La Cour de cassation précise les limites des dispositifs d’alerte professionnelle
A la suite du scandale Enron, les Etats-Unis ont adopté en 2002 un texte fédéral, dit « loi Sarbanes Oxley », qui a créé de nouvelles règles sur la comptabilité et la transparence financière (par exemple en imposant l’obligation pour les présidents et les directeurs financiers de certifier personnellement les comptes) et mis en place des systèmes de contrôle interne intitulés « systèmes d’alerte professionnelle ». Les employés des sociétés concernées sont ainsi contraints de signaler à leur hiérarchie tout manquement aux règles financières et comptables dont ils seraient les témoins.
Cette obligation pesant également sur les filiales étrangères des sociétés américaines, nombres de sociétés françaises sont concernées. Parce que ces dispositifs constituent des traitements de données à caractère personnel, la CNIL a adopté le 8 décembre 2005 une délibération portant autorisation unique de tels mécanismes. Concrètement, les entreprises qui mettent en place un dispositif d’alerte professionnelle n’ont pas d’obligation de requérir une autorisation spécifique de la CNIL ; il leur suffit de soumettre à la Commission un engagement de conformité aux dispositions de la délibération.
La question s’est alors posée de savoir quel était le champ d’application de ces dispositifs. La délibération de la CNIL portant autorisation unique vise en effet, en son article 1er, les « traitements mis en oeuvre par les organismes publics ou privés dans le cadre d’un dispositif d’alerte professionnelle (…) visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption ».
Or l’article 3 de la délibération étend les dispositifs au signalement de « faits qui ne se rapportent pas à ces domaines » mais qui mettent en jeu « l’intérêt vital » de l’entité « ou l’intégrité physique ou morale de ses employés ». Cet article 3 est fréquemment analysé comme opérant un élargissement substantiel de la portée des mécanismes alertes professionnelles.
Cependant, par un arrêt du 8 décembre 2009 (08-17.191), la Chambre sociale de la Cour de cassation a refusé d’étendre le champ d’application des dispositifs d’alerte professionnelle, en considérant « qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique ne peut avoir une autre finalité que celle définie à son article 1er que les dispositions de l’article 3 n’ont pas pour objet de modifier ».
Ainsi, un dispositif d’alerte professionnelle qui porterait sur des cas de mise en jeu de l’intérêt vital de certaines personnes au sein de l’entreprise devrait faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL.
Au vu de cette décision, les dispositions de l’article 3 de la délibération portant autorisation unique suscitent certaines interrogations, puisqu’il est difficile de faire le lien entre d’éventuels manquements aux obligations comptables, par exemple, et la mise en jeu de l’intérêt vital d’employés… C’est pourquoi la CNIL vient d’annoncer qu’elle allait modifier son autorisation unique à la lumière de cette décision.