Les dispositifs d’alertes professionnelles : l’élargissement récent par la CNIL à de nouveaux domaines va-t-il par ricochet rendre ces dispositifs plus en vogue ?

Par une délibération du 30 janvier 2014 n°2014-042, la CNIL a franchi un nouveau pas dans le domaine des dispositifs d’alertes professionnelles.
En effet, la CNIL modifie une nouvelle fois l’autorisation unique simplifiée applicable à la mise en œuvre des dispositifs d’alertes professionnelles et rend accessible cette procédure simplifiée aux systèmes d’alertes portant sur des nouveaux domaines (sanitaire, environnemental ou encore lutte contre les discriminations et le harcèlement au travail) qui sont de fait souvent abordés dans les codes éthiques des entreprises.

Par cette nouvelle délibération, la CNIL étend non seulement les domaines couverts par le champ d’application de son autorisation unique, mais elle élargit également les fondements juridiques susceptibles de justifier la légitimité de la mise en place d’une alerte professionnelle et clarifie les conditions de prise en compte des alertes anonymes.

1. Définition de l’alerte professionnelle (« whistleblowing ») et bref rappel historique sur l’introduction et la « légalisation » en France des dispositifs d’alertes professionnelles

C’est pour faire suite au scandale des entreprises Enron et Worldcom que les Etats Unis ont adopté la loi américaine Sarbanes Oxley du 31 juillet 2002 qui a introduit pour les sociétés cotées aux Etats Unis, ainsi que pour leurs filiales à l’étranger, l’obligation de mettre en place un système de « whistleblowing » (traduit en français par « procédure d’alerte », « alerte éthique », ou « alerte professionnelle ») permettant aux salariés d’effectuer de façon confidentielle et anonyme (par le biais de « numéro vert », site internet ou adresse email dédiée) des remontées d’informations concernant les pratiques frauduleuses et malversations en matière comptable et financière dont ils auraient connaissance.

Bien que dans un premier temps réticente à ce type de dispositif conduisant à une forme de délation, la CNIL a été ensuite confrontée à la réalité des entreprises. Face à l’extraterritorialité de certaines lois étrangères (loi « Sabarnes Oxley » de 2002, « Japanese Sox » du 6 juin 2006), la CNIL a finalement plié.

C’est dans ce contexte que la CNIL a adopté, par délibération du 8 décembre 2005 n° 2005-305, une autorisation unique  ou « AU-004 » visant à établir un dispositif d’alerte professionnelle « à la française ».

Le dispositif d’alerte professionnelle tel qu’il a été défini par la CNIL, est un dispositif facultatif mis à la disposition des salariés (et de toute personne travaillant dans l’entreprise) afin de signaler (prioritairement de manière non-anonyme) tous problèmes pouvant sérieusement affecter l’activité d’une entreprise ou engager gravement sa responsabilité. Un tel dispositif vient compléter -mais n’a pas vocation à remplacer- les canaux habituels d’alertes par le biais des délégués du personnel, de l’Inspection du travail, des supérieurs hiérarchiques etc.

Le dispositif d’alertes professionnelles implique la mise en œuvre d’un traitement automatisé de données à caractère personnel et nécessite de ce fait l’accomplissement de formalités préalables auprès de la CNIL. Les alertes recueillies sont par la suite vérifiées, et ce dans un cadre confidentiel, et permettent à l’employeur de décider, en connaissance de cause, des éventuelles mesures correctives à prendre.

Avant toute mise en place d’un dispositif d’alertes professionnelles, il est nécessaire de respecter l’une des deux procédures CNIL suivantes: la déclaration unique « AU 004 » ou l’autorisation spécifique.

Si le dispositif d’alertes professionnelles institué par l’entreprise entre en tous points dans le cadre strict défini par l’autorisation unique « AU-004 », ladite entreprise doit alors simplement adresser à la CNIL une déclaration de conformité (formulaire disponible sur le site de la CNIL) qui n’a qu’une simple valeur déclarative.

La CNIL n’opère aucun contrôle et adresse un récépissé de la déclaration par retour de courrier, sésame permettant à l’entreprise de mettre alors en place le dispositif en toute légalité.

En revanche, si l’entreprise souhaite mettre en place un dispositif d’alerte professionnelle qui sort du cadre fixé par l’autorisation unique « AU-004 », elle doit alors adresser à la CNIL un dossier complet de demande d’autorisation individuelle qui fera l’objet d’un examen détaillé. En effet, cette demande nécessite un véritable échange avec la CNIL afin de la « convaincre » de la légitimité de l’extension demandée. Cette procédure est donc plus longue et plus aléatoire que celle de l’autorisation unique.

Avant la délibération de 2014, les dispositifs d’alertes professionnelles susceptibles d’entrer dans le périmètre d’application de l’autorisation unique (« AU-004 ») devaient impérativement être circonscris aux domaines suivants:

• financier,
• comptable,
• bancaire,
• lutte contre la corruption,
• pratiques anticoncurrentielles.

En outre, pour bénéficier du régime de l’autorisation unique, il était nécessaire de pouvoir justifier la légitimité de la mise en place d’une alerte professionnelle par une « obligation législative ou réglementaire de droit français» ou de justifier être une entreprise soumise à la loi américaine « Sabarnes Oxley » de 2002 ou à la « Japanese SOX » de 2006.

Entre 2011 et 2013, la CNIL a traité près d’une soixantaine de demandes d’autorisations spécifiques relatives à des domaines n’entrant pas dans le champ d’application de l’autorisation unique (discrimination, harcèlement au travail, santé, hygiène, sécurité, environnement) ou relatives aux domaines financier, comptable, bancaire et de la lutte contre la corruption mais alors que le responsable de traitement ne pouvait se prévaloir d’une obligation législative ou réglementaire de droit français.

Dans ce contexte, il est apparu nécessaire à la CNIL d’étendre le champ d’application à d’autres domaines.

2. Apports de la délibération du 30 janvier 2014

Dans sa délibération du 30 janvier 2014, la CNIL élargit le champ d’application de l’autorisation unique et l’étend aux alertes professionnelles dans les domaines suivants :

• la lutte contre les discriminations et le harcèlement,
• la santé, l’hygiène et la sécurité au travail,
• ainsi que la protection de l’environnement.

En outre, la CNIL élargit les bénéficiaires de l’autorisation unique. Alors que la procédure simplifiée d’autorisation unique était uniquement réservée aux entreprises soumises à « une obligation législative ou réglementaire de droit français » et aux entreprises soumises à la loi américaine « Sabarnes Oxley » de 2002 ou à la « Japanese SOX » de 2006, la procédure simplifiée s’applique indifféremment à toute entreprise souhaitant mettre en place un dispositif d’alertes pour répondre à une « obligation légale » ou bien « à un intérêt légitime ».

Enfin, un dernier apport important de la délibération de 2014 concerne l’identification de l’émetteur d’alerte. En effet, la CNIL a depuis toujours rappelé l’impérative nécessité de pouvoir identifier les personnes auteurs d’un signalement.

Selon elle, l’auteur de l’alerte doit être invité à s’identifier afin de permettre de responsabiliser les utilisateurs du dispositif et de limiter les risques de dérapages vers la délation et la dénonciation calomnieuse, de faciliter la protection de l’auteur de l’alerte contre d’éventuelles représailles et d’avoir la possibilité de demander à son auteur des précisions complémentaires.

La CNIL reste fidèle à sa position : le principe est l’identification de l’émetteur d’alerte, l’exception, l’anonymat de celui-ci. Cependant, les recours à l’anonymat ont été clarifiés de manière explicite par la CNIL. L’article 2 de l’autorisation unique « AU-004 » encadre désormais strictement les possibilités d’anonymats :

• dans un premier temps, il faut que « la gravité des faits mentionnés [soit] établie » et que « les éléments factuels [soient] suffisamment détaillés » ;
• dans un second temps, il faut que  « le traitement de l’alerte [soit entouré] de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif. »

3. Quelles conséquences pratiques pour les entreprises ?

La délibération CNIL de 2014 s’inscrit tout à fait dans la tendance actuelle d’une meilleure gouvernance des entreprises avec une volonté de transparence et d’éthique (RSE, chartes éthiques, lanceurs d’alertes).

Cette extension répond donc incontestablement avec pragmatisme aux réalités des entreprises et leur facilite les démarches.

Face aux enjeux et risques importants (responsabilité pénale) auxquels sont confrontées les entreprises dans les domaines de l’hygiène et de la sécurité, des discriminations et du harcèlement mais également de l’environnement, il est nécessaire que l’entreprise puisse disposer d’outils efficaces lui permettant de détecter toute pratique, tout comportement illicite/fautif en son sein.

On peut uniquement regretter que d’autres domaines ne soient pas également couverts tel que notamment la divulgation d’informations sensibles ou confidentielles.

Reste en tout état de cause à voir si l’élargissement des domaines possibles de signalement va accroître les cas de recours à ce type de dispositif d’alertes dans les entreprises. En effet, la CNIL a relevé, à partir des contrôles qu’elle a menés ces dernières années, que le recours par les salariés aux dispositifs d’alerte professionnelle est en pratique relativement faible. Cela s’explique en partie par le fait qu’il existe déjà en France des canaux habituels pour signaler des problèmes ou des dysfonctionnements rencontrés dans l’entreprise, comme la procédure d’alerte auprès des Délégués du Personnel et les recours possibles auprès de l’inspection du travail. Mais cela s’explique surtout par le fait que, même si les mentalités changent face à l’internationalisation des cultures d’entreprises et des méthodes de management, un tel dispositif incitant à une forme de délation (qui plus est de manière a priori non-anonyme) est encore aujourd’hui très mal perçu dans la culture française.

A noter que pour les entreprises déjà dotées d’un système d’alertes autorisé sous l’ancien régime de l’autorisation unique, il n’est pas nécessaire de procéder à une nouvelle déclaration de conformité dès lors que les informations mentionnées initialement demeurent inchangées. Toutefois la société devra modifier sa notice d’information afin d’y inclure les nouveaux domaines de l’alerte professionnelle qu’elle souhaite mettre en place et informer les salariés de ces modifications. Elle ne devra également pas omettre de consulter son éventuel comité d’entreprise et CHSCT.