Cass. soc., 8 déc. 2009, n° 08-17.191
La Commission Nationale de l’Informatique et des Libertés (CNIL) définit le dispositif d’alerte professionnelle comme un système mis à la disposition des employés d'un organisme public ou privé pour les inciter, en complément des modes normaux d'alerte sur les dysfonctionnements de l'organisme, à signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné. La CNIL a admis le principe de l’alerte professionnelle afin de permettre aux sociétés françaises de se conformer à la fois aux exigences de la loi américaine Sarbanes-Oxley du 30 juillet 2002, qui impose la mise en place de systèmes de « whistleblowing », et aux dispositions de la loi française « Informatique et Libertés ». Les entreprises françaises et les filiales françaises de sociétés américaines côtées à la bourse de New York ont en effet eu à se conformer à la loi Sarbanes-Oxley, notamment en mettant en place des systèmes d’alerte professionnelle.
Dans un souci de simplification des procédures, la CNIL a adopté une décision d’autorisation unique fixant les conditions que les entreprises doivent respecter afin de pouvoir bénéficier d’une simplification des procédures à accomplir (décision d’autorisation unique n° AU-004 - http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/83/). Lorsqu’une entreprise souhaite mettre en place un système d’alerte professionnelle, elle n’a qu’à procéder à une déclaration de conformité aux conditions posées par ladite autorisation unique.
Les alertes professionnelles sont conformes si elles remplissent un certain nombre de conditions, notamment :
- les alertes ne peuvent concerner que le domaine comptable, le contrôle des comptes, le domaine bancaire et celui de la lutte contre la corruption ;
- les entreprises souhaitant mettre en place ce type de dispositifs doivent porter un certain nombre d’éléments d’information à la connaissance de leurs employés ;
- ces dispositifs ne doivent pas encourager les dénonciations anonymes. L’émetteur de l’alerte devra être identifiable, mais son identité ne sera pas révélée à la personne mise en cause. La personne concernée devra être informée dès que les preuves auront été préservées.
La Cour de cassation, dans un arrêt en date du 8 décembre 2009 (rendu au sujet du code de conduite des affaires de la société Dassault Systèmes relatif aux informations à usage interne et au dispositif d’alerte professionnelle), a précisé qu’un dispositif d’alerte ne peut avoir une autre finalité que l’établissement d’un contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption.
Or, le dispositif mis en place par le groupe Dassault Systèmes avait un objet plus large, dans la mesure où le manquement à des règles de conduite étrangères à ces finalités pouvait donner lieu à une alerte professionnelle ; le dispositif ne pouvait donc pas bénéficier de l’autorisation unique de la CNIL.
La Cour de cassation adopte ainsi une vision très restrictive du champ d’application de l’autorisation unique, qui prévoit que le dispositif peut également concerner des alertes portant sur des faits mettant en jeu « l’intérêt vitale de l’organisme ou de l’intégrité physique ou morale de ses employés » (art. 3 de l’autorisation unique).
La CNIL a indiqué qu’elle modifierait prochainement son autorisation unique pour prendre en compte cette décision.
BRAD SPITZ
www.bradspitz.com