Village de la Justice www.village-justice.com
La protection des données personnelles dans la mise en œuvre des dispositifs d’alerte éthique. Par Valérian Bonnard, Étudiant, et Florence Bonnet, CIL.
Parution : mardi 14 juin 2016
Adresse de l'article original :
https://www.village-justice.com/articles/protection-des-donnees,22426.html
Reproduction interdite sans autorisation de l'auteur.

Les entreprises françaises et européennes témoignent d’un intérêt particulier quant à la prise en compte de considérations éthiques au sein de leur structure et mettent en place à cette fin de nombreux dispositifs, dont les alertes éthiques intéressant la protection des données personnelles des salariés.

Les dispositifs d’alerte éthique ont un double objectif : améliorer le bien-être des salariés et par là même la productivité de l’entreprise et favoriser la transparence vis-à-vis des clients et des consommateurs de plus en plus sensibles aux problématiques éthiques.

Ces dispositifs d’alerte professionnelle sont mis à la disposition des salariés afin de leurs permettre de signaler les dysfonctionnements susceptibles d’affecter l’activité de l’entreprise ou d’engager sa responsabilité en cas de pratiques contraires à la loi.
L’alerte peut être lancée au moyen d’une ligne de téléphone fixe ou d’une adresse email, certifiées éthiques. Un service spécialisé de l’entreprise est chargé de vérifier le caractère sérieux de l’alerte afin que les dirigeants puissent en tirer les conséquences adéquates.

Le dispositif d’alerte éthique constitue un traitement de données à caractère personnel au sens de l’article 2 de la loi Informatique et Libertés en ce qu’il permet la collecte et l’analyse d’informations relatives aux salariés lanceurs d’alertes ainsi qu’aux personnes désignées par celles-ci. De plus, ce dispositif étant susceptible d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, il doit faire l’objet d’une autorisation préalable de la CNIL (article 25-I-4° de la loi du 06/01/1978).
Dans un avis « non définitif » rendu en 2005, le G29 indiquait devoir « approfondir la question de savoir si les règles de protection des données de l’UE sont compatibles avec les mécanismes internes de dénonciation dans des domaines tels que les ressources humaines, la santé et la sécurité des travailleurs, les dommages à l’environnement ou les menaces écologiques et la commission d’infractions ».

Aussi, dans un contexte de renforcement des obligations relatives à la protection des données personnelles, il nous a semblé opportun de revenir sur les conditions de mise en place d’un tel dispositif d’alerte professionnelle.

L’application difficile de la loi américaine SOX en France

Conformément au Sarbanes-Oxley Act du 30 juillet 2002 (Sarbanes-Oxley Act of 2002, article 301-4.), les entreprises américaines et leurs filiales ainsi que toute entreprise cotée à la bourse de New York et au Nasdaq ont l’obligation de déployer des dispositifs d’alerte professionnelle afin de lutter contre les infractions comptables et financières et d’assainir les pratiques des entreprises.

La mise en place de ces dispositifs peut poser des difficultés, en grande partie d’origine culturelle, liées à des contextes sociaux et/ou historiques.
L’arrivé de la loi SOX en France ne fut pas sans soulever de violentes polémiques, certains n’hésitant pas à comparer ces alertes aux pratiques de délation sous l’occupation.

Quant à la CNIL, elle refusa une demande d’autorisation de mise en œuvre d’un dispositif d’alerte professionnelle (CNIL, Délibération n° 2005-110 du 26 mai 2005 Mac Donald France), au motif qu’un tel dispositif aurait pu mener à un système organisé de délation professionnelle et que l’anonymat des lanceurs d’alerte aurait renforcé le risque de dénonciation calomnieuse. La Commission ajouta que d’autres moyens légaux permettaient déjà de garantir le respect des règles d’entreprises et des dispositions législatives.
Les articles L. 4131-1 et L. 2323-78 du Code du travail permettent en effet au salarié de signaler à l’employeur toute situation de travail présentant un danger grave pour sa vie ou sa santé ; de même le comité d’entreprise peut alerter l’employeur et le commissaire aux comptes sur la situation économique préoccupante de l’entreprise.

L’ouverture du cadre juridique français de la protection des données aux alertes éthiques.

A la suite à cette affaire, la CNIL proposa une première série de préconisations sur la mise en place des dispositifs d’alerte éthique, mais pour se laisser la possibilité d’analyser au cas par cas, ce document ne prit pas la forme d’une délibération. Ces préconisations portaient essentiellement sur la nature du dispositif d’alerte [1], sur les obligations relatives à l’information et à l’exercice des droits des personnes [2] et enfin sur les moyens permettant une mise en œuvre conforme [3].

Le 8 décembre 2005 (CNIL 2005-305 du 8 décembre 2005, AU-004 publiée au Journal Officiel le 04/01/2006), la CNIL publia une autorisation unique concernant les traitements de données personnelles dans le cadre de la mise en œuvre de système d’alerte professionnelle répondant à une obligation législative ou réglementaire dans les domaines financier, comptable, bancaire et de lutte contre la corruption et concernant également les traitements relatifs à la loi SOX.
Cette autorisation unique permet aux organisations de bénéficier de formalités simplifiées à la condition que les traitements de données soient conformes aux dispositions de l’autorisation.
Saisie par la fédération des travailleurs de la métallurgie affiliée à la CGT au sujet d’une procédure d’alerte au sein du groupe Dassault (Arrêt n° 2524 du 8 décembre 2009 de la chambre sociale de la Cour de cassation), la Cour de cassation fit une interprétation stricte du champ d’application de l’autorisation unique, refusant qu’elle soit étendue à la dénonciation de faits non prévus à l’article 1 en cas d’engagement de l’intérêt vital de l’organisme ou de l’intégrité physique ou morales des employés.

L’intérêt légitime des responsables de traitement justifiant les dispositifs d’alertes éthiques

Attentive à l’évolution des usages faits par les entreprises des procédures d’alertes éthiques, la CNIL modifia le champ d’application de l’autorisation unique n°4 à deux reprises.
Le 14 octobre 2010, elle y ajouta la lutte contre les pratiques anticoncurrentielles ainsi que le contrôle justifié par l’intérêt légitime du responsable de traitement au sens de l’article 7 de la loi Informatique et Libertés.

Puis, par délibération du 30 janvier 2014 (CNIL, Délibération n° 2014-042 du 30 janvier 2014), elle compléta le champ de l’autorisation unique avec la lutte contre les discriminations et le harcèlement au travail, la santé, l’hygiène et la sécurité au travail, ainsi que la protection de l’environnement, à condition que la mise en œuvre de ces traitements réponde à une obligation égale ou à un intérêt légitime.
Enfin, au regard des récentes décisions rendues par la CNIL, cette dernière semble faire une interprétation souple de la notion d’intérêt légitime. Il en a été jugé ainsi de la nécessité de prévenir l’utilisation frauduleuse des données personnelles des clients par les salariés de la société (CNIL, Délibération n° 2016-051 d’autorisation du 25 février 2016 Téléperformance France). De même, elle a considéré que l’alerte relative à la prévention du recours au travail des enfants, à la violation des droits de l’Homme et à la violation de la confidentialité des informations et de la propriété intellectuelle, relevait de l’intérêt légitime de l’entreprise (CNIL, Délibération n° 2016-146 d’autorisation du 12 mai 2016 Nexans France.).

Les conditions de mise en place et de gestion des alertes éthiques

La mise en place de dispositifs d’alerte éthique nécessite un encadrement juridique spécifique mais également des mesures logistiques au sein des entreprises. Ils ne peuvent être obligatoires mais ils peuvent faire l’objet d’une incitation par l’employeur ou encore par les institutions représentatives du personnel.
Ce processus vient compléter les autres modes d’alerte prévus par le Code du travail évoqués précédemment sans s’y substituer. La CNIL rappelle qu’il s’agit d’un canal de signalement alternatif pour les personnes ne souhaitant pas emprunter la voie habituelle de signalement.

De plus, l’usage légitime du dispositif ne peut porter atteinte au salarié de bonne foi à l’origine de l’alerte. L’article 806 de la loi américaine SOX prévoyait déjà l’interdiction d’exercer des mesures de représailles à l’encontre des « whistleblowers » (Salariés usant du dispositif d’alerte).
L’ensemble du personnel doit être informé par divers moyens tels que l’affichage et la distribution de notes de service.

Dès l’enregistrement du signalement, les personnes mises en cause doivent être informées par courrier individuel de leurs droits d’accès et de rectification des données.
D’un point de vue logistique, l’alerte doit être relayée de manière confidentielle à un service éthique spécialisé ; le traitement des données doit garantir un niveau de sécurité suffisant, l’accès à ces informations devant être protégé par un système d’authentification et par une journalisation des consultations. La durée de conservation des données dépend des suites données au signalement mais ne doit pas dépasser l’issue d’une procédure disciplinaire ou judiciaire dans un tel cas [(CNIL, Délibération n° 2016-113 d’autorisation du 21 avril 2016).

Ces mesures de sécurité et de confidentialité sont essentielles à la protection des salariés lanceurs d’alerte. En effet l’article 2 de l’autorisation unique n°4 précise que l’organisme ne doit pas inciter les personnes à utiliser le dispositif de manière anonyme, notamment afin d’éviter toute dénonciation calomnieuse. Toutefois par exception, une alerte anonyme peut être traitée sous deux conditions cumulatives liées à la gravité des faits allégués et aux précautions particulières prises dans le cas d’une telle alerte.
Il conviendra donc, dans tous les cas, de maintenir un juste équilibre entre le droit au respect de la vie privée et les intérêts poursuivis dans le cadre de la mise en œuvre du mécanisme d’alerte professionnelle.

Valérian BONNARD Etudiant en Master 2 Droit des TIC à Lille II, stagiaire chez @CILCONSULTING Florence Bonnet, CIL.

[1Portée du dispositif qui doit revêtir un caractère complémentaire, un champ restreint ainsi qu’un usage facultatif, définition des catégories de personnes concernées, restriction quant aux alertes anonymes et pertinence des données.

[2Diffusion d’une information claire et complète, conservation des données limitée dans le temps, information précise de la personne en cause et respect des droits d’accès et de rectification.

[3Recueil des alertes par des moyens dédiés, gestion interne et confidentielle par des spécialistes, réalisation de rapports d’analyse du dispositif.

Comentaires: