Confrontée à l’accroissement des demandes d’autorisation de dispositifs d’alerte professionnelle, la CNIL étend une nouvelle fois le champ d’application de l’autorisation unique du 8 décembre 2005 (ci-après l’ «AU-004»).

Dispositifs d’alerte

Souvent couplés à des Codes de conduite, les dispositifs d’alerte professionnelle (dits «whistleblowing lines») ont fait leur apparition avec l’entrée en vigueur de la loi américaine Sarbanes-Oxley de 2002, qui a imposé la mise en place de procédures de contrôle interne pour toutes les entreprises américaines cotées ainsi que leur filiales, y compris celles situées à l’étranger.

Les moyens mis à la disposition des salariés (ligne téléphonique, site Internet ou adresse e-mail dédié) leur permettent de signaler des problèmes rencontrés au sein de leur entreprise et susceptibles de nuire à la personne morale elle-même ou à ses salariés ou d’engager leur responsabilité. Leur utilisation peut révéler des infractions commises et conduire au prononcé de sanctions ou de licenciement. Ils relèvent donc de l’article 25-1-4° de la loi du 6 janvier 1978 (loi Informatique et Libertés) et ne peuvent être mis en œuvre qu’après avoir été autorisés par la CNIL.

Bien que suspicieuse à leur égard, la CNIL, confrontée aux règlementations européennes et à l’extraterritorialité de certaines lois étrangères imposant la mise en place de tels dispositifs, avait adopté l’AU-004 visant à faciliter leur mise en œuvre. En effet, en vertu de la loi Informatique et Libertés, la CNIL peut adopter une décision unique d’autorisation des traitements portant sur les mêmes finalités et sur des catégories de données et de destinataires identiques. Une autorisation particulière n’est donc pas nécessaire à la mise en œuvre d’un dispositif se conformant en tous points à une autorisation unique, une simple déclaration de conformité permettant de mettre en œuvre le traitement sans délai.

Elargissement des domaines susceptibles de faire l’objet d’une alerte

Le champ des dispositifs susceptibles d’entrer dans le champ de l’AU-004 était à l’origine extrêmement restreint puisque seules pouvaient faire l’objet d’un rapport par le biais d’une ligne éthique conforme à l’AU-004 les infractions constatées dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

En 2010, le champ d’application de la DAU a été étendu aux pratiques anticoncurrentielles.

La nouvelle délibération n°2014-042 du 30 janvier 2014 permet désormais d’englober également les champs suivants :

• la lutte contre les discriminations et le harcèlement au travail,
• la protection de la santé, de l’hygiène et de la sécurité au travail,
• l’environnement.

Cette extension simplifie considérablement les formalités préalables à la mise en œuvre de tels dispositifs d’alerte, qui nécessitaient jusque-là des demandes d’autorisation spécifiques retardant la mise en œuvre des dispositifs de plusieurs mois.

L’élargissement n’est toutefois pas illimité. Les dispositifs d’alerte visant d’autres domaines que ceux visés par l’article 1er de la délibération devront faire l’objet d’une demande d’autorisation spécifique.

Elargissement des bénéficiaires de l’autorisation unique

Jusque-là, la procédure simplifiée d’autorisation unique était exclusivement réservée, d’une part, aux entreprises soumises à une obligation législative ou règlementaire de droit français visant à l’établissement de procédure de contrôle interne dans les domaines comptable, financier, bancaire et de lutte contre la corruption et, d’autre part, aux entreprises soumises à la loi Sarbanes-Oxley ou son équivalent japonais dit Japanese SOX.

Autrement dit, les entreprises qui n’étaient pas tenues de mettre en place une ligne éthique en vertu d’une disposition du droit français ou de la législation américaine ou japonaise, devaient nécessairement passer par le formalisme d’une demande d’autorisation spécifique auprès de la CNIL.

La nouvelle délibération visée permet désormais à toute entreprise de bénéficier de l’autorisation unique dès lors que la mise en place du dispositif répond soit à une obligation légale soit à «un intérêt légitime» dans les domaines visés par l’autorisation.

Des alertes anonymes sous conditions

Le principe demeure que l’émetteur de l’alerte doit s’identifier. Toutefois, le recueil des alertes anonymes est toléré à la condition que leur traitement fasse l’objet de précautions particulières et que la gravité des faits soit établie et détaillée.

Quels impacts en droit du travail ?

Les règles du droit du travail conduisent naturellement à respecter la procédure d’information-consultation préalable du comité d’entreprise avant de mettre en place un tel dispositif, mais également à informer individuellement les salariés puisqu’aucun contrôle de leur activité ne peut se faire à leur insu.

Jusque-là, la question d’une éventuelle consultation du CHSCT se posait et n’avait pas été totalement tranchée. La nouvelle délibération repose clairement la question de la compétence du CHSCT dès lors que le champ d’application du dispositif peut désormais porter sur la santé, l’hygiène et la sécurité au travail.

De même, l’élargissement du champ des alertes au harcèlement moral et à la lutte contre la discrimination conduit à se demander si les règles propres au règlement intérieur ne doivent pas être respectées surtout si le dispositif d’alerte est assorti de sanctions disciplinaires.

Caroline Froger-Michon, avocat. Son expertise porte sur les restructurations (transfert des contrats de travail, adaptation des statuts collectifs, articulation des procédures),les licenciements collectifs, les plans de départ volontaire, le droit des comités d’entreprise et des comités européens, les expertises (CE/CHSCT, …), les chartes éthiques et procédures d’alerte, les discriminations, le harcèlement, les risques psycho-sociaux.

Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.

Article paru dans Les Echos Business le 31 mars 2014