Actions sur le document
La CNIL élargit son autorisation unique en matière de dispositifs d’alerte professionnelle (Whistleblowing) (délibération du 30 janvier 2014 )
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Stéphane Bloch, Matthieu Bourgeois, 24/02/2014
• De quoi s’agit-il ?
Un dispositif d’alerte professionnelle (en anglais « Whistleblowing ») est un processus organisé permettant à des salariés de signaler des comportements susceptibles de nuire à leur entreprise ou d’engager la responsabilité de cette dernière.
Les alertes recueillies sont ensuite vérifiées par l’employeur qui décidera, après enquête, des éventuelles mesures correctives ou sanctions à prendre.
L’utilité de ce type de dispositif s’est imposée en particulier avec l’entrée en vigueur de la loi américaine « Sarbanes-Oxley » du 31 juillet 2002 qui, à la suite des scandales financiers intervenus au début des années 2000 et ayant révélé l’existence de fraudes et de manipulations comptables au sein de grandes entreprises américaines (Enron notamment), a imposé la mise en place de mesures de contrôle interne (impliquant le signalement de comportements frauduleux au sein de l’entreprise) pour toute les entreprises américaines cotées, ainsi que leurs filiales, y compris celles à l’étranger.
Depuis, de nombreuses entreprises françaises, non liées par la loi « Sarbanes-Oxley », se sont dotées de dispositifs d’alerte professionnelle, afin de renforcer leur sécurité et les garanties données à leurs actionnaires.
• A quoi correspond l’autorisation unique de la CNIL ?
La collecte de données relatives aux faits dénoncés et à l’identité de leur auteur constitue un traitement de données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés » (ci-après « loi informatique et libertés »).
La mise en place de ce type de traitement, qui a pour finalité le signalement de comportements individuels susceptibles d’entraîner des sanctions pour leurs auteurs (licenciement notamment), nécessite l’autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL) (article 25-I.4 de la loi informatique et libertés), dont l’obtention toujours aléatoire, qui requiert en général un délai de plusieurs mois, s’avère peu compatible avec les impératifs des entreprises.
Pour cette raison, la CNIL a édicté, le 8 décembre 2005, une autorisation dite "unique" en vertu de laquelle les entreprises peuvent se limiter à adresser un simple engagement de conformité .
Ce processus simplifie considérablement la tâche des entreprises. Néanmoins, celles-ci doivent veiller à respecter strictement les prescriptions de cette autorisation unique (imposant notamment le traitement d’un nombre limité de catégories de données, ainsi que la mise en place d’un processus confidentiel d’information envers la personne mise en cause) ; à défaut de quoi, elles devront solliciter l’autorisation individuelle de la CNIL.
Ce point est important lorsque l’on sait que le non-respect de la loi informatique et liberté est lourdement sanctionné (5 ans d’emprisonnement et 300.000 euros d’amende – art. 226-16 C. Pen. – peines auxquelles peuvent s’ajouter une sanction pécuniaire prononcée par la CNIL pouvant aller jusqu’à 150.000 euros – art. 45 et S. de la loi informatique et libertés), sans compter l’atteinte à l’image de l’entreprise.
• Quels changements avec cette délibération du 30 janvier 2014 ?
Jusqu’à présent, l’autorisation unique était limitée aux dispositifs d’alerte « répondant à une obligation législative ou réglementaire du droit français, visant à l’établissement de procédures de contrôle interne » ou répondant à une obligation imposée par les dispositions de la loi Sarbanes-Oxley ainsi que la loi japonaise du 6 Janvier 2006 dite « Japanese Sox », dans l’un des domaines suivants :
- Financier, comptable, bancaire et lutte contre la corruption, pratique anticoncurrentielle.
La délibération du 30 Janvier 2014 a étendu le champ de cette autorisation unique à deux titres :
- Tout d’abord, en élargissant le périmètre matériel de cette autorisation aux trois domaines suivants :
o Lutte contre les discriminations et le harcèlement au travail ;
o Santé, hygiène et sécurité au travail,
o Protection de l’environnement.
- Ensuite, en prévoyant que l’autorisation unique s’applique aux dispositifs répondant à une « obligation légale ou à un intérêt légitime dans ces domaines » (art.1).
Cette démarche de simplification est à saluer, mais ne doit pas faire oublier aux entreprises que le respect des prescriptions prévues par cette autorisation unique doit, au préalable, donner lieu à une analyse approfondie du mode de fonctionnement du dispositif d’alerte professionnelle, afin de s’assurer que celui-ci en respecte les exigences.
Voir aussi sur le même thème :
La protection du « lanceur d’alerte », salarié de droit privé ou agent de la fonction publique
Un dispositif d’alerte professionnelle (en anglais « Whistleblowing ») est un processus organisé permettant à des salariés de signaler des comportements susceptibles de nuire à leur entreprise ou d’engager la responsabilité de cette dernière.
Les alertes recueillies sont ensuite vérifiées par l’employeur qui décidera, après enquête, des éventuelles mesures correctives ou sanctions à prendre.
L’utilité de ce type de dispositif s’est imposée en particulier avec l’entrée en vigueur de la loi américaine « Sarbanes-Oxley » du 31 juillet 2002 qui, à la suite des scandales financiers intervenus au début des années 2000 et ayant révélé l’existence de fraudes et de manipulations comptables au sein de grandes entreprises américaines (Enron notamment), a imposé la mise en place de mesures de contrôle interne (impliquant le signalement de comportements frauduleux au sein de l’entreprise) pour toute les entreprises américaines cotées, ainsi que leurs filiales, y compris celles à l’étranger.
Depuis, de nombreuses entreprises françaises, non liées par la loi « Sarbanes-Oxley », se sont dotées de dispositifs d’alerte professionnelle, afin de renforcer leur sécurité et les garanties données à leurs actionnaires.
• A quoi correspond l’autorisation unique de la CNIL ?
La collecte de données relatives aux faits dénoncés et à l’identité de leur auteur constitue un traitement de données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés » (ci-après « loi informatique et libertés »).
La mise en place de ce type de traitement, qui a pour finalité le signalement de comportements individuels susceptibles d’entraîner des sanctions pour leurs auteurs (licenciement notamment), nécessite l’autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL) (article 25-I.4 de la loi informatique et libertés), dont l’obtention toujours aléatoire, qui requiert en général un délai de plusieurs mois, s’avère peu compatible avec les impératifs des entreprises.
Pour cette raison, la CNIL a édicté, le 8 décembre 2005, une autorisation dite "unique" en vertu de laquelle les entreprises peuvent se limiter à adresser un simple engagement de conformité .
Ce processus simplifie considérablement la tâche des entreprises. Néanmoins, celles-ci doivent veiller à respecter strictement les prescriptions de cette autorisation unique (imposant notamment le traitement d’un nombre limité de catégories de données, ainsi que la mise en place d’un processus confidentiel d’information envers la personne mise en cause) ; à défaut de quoi, elles devront solliciter l’autorisation individuelle de la CNIL.
Ce point est important lorsque l’on sait que le non-respect de la loi informatique et liberté est lourdement sanctionné (5 ans d’emprisonnement et 300.000 euros d’amende – art. 226-16 C. Pen. – peines auxquelles peuvent s’ajouter une sanction pécuniaire prononcée par la CNIL pouvant aller jusqu’à 150.000 euros – art. 45 et S. de la loi informatique et libertés), sans compter l’atteinte à l’image de l’entreprise.
• Quels changements avec cette délibération du 30 janvier 2014 ?
Jusqu’à présent, l’autorisation unique était limitée aux dispositifs d’alerte « répondant à une obligation législative ou réglementaire du droit français, visant à l’établissement de procédures de contrôle interne » ou répondant à une obligation imposée par les dispositions de la loi Sarbanes-Oxley ainsi que la loi japonaise du 6 Janvier 2006 dite « Japanese Sox », dans l’un des domaines suivants :
- Financier, comptable, bancaire et lutte contre la corruption, pratique anticoncurrentielle.
La délibération du 30 Janvier 2014 a étendu le champ de cette autorisation unique à deux titres :
- Tout d’abord, en élargissant le périmètre matériel de cette autorisation aux trois domaines suivants :
o Lutte contre les discriminations et le harcèlement au travail ;
o Santé, hygiène et sécurité au travail,
o Protection de l’environnement.
- Ensuite, en prévoyant que l’autorisation unique s’applique aux dispositifs répondant à une « obligation légale ou à un intérêt légitime dans ces domaines » (art.1).
Cette démarche de simplification est à saluer, mais ne doit pas faire oublier aux entreprises que le respect des prescriptions prévues par cette autorisation unique doit, au préalable, donner lieu à une analyse approfondie du mode de fonctionnement du dispositif d’alerte professionnelle, afin de s’assurer que celui-ci en respecte les exigences.
Voir aussi sur le même thème :
La protection du « lanceur d’alerte », salarié de droit privé ou agent de la fonction publique