Informatique et Libertés : la légalité des dispositifs d’alerte professionnelle

Droit

La Commission nationale Informatique et Libertés (Cnil) a, le 8 décembre 2005, adopté une autorisation unique de traitement automatisé de données à caractère personnel, mise en œuvre dans le cadre de dispositifs d’alerte professionnelle.

De tels dispositifs sont définis comme des systèmes mis à la disposition des employés d’un organisme public ou privé, pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

La Cnil considère que ces dispositifs de whistleblowing constituent des traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toutes dispositions législatives ou réglementaires. Elle a donc pris le soin d’établir, dans sa délibération, des conditions d’autorisation de mise en application de tels traitements, en conformité avec la loi Informatique et Libertés.

La finalité du dispositif mis en œuvre doit ainsi être limitée à l’établissement de procédure de contrôle interne dans les domaines financiers comptables, bancaires et de la lutte contre la corruption.

La Commission recommande également d’entourer le traitement d’une alerte transmise par un salarié de précaution particulière telle qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.

L’employeur doit s’abstenir d’inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif doit en tenir compte.

La société Dassault Systèmes a, préalablement à la mise en place de son dispositif d’alerte professionnelle, effectué une déclaration de conformité à l’autorisation unique n°4 élaborée par la Cnil. Saisie par le Fédération des travailleurs de la métallurgie CGT, la Cour de Cassation a eu l’occasion de se prononcer sur la légalité du Code of Business Conduct, instauré par l’entreprise.

Dans un arrêt de la Chambre Sociale du 8 décembre 2009 (n° 2524) , les magistrats ont retenu qu’aucune mesure d’information et de protection des personnes n’était prévue dans ce dispositif d’alerte professionnelle, conformément aux exigences de la Loi Informatique et Libertés et de la délibération de la Cnil portant autorisation unique.

La Cour de Cassation a également relevé qu’à partir du moment où le dispositif d’alerte faisant l’objet de l’engagement de conformité à l’autorisation unique transmis par Dassault Systèmes, avait une finalité différente de celle prévue dans l’autorisation unique, celui-ci devait faire l’objet d’une demande d’autorisation spécifique auprès de la Cnil.

En effet, tandis que la délibération de la Cnil prévoit que le traitement mis en œuvre doit répondre à une obligation législative ou règlementaire visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptables, bancaires et de lutte contre la corruption, pouvant être élargi à tout domaine lorsque l’intérêt vital de la société ou l’intégrité physique ou morale de ses employées est en jeu, Dassault Systèmes permettait, plus généralement, à ses employés de dénoncer les faits de délits d’initiés, de conflits d’intérêt, de harcèlement, de discrimination ou de divulgation d’informations confidentielles.