Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Contenu illicite   Brevet   Contrats   Noms de domaine   Signes distinctifs   Bases de données   Professions   Consommateurs   Conférences et colloques   Marques   Vie privée   Au jour le jour   Lettre du Cejem   Droit d’auteur   Régulation  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

La réaction de la CNIL devant le projet d’alerte éthique dans les filiales d’entreprises américaines

Mots-clefs : Vie privée |

par Vanessa Younès, le dimanche 13 novembre 2005

Par deux délibérations du 26 mai 2005, la Commission Nationale de l’Informatique et des libertés (CNIL) n’a pas autorisé la mise en œuvre de « lignes éthiques » au sein de l’entreprise. Ces dispositifs de déclenchement d’alerte ou whistleblowing devaient permettre aux employés d’une entreprise de dénoncer des comportements fautifs d’autres employés de l’entreprise.

Dans la première délibération [1], il s’agissait de la société McDonald’s France qui souhaitait mettre en œuvre un dispositif « d’intégrité professionnelle ». Ce dispositif qui s’inscrit dans le cadre du « code éthique » du groupe international McDonald’s, aurait permis aux collaborateurs des filiales françaises du groupe d’alerter, par courrier postal ou par télécopie, la société mère américaine sur les comportements de leurs collègues de travail « supposés contraires aux règles légales françaises ainsi qu’au code éthique ».

Dans la seconde délibération [2], la Compagnie européenne d’accumulateurs (CEAC) a présenté à la CNIL un dispositif d’« hotline » permettant comme dans l’affaire McDonald aux employés d’alerter leurs dirigeants des éventuelles violations des principes en vigueur dans l’entreprise.

Ces deux sociétés ont demandé l’autorisation de la CNIL pour la mise en place de ces lignes éthiques aux fins d’être en conformité avec les dispositions de la loi américaine Sarbanes-Oxley.

La loi américaine Sarbanes-Oxley [3] de juillet 2002 a été adoptée à l’initiative de l’autorité américaine de régulation des marchés financiers, la Securities Exchange Commission (SEC) à la suite des scandales financiers d’Enron et de Worldcom. Rappelons que dans ces deux affaires, des fraudes financières ont entraîné de grands bouleversements dans le secteur de l’énergie et des télécoms.

La loi Sarbanes-Oxley a donc pour objectif de rétablir un climat de confiance et de renforcer la transparence de l’information financière en imposant aux sociétés américaines cotées à la bourse de New York et à leurs filiales étrangères la mise en place de dispositifs de Whistleblowing. Elle prévoit par exemple des comités de vérification indépendants amenés à surveiller la comptabilité de l’entreprise notamment par le biais de plaintes d’employés.

Ceci étant, une entreprise à laquelle s’applique la loi française Informatique et libertés du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés modifiée [4] du fait de ses fichiers informatiques de données personnelles, se trouve confrontée aux difficultés d’application de la loi américaine Sarbanes-Oxley.

Tout d’abord, la CNIL a considéré dans les deux délibérations du 26 mai 2005 que l’établissement d’un traitement reposant sur la mise en place de lignes éthiques doit faire l’objet d’une demande d’autorisation. En effet, dans la mesure où ce type de traitement de données aurait pour effet d’exclure des employés considérés comme fautifs à la suite d’une alerte, du bénéfice de leur contrat de travail, une demande d’autorisation est nécessaire en vertu de l’article 25-I, 4° de la loi Informatique et libertés modifiée [5]. Rappelons que la CNIL se prononce dans un délai de deux mois renouvelable une fois à compter de la réception de la demande d’autorisation. A l’inverse lorque la CNIL ne se prononce pas dans ces délais, la demande d’autorisation est réputée rejetée et il appartient au responsable de traitement de redemander une nouvelle autorisation à la CNIL.

Ensuite, la CNIL constate que ce type de traitement pourrait conduire à un système organisé de délation professionnelle. En effet, les principes et droits issus de la loi de 1978 sont mis à mal.

Le principe de proportionnalité n’est pas respecté. La CNIL estime que les dispositifs présentés sont disproportionnés au regard des objectifs poursuivis et des risques de dénonciations calomnieuses.

Le but de ce dispositif est la dénonciation de malversations financières. Or, le fait de l’étendre à d’autres infractions en responsabilisant des employés n’ayant aucun moyen de connaître de malversations financières, est vraiment disproportionné par rapport aux objectifs de la loi Sarbanes-Oxley.

La CNIL ne manque pas de le rappeler dans son projet de lignes directrices encours d’adoption pour la mise en œuvre de dispositifs d’alerte professionnelle, élaboré en octobre 2005. En effet, consciente des difficultés d’application de la loi américaine et des sanctions éventuelles en cas de non respect pour les entreprises soumises à la loi Informatique et libertés, la CNIL a pris les devants en parlementant avec la SEC sur le sujet et en formulant son avis dans ce projet de lignes directrices.

Dans ces deux affaires ayant donné lieu aux délibérations de la CNIL, les droits d’information, d’accès, d’opposition sont inexistants dans la mesure où les employés de l’entreprise faisant l’objet d’un signalement ne seraient pas informés dès l’enregistrement des données car les alertes sont anonymes. Par conséquent, la collecte de données serait frauduleuse car faite à l’insu des personnes concernées et susceptible d’être sanctionnée pénalement.

Force est de remarquer que l’émetteur des alertes doit être identifié afin d’éviter les risques de dénonciation calomnieuse. De plus, l’identité de l’émetteur de l’alerte doit être communiquée à la personne mise en cause et exerçant son droit d’accès. Cette identification aurait pour avantage de dissuader les alertes abusives et non fondées et permettrait à la personne mise en cause de pouvoir se défendre en tout état de cause.

Or, le projet de lignes directrices, élaboré par les services de la CNIL mais non encore adopté définitivement, prévoit la confidentialité de l’identité de l’émetteur ce qui est contraire au droit d’accès des personnes mises en causes.

Par ailleurs, la jurisprudence est venue confirmer ce qu’a décidé la CNIL dans les deux délibérations de mai 2005 dans un jugement en référé du Tribunal de Grande Instance de Libourne en date du 15 septembre 2005 [6] qui a ordonné le retrait immédiat de l’affichage dans l’entreprise de deux notes de services de lignes éthiques dont l’objet est de permettre aux salariés de façon confidentielle de signaler non seulement des fraudes ou malversations comptables mais également tous faits « portant atteinte à l’éthique, tel que la fraude, le vol ou pouvant conduire à des non-respects des procédures comptables ou d’audit à caractère plus général ».

En tout état de cause, il est à espérer que le projet de lignes directrices en cours d’adoption par la CNIL pour la mise en œuvre de dispositifs d’alerte professionnelle permette de concilier l’application de la loi Informatique et libertés et de la loi américaine Sarbanes-Oxley, tout en respectant les droits des personnes mises en cause par ces dispositifs.

Notes

[1] Délibération n°2005-110 du 26 mai 2005 relative à une demande d’autorisation de McDonald’s France pour la mise en oeuvre d’un dispositif d’intégrité professionnelle

[2] Délibération n°2005-111 du 26 mai 2005 relative à une demande d’autorisation de la Compagnie européenne d’accumulateurs pour la mise en oeuvre d’un dispositif de "ligne éthique"

[3] Public Company Accounting Reform and Investor Protection Act, 2002

[4] Loi Informatique et libertés modifîée par la loi n°2004-801 du 6 août 2004

[5] L’article 25-I, 4° dispose que « sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés, les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »

[6] Décision du TGI Libourne, référé, 15/09/2005 CE Bsn Glasspack, syndicat CGT/Bsn Glasspack, disponible sur le site www.legalis.net