L’alerte éthique, dans les entreprises aussi …

AChouette_Louvreujourd’hui, 15 décembre 2013, sur France Inter, 3D Le journal avait pour thème les Deals de justice et l’art de Google, autrement dit sur les pratiques américaines en matière de justice qui s’imposent dans d’autres pays. Cela m’a fait penser à un article écrit en 2006 qui portait sur les lanceurs d’alerte en entreprise, qui fait précisément partie de ces pratiques imposées, et, puisque les lanceurs d’alerte font (à nouveau) à la une des journaux ces derniers jours, pourquoi ne pas donner une nouvelle vie à cet article publié pour Actualités du droit de l’information, la lettre juridique de l’ADBS ? 

Une mise en garde, toutefois : cet article, écrit en mai 2006, n’a pas été actualisé.

Le whistleblowing (littéralement « donner un coup de sifflet ») ou alerte éthique est un dispositif courant aux États-Unis. Il permet de dénoncer des collègues qui, au sein d’une entreprise, ont des pratiques frauduleuses qui pourraient la mettre en danger. La sensibilisation très forte en ce moment à ces questions en France a pour une origine une loi américaine.

Une réponse à des scandales financiers

La loi Sarbanes Oxley dite SOX, adoptée au États-Unis en juillet 2002, répond à des scandales financiers et comptables, comme celui d’Enron ou d’Andersen. Cette loi impose aux entreprises cotées aux États-Unis, y compris les entreprises étrangères, ainsi qu’à leurs filiales, de se doter d’un système permettant aux salariés de dénoncer anonymement les fraudes et les malversations comptables et financières qu’ils auraient remarquées. Refuser de créer un tel dispositif peut être lourdement sanctionné puisqu’il peut signifier un retrait de la cotation.

Si des systèmes de dénonciation existent depuis longtemps, notamment dans les pays du Commonwealth, en France ils rappellent de bien mauvais souvenirs[1]. Il n’en reste pas moins que les entreprises appartenant au champ de la loi SOX sont tenues de mettre en œuvre ces procédures avant le mois de juillet 2006 et qu’il fallait trouver une solution.

Un choc culturel ?

Sans doute. Mais on note que dans plusieurs domaines, certaines professions sont déjà tenues à dénoncer des pratiques jugées douteuses [2]. Il existe ainsi en France une obligation de déclaration, en cas de soupçon, à la cellule anti-blanchiment et pour les fonctionnaires et les commissaires aux comptes, une obligation de dénoncer certains faits délictueux au Parquet. On peut évoquer aussi les principes directeurs de l’Organisation de coopération et de développement économique (OCDE) pour les groupes multinationaux, la whistleblowing policy de la bourse européenne Euronext ainsi que les chartes éthiques qui, au sein de plusieurs grandes entreprises, y compris dans le secteur public, encouragent le personnel à dénoncer certaines pratiques. Les mœurs évoluent et sans aller jusqu’à appliquer purement et simplement le système américain qui permet même d’obtenir un pourcentage sur les sommes détournées, un tel dispositif peut être envisagé moyennant la mise en place de garde-fous.

Il est vrai que plusieurs entreprises situées en France, poussées par les obligations légales des États-Unis, avaient transposé très rapidement le système américain sans tenir compte des spécificités juridiques et culturelles françaises. C’est pourquoi plusieurs tribunaux et la Commission nationale de l’informatique et des libertés (CNIL) ont été amenés à les sanctionner.

Ne pas encourager la délation mais répondre à des réalités économiques

C’est le dilemme auquel la CNIL doit faire face.

L’encadrement des alertes professionnelles ouvertes aux salariés, « temps fort » de l’action de la CNIL en 2005

Le 26 mai 2005, la CNIL refusait à deux entreprises (Mac Donalds et la Compagnie européenne d’accumulateurs) l’autorisation de créer des alertes professionnelles. Les systèmes proposés ne répondaient pas, en effet, aux principes de proportionnalité et de loyauté dans la collecte des données imposés par la loi Informatique et libertés et présentaient un risque lié à l’anonymat des alertes.

Ce refus ayant eu un impact important en France et à l’étranger, la CNIL a pris divers contacts, notamment avec la Securities Exchange Commission (SEC), l’autorité américaine chargée de l’application de la loi SOX, et la Direction générale du Marché intérieur de l’Union européenne pour définir une procédure conforme à la loi protégeant les données personnelles.

Dans un document d’orientation, adopté le 10 novembre 2005, elle a pu fournir ainsi une liste des conditions qui autorisent le whistleblowing. La CNIL autorise même les entreprises qui se conforment à ces règles à recourir, depuis le 8 décembre 2005, à une procédure de déclaration simplifiée [3]. Une simple auto-déclaration de conformité permet désormais de créer une alerte éthique dès que le récépissé de déclaration a été remis par la CNIL au déclarant.

Toutefois, la CNIL se réserve toujours la possibilité d’opérer des contrôles après la mise en œuvre de ces dispositifs d’alerte éthique.

Les règles définies par la CNIL pour limiter les risques

Un champ d’application limité

La CNIL n’admet ces dispositifs d’alerte que dans le domaine comptable et bancaire, le contrôle des comptes et la lutte contre la corruption lorsque ceux-ci répondent aux obligations de la loi SOX ou à certaines obligations légales françaises, notamment dans le secteur bancaire. Les entreprises qui voudraient mettre en place un dispositif de dénonciation sur des questions plus générales [4] ne pourront pas recourir à la déclaration simplifiée. La CNIL statuera au cas par cas [5] pour limiter « les risques de mise en cause abusive ou disproportionnée de l’intégrité professionnelle voire personnelle des employés concernés ».

Une confidentialité mais pas d’anonymat

Pour éviter que la procédure de dénonciation ne se transforme en délation calomnieuse, les alertes anonymes doivent être évitées. Mais l’identité des lanceurs d’alerte et des salariés mis en cause doit être traitée de façon confidentielle, soit par un groupe réduit de personnes désignées en interne, soit par un prestataire externe, qui s’engagent contractuellement à ne pas diffuser les informations qui leur sont confiées.

Une organisation spécifique

Elle est chargée de recueillir et traiter les alertes mais aussi de détruire immédiatement les informations afférentes si l’alerte est jugée infondée, ou au maximum deux mois après la fin des vérifications lorsque les contrôles s’imposent. Ce n’est que lorsqu’une procédure disciplinaire ou que des poursuites judiciaires sont engagées que les données peuvent être conservées plus longtemps.

Un droit d’accès et de vérification des informations

Dès que les mesures conservatoires ont été prises pour éviter la destruction de preuves, le salarié mis en cause a le droit « d’accéder aux données le concernant et d’en demander la rectification ou la suppression« .

Des garde-fous identiques au niveau européen

L’avis donné le 1er février 2006 par le groupe Article 29, qui réunit les autorités de protection des données des pays de l’Union européenne, est largement inspiré du document d’orientation et de l’autorisation unique de la CNIL [6].

On y rappelle que :

  • les dispositifs ne peuvent pas concerner toutes les catégories du personnel d’une entreprise ;
  • la confidentialité doit être assurée ;
  • les données recueillies ne peuvent pas être conservées indéfiniment ;
  • une information doit être donnée sur le dispositif mis en place aux personnes mises en cause sur les conséquences d’une non-utilisation ou d’une utilisation abusive du dispositif ;
  • des règles précises doivent encadrer le dispositif créé au niveau interne ou géré par des prestataires externes.

Ces règles ont été définies pour répondre aux obligations de la loi SOX. Mais le groupe de l’article 29 envisage ultérieurement « d’étendre la légitimité de tels dispositifs dans des domaines différents« .

Être transparent, communiquer et anticiper

Il est important de communiquer pour faire reconnaître aux salariés l’intérêt d’un dispositif « étranger au tempérament français » et sur son mode de fonctionnement. Celui-ci doit être simple, bien structuré et ne devrait pas être imposé par la direction mais défini en concertation avec les syndicats et détaillé dans un règlement intérieur. Shell France a ainsi créé, dès 2003, un groupe de réflexion collégial qui s’est traduit en avril 2004 par la création du Cap éthique (Comité d’application des principes de conduite) qui réunit les membres de la direction, les délégués de cinq syndicats et un médiateur universitaire [7].

Il est important de responsabiliser les salariés, en rappelant notamment que tout abus dans les dénonciations donne également lieu à des sanctions. D’autres moyens permettent aussi d’éviter ou du moins de limiter les risques de fraudes. La CNIL évoquait ainsi des actions de sensibilisation par l’information et la formation des personnels, le rôle d’audit et d’alerte des commissaires aux comptes dans le domaine financier et comptable, la saisine de l’inspection du travail ou des juridictions compétentes. L’alerte professionnelle, comme le souligne fort justement Yann de Kerorguen, « n’est pas une police interne mais un système qui est destiné à aider les cadres à se tirer d’un mauvais pas quand ils connaissent un dilemme éthique« .

 Ill. Aryballe protocorinthien en forme de chouette, vers 640 av. J.-C. Le Louvre. Jastrow, Wikimédia

Références

1. Logiciels pirates : la BSA récompense très cher la délation, Arnaud Dimberton, Silicon.fr, 28 avril 2006

2. « Whistleblowing » : les CNIL européennes font front, Laurent Caron,

Les Échos, 20 avril 2006

3. Les alertes professionnelles. Autorisation unique, Liaisons sociales, n ° 8679, 16 mars 2006

4. Questions-réponses de la Cnil sur les alertes professionnelles, Liaisons sociales, 7 mars 2006

5. 26e rapport d’activité 2005, CNIL, 2006

6. Tribunal de grande instance de Libourne, 15 septembre 2005, note, Jean-François Forgeron et Alexandre Fievée, Gazette du Palais, 16 au 20 avril 2006

7. Alertes professionnelles (« whistleblowing ») : le groupe des autorités européennes de protection des données (G29) sur la même ligne que la CNIL, CNIL, 24 février 2006

8. Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing shemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery,

banking and financial crimes 00195/06/ EN, WP197, Article 29 Data protection working party, 1 February 2006

9. Autorisation simplifiée pour les alertes professionnelles, Liaisons sociales, 2 janvier 2006

10. Lignes éthiques et autres whistleblowing  : la CNIL propose une solution, Étienne Wery, Droittechnologie, 30 novembre 2005

11. La Cnil contre le « whistleblowing » sauvage, Marianne Rey, entreprise.com, 23 novembre 2005

12. La Cnil encadre le recours aux dispositifs d’alertes professionnelles, Liaisons sociales, 17 novembre 2005

13. Le whistleblowing à la française : les précautions à prendre, La rédaction, Journal du Net, 9 novembre 2005

14. La Cnil s’oppose au système d’ »alertes éthiques », Liaisons sociales, 4 juillet 2005

15. « Whistleblowing » : l’alerte à l’américaine, Sylvie Ramadier, Les Échos, 31 mai 2005

16. France, la CNIL vient d’ouvrir un dispositif de « whistleblowing » (systèmes d’alerte éthique) accessible à tous sur son site Internet, Laurent Caron, Les Échos, 20 avril 2004

17. Le « whistleblowing » : un cas de conscience, Yan de Kerorguen, Place publique, s.d.

Textes

1. Summary of Sarbanes-Oxley Act of 2002

2. Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Jurisprudence

1. 6 octobre 2004. TGI Nanterre. Suspension de la diffusion sur l’intranet de la société d’un code de conduite qui comprenait, entre autres, un système d’alerte jugé non conforme avec les lois et règlements en vigueur.

2. 15 septembre 2005. TGI Libourne. Retrait immédiat de l’affichage de deux notes dont l’une prévoyait la création d’une ligne éthique.

Voir aussi

1. Document d’orientation de la Cnil, 10 novembre 2005

2. Délibération n° 2005-110 du 26 mai 2005 relative à une demande d’autorisation de Mc Donald’s France pour la mise en oeuvre d’un dispositif d’intégrité professionnelle.

3. Délibération n° 2005-111 du 26 mai 2005 relative à une demande d’autorisation de la Cie européenne d’accumulateurs pour la mise en œuvre d’un dispositif de ligne éthique.

Notes


[1] Les origines remonteraient à la guerre de Sécession. En France, on pense bien sûr aux dénonciations réalisées au moment de la deuxième Guerre mondiale.

[2] Tous ces exemples ont été cités par Sylvie Ramadier dans son article, dans Les Echos [réf. 15]

[3] Cette déclaration les autorise aussi, sous certaines conditions, à transférer des données vers des pays n’appartenant pas à l’Union européenne, comme les États-Unis.

[4] Une dérive potentielle, celle qui permet aux salariés de dénoncer leurs employeurs utilisant des logiciels pirates, système proposé récemment par la Business Software Alliance (BSA), une méthode « franchement discutable« , d’autant, comme le souligne l’auteur de l’article, qu’un « informateur peut dénoncer un patron qu’il aurait lui-même sciemment grugé en installant des logiciels pirates sur l’ensemble du parc informatique ».

[5] Les entreprises doivent déposer un dossier de déclaration normale que la CNIL examinera dans les deux mois après son dépôt. Le dispositif ne pourra être créé qu’après avoir obtenu une autorisation.

[6] Malgré des différences culturelles très importantes entre pays européens.

[7]Cette information figure dans Le « whistleblowing » : un cas de conscience, un article de Yan de Kerorguen sur Place publique, s.d.

 

 

Via un article de Michèle Battisti, publié le 18 décembre 2013

©© a-brest, article sous licence creative common info