes concernées.

Informer la personne concernée dès que les preuves ont été préservées.

La personne visée par une alerte doit être informée dès l’enregistrement de l’alerte afin qu’elle puisse demander à exercer ses droits d’opposition, d’accès et de rectification. Toutefois, cette information ne saurait intervenir avant l’adoption des mesures conservatoires indispensables, notamment pour prévenir la destruction de preuves nécessaires au traitement de l’alerte.

La CNIL estime que les règles ainsi définies sont compatibles avec les exigences de la loi Sarbanes Oxley. Sur ce point elle poursuit néanmoins ses échanges avec la SEC ainsi qu’avec les experts spécialistes de cette problématique.

Plus d’infos ?

En prenant connaissance du document d’orientation adoptée par la commission le 10 novembre 2005, disponible sur notre site.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK