6 mois pour régulariser les dispositifs d’alertes professionnelles (« whistleblowing »)

Ce dispositif d’alerte dit « whistleblowing » est rendu obligatoire, depuis 2002, par la législation américaine « SOX » (Sarbanes-Oxley) pour les sociétés américaines cotées en bourse et leurs filiales, même étrangères.

Après de nombreux débats, la CNIL a mis en œuvre une autorisation unique n°AU-004 relative à ces dispositifs qui permet aux entreprises françaises, soumises à la fois à la législation américaine du fait de leur statut de filiale de sociétés américaines cotées en bourse et à la loi française, de respecter l’ensemble des législations sans être en contravention avec l’une du fait du respect de l’autre. Ce dispositif est relativement simple puisqu’il consiste pour l’entreprise en une déclaration de conformité à l’autorisation unique.

La CNIL indique qu’à fin 2010, plus de 1.600 entreprises ont pris un engagement de conformité à son dispositif.

Toutefois, à la suite d’un arrêt de la Cour de cassation rendu le 8 décembre 2009, la CNIL a procédé à une clarification de sa norme, alors jugée d’interprétation difficile.

La délibération de la CNIL n°2010-369 du 14 octobre 2010, qui modifie la « Délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle », a été publiée au Journal Officiel du 8 décembre 2010.

Le champ de l’autorisation unique est désormais celui des « dispositifs d'alerte professionnelle répondant à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption ».

Sont également visés :
- « les traitements mis en œuvre dans les domaines précités par les entreprises concernées par la section 301(4) de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002, ainsi que par la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ».
- les traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l'organisme concerné » (disposition nouvellement insérée dans le dispositif de l’Autorisation unique).

Tout autre sujet d’alerte professionnelle ne relève plus du champ de l’autorisation unique, alors que la précédente norme de la CNIL en permettait la communication sous réserve qu’il concerne « l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés ». Désormais, les salariés devront informer leur employeur en dehors de tout dispositif de « whistleblowing ».

Plusieurs cas de figure se présentent.

1. Si une entreprise envisage de mettre en place un dispositif d’alerte professionnelle, il convient d’étudier si celui-ci respecte les prescriptions de l’autorisation unique n°AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle, telle qu’applicable en sa nouvelle rédaction.

2. Si une entreprise a d’ores et déjà mis en place un dispositif d’alerte professionnelle :

- mais n’a entrepris aucune démarche. Il est alors urgent de régulariser sa situation auprès de la CNIL et, le cas échéant, vis-à-vis des salariés et des institutions représentatives du personnel,

- et si ce dispositif est plus large que le champ d’application de l’autorisation unique modifiée, elle dispose d'un délai de 6 mois pour mettre son traitement en conformité (à compter du 8 décembre 2010, art. 12 de la délibération du 14 octobre 2010). Si le dispositif existant dans l’entreprise a notamment pour objet les domaines de la propriété intellectuelle ou de la discrimination, une demande d’autorisation peut être adressée à la CNIL sur ce champ spécifique.

- et si ce dispositif correspond au nouveau champ d’application de l’autorisation unique modifiée, aucune démarche n’est nécessaire.

Pour mémoire, outre des sanctions civiles, administratives voire pénales, les entreprises qui ne respecteraient pas les dispositions de la loi dite « Informatique et libertés » et, plus spécifiquement de l’Autorisation unique modifiée, s’exposent à ce que les procédures qu’elles engageraient à la suite d’une alerte professionnelle soient privées de leur base légale. Notamment, tout licenciement pris sur la base d’informations recueillies dans le cadre de ce dispositif serait jugé sans cause réelle et sérieuse et exposerait l’entreprise à des dommages et intérêts.

Régis Carral, avocat associé & Frédéric Guénin, avocat

Article publié pour la première fois comme e-alert sur le site du Cabinet Landwell & Associés, le 20 décembre 2010.