Club des Directeurs de Sécurité & de Sûreté Des Entreprises

precédent Sophie Pommier, Cabinet Méroé Sophie Pommier, longtemps attachée au Ministère des (...) Laurent MEREYDE - Directeur de la Sûreté du Groupe Technip Laurent Mereyde est le Directeur de la Sûreté du Groupe (...)

Me Pascale Gelly, Avocat au Barreau de Paris

Le Whistleblowing en question

Publié le 26 avril 2011

Me Pascale Gelly, Avocat au Barreau de Paris et administrateur de l’AFCDP (Association Française des Correspondants à la Protection des Données), nous apporte son regard de spécialiste des questions de protection des données personelles, sur les enjeux relatifs à la mise en place de systèmes d’alertes professionels (ou de Whistleblowing)

Pascale Gelly est Avocat au Barreau de Paris. Elle est administrateur de l’AFCDP (Association Française des Correspondants à la Protection des Données) et membre de l’Advisory Board européen de l’IAPP. Elle a développé au cours des 18 dernières années une grande pratique des questions relatives à la protection des données personnelles, qu’elle a abordées en tant que Privacy Leader d’un groupe international et comme conseil. Elle a ainsi piloté la position de la CCI sur le whistleblowing ; elle est aussi intervenue dans les discussions de l’American Chamber of Commerce et de la Commission européenne sur les transferts de données personnelles.

Le cabinet Gelly intervient tant sur des problématiques très spécifiques liées aux dernières évolutions technologiques (biométrie, géolocalisation, traffic internet …) ou aux conflits de lois internationaux (whistleblowing, e-discovery …) que sur des programmes complets de mise en conformité avec la loi informatique et libertés (audit ...). Le cabinet jouit d’une réputation internationale. Il a constitué un réseau d’experts en Europe et outre-atlantique et coordonne ainsi des projets internationaux.

Julien MARCEL : Le Whistleblowing sert à désigner une personne ou 1 groupe qui découvre des éléments menaçants pour l’homme, pour la société ou pour l’environnement et qui décide de les porter à la connaissance d’instance officielle, d’association ou de média (1). Êtes-vous en accord avec cette définition ? Comment définiriez-vous le whistleblowing ?

Me Pascale GELLY : C’est en effet une bonne définition. Il faut retenir trois éléments : la menace ou l’infraction, le fait de la porter à l’attention d’une autorité supérieure qui pourra agir pour y apporter une réponse et il y a également un témoin de cette situation qui sera l’acteur principal, c’est le « whistleblower », celui qui donne l’alerte.

JM:Le concept de whistleblowing est apparu aux États-Unis. Il a été mis en lumière lors d’affaires sanitaires et économiques retentissantes. Aujourd’hui, on peut avoir le sentiment que le mécanisme de whistleblowing est partout tant dans les entreprises qu’à l’échelle des états, est-ce selon vous une tendance de fond ?

PG : Il y a clairement une évolution de la société. En effet aujourd’hui on en appelle de plus en plus à ce qu’on nomme la conscience sociale du citoyen pour prévenir la menace. Celui-ci a un véritable rôle d’alerte - qu’il découvre un paquet suspect ou qu’il note que l’eau du robinet a une couleur étrange. On lui demande également maintenant d’être un véritable acteur de la bonne marche de l’entreprise et de réagir s’il observe dans les agissements de son chef ou de ses collègues des pratiques financières douteuses.

Si ces systèmes sont apparus chez nous en Europe, c’est avant tout le fruit de l’influence américaine et de la législation de ce pays. En effet, c’est à la suite du vote par le parlement américain de la loi Sarbanes-Oxley (ou SOX) (2) que ces systèmes ont fleuri dans les entreprises. La mise en place de ce nouvel arsenal réglementaire fut une réponse aux scandales Enron et Worldcom (3) . En effet, ces deux affaires ont mis en lumière que certaines entreprises pouvaient adopter un modèle économique tellement farfelu que certains de leurs salariés ne pouvaient pas ignorer ces graves dysfonctionnements. Cependant ceux-ci n’osaient pas attirer l’attention des « superdirigeants » sur ces pratiques tant ils craignaient d’être inquiétés. Le constat fut alors le suivant, si les collaborateurs de l’entreprise avaient pu disposer d’une meilleure liberté d’alerte et avaient été protégés dans cette action, peut-être que ces scandales auraient pu être évités. On aurait ainsi pu échapper à une crise tant pour l’entreprise que pour l’économie en général.

JM:Quel est le contenu de cette réglementation ? Quelles sont les conséquences pour les entreprises ?

PG : La loi SOX dispose que les entreprises côtées aux États-Unis ou dont les actions font l’objet d’une tractation sur certains marchés américains doivent mettre en place un système permettant à leurs salariés de faire remonter d’éventuelles fraudes financières. Si un collaborateur d’une entreprise prend connaissance d’une malversation au niveau comptable, au niveau de l’audit ou au niveau financier, celui-ci doit avoir la possibilité d’alerter un comité d’audit et cela sans en être inquiété. Cette alerte doit pouvoir être émise soit de façon confidentielle, soit de façon anonyme.

JM : Cette loi précise-t-elle comment ce système doit être organisé ? Existe-t-il un modèle de whistleblowing ?

PG : Cette obligation de mettre en place ce type de système d’alerte ne correspond qu’à quelques phrases dans ce long texte de loi. Il n’y a donc pas une seule méthode possible mais plusieurs mécanismes sont envisageables pour permettre la remontée d’information dans les entreprises.. Pour répondre à cette obligation, certaines entreprises ont mis à la disposition de leurs salariés un numéro de téléphone ou une adresse email d’alerte ; d’autres ont mis en place un réseau humain (par exemple des compliance officers). Certaines organisations ont également eu recours à un prestataire extérieur afin de garantir la neutralité du dispositif.

JM : Ces dispositifs se limitent-ils au champ de la fraude financière ?

PG : Quand ces dispositifs ont commencé à être déployés, notamment en Europe, c’est avant tout la question de la fraude financière qu’ils ont concernée. C’est d’ailleurs ce seul point que couvre la loi SOX. Cependant ces systèmes sont très souvent déployés par le biais des codes éthiques des entreprises multinationales. Ceux-ci ont un champ beaucoup plus large. Ils ont pour vocation de remplacer l’absence de code du travail aux États-Unis. Ils entendent rappeler aux salariés de façon simplifiée qu’il existe des lois relatives à leur environnement de travail (cela peut concerner les questions de corruption, de discrimination, de harcèlement, de vol, de protection de la propriété intellectuelle…).

Très souvent le code éthique de l’entreprise est assorti de la mise en place d’un système de whistleblowing incitant les employés à dénoncer les pratiques qui pourraient être contraires à celui-ci. Les employeurs français, eux, doivent être particulièrement prudents dans la rédaction de leurs codes éthiques. En effet, la CNIL a été particulièrement claire sur ce point, elle considère qu’il n’est pas proportionné de créer un système d’alerte professionnel dont le champ est aussi large que celui du code éthique car cela créerait un climat de délation dans l’entreprise.

JM : Ces systèmes ont-ils été facilement transposés en Europe et en France ?

PG : C’est en effet lors de la transposition de ces codes éthiques que l’on peut être confronté à un choc des cultures. Ces règles doivent en effet respecter la législation relative au droit du travail et le champ de ces systèmes est souvent beaucoup trop large par rapport à nos principes, notamment sur la question des règles qui régissent les questions d’informatique et libertés.

Ces systèmes existaient déjà dans certaines entreprises françaises, mais ils n’étaient pas toujours connus ou structurés. La loi SOX a contraint les entreprises non seulement à mettre en oeuvre ces mécanismes à en faire la publicité dans l’entreprise et certaines entreprises les ont aussi automatisés. Cela suppose donc pour l’entreprise de collecter des informations sur les personnes qui donnent l’alerte, sur les potentiels responsables d’une fraude, mais aussi sur d’éventuels témoins. Ces données vont circuler, vont faire l’objet d’une enquête et seront stockées sur un système informatisé, ne serait-ce que la messagerie électronique. Ainsi, bon nombre d’entreprises lors de la mise en place de ces systèmes se sont retrouvées dans une impasse : ces mécanismes sont-ils compatibles avec la législation relative à l’informatique et aux libertés ? La CNIL (Commission Nationale de l’Informatique et des Libertés) doit-elle être consultée ?

Afin de sortir de cette situation, deux filiales de groupes américains( McDonald et Exide Technologies) ont pris la décision de déclarer leurs systèmes à la CNIL . La Commission a alors émis une décision dans laquelle elle considère que ces systèmes ne rentrent pas dans le cadre d’une procédure de déclaration, mais d’autorisation préalable prévue par la loi informatique et liberté de 1978. Cette décision relative à ces systèmes qu’elle appelle « alerte professionnelle » est motivée par le fait que le salarié qui se trouverait suspecté pourrait perdre le bénéfice de son contrat de travail.

Aussi du fait de ces risques, la Commission estime que ce type de dispositif doit faire l’objet d’une procédure d’autorisation préalable. L’obtention de celle-ci suppose que le dispositif soit proportionné à l’objectif recherché. Dès lors, la CNIL a émis toute une série de critères suivant lesquels elle considère qu’un système peut être conforme. La Commission a également mis en place une procédure d’autorisation unique « AU004 » ( Pour consulter ce document, cliquez ici)
tout système qui remplirait les critères de cette autorisation peut faire l’objet d’une simple déclaration en ligne ( Pour consulter la page de déclaration, cliquez ici).

Afin d’être conforme aux critères, le système mis en place doit notamment avoir un champ restreint dont les limites ont été récemment redessinées par la CNIL : Le dispositif doit répondre soit à une obligation de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption, soit être requis par SOX ou son équivalent japonais appelé « Japanese SOX », soit être mis en œuvre pour lutter contre des pratiques anticoncurrentielles. Il convient de noter ici que la CNIL ne reconnaît plus à l’employeur la possibilité de collecter des alertes relatives à des actes de harcèlement ou d’autres actes pouvant porter atteinte à l’intégrité physique ou morale des salariéz ou aux intérêts vitaux de l’entreprise.

Toutefois, une entreprise qui souhaiterait mettre en place un dispositif d’alerte avec un champ plus large pourrait demander à la CNIL de bénéficier d’une autorisation spécifique en justifiant de son utilité. C’est ainsi que récemment Randstad et Casino Service ont obtenu une autorisation spécifique pour des dispositifs d’alerte relatifs à la discrimination mis en œuvre dans le cadre du « label diversité ».

Par ailleurs, le dispositif doit également garantir que le nombre des destinataires qui auront accès aux éléments de l’enquête sera limité aux seules personnes nécessaires à l’investigation, que les droits de la défense seront respectés et que les données seront conservées avec un niveau optimum de sécurité. Notons, en outre, que la CNIL exige également que dans la mise en place de ces systèmes, il ne faut pas favoriser l’anonymat. C’est une prise de position qui a pour but de prévenir la délation et qui va à contre-courant de la loi SOX qui prévoit qu’ il faut permettre l’anonymat du donneur d’alerte.

JM : La personne suspectée bénéficie-t-elle dans ce dispositif d’un droit à l’oubli ?

PG : Elle bénéficie d’un droit à l’oubli et elle doit être considérée tout au long de l’investigation comme étant non coupable. Elle jouit également d’un droit à l’information et cela est essentiel. Rappelons que la loi informatique et libertés dispose que toute personne qui enregistre des informations sur un tiers sur une base de données doit l’en informer. Cette obligation est en l’espèce assortie d’un bémol : si les preuves sont menacées, l’information peut être retardée.

La Cour de Cassation a souligné dans son arrêt dit « Dassault » du 8 décembre 2009 qu’il ne fallait d’ailleurs pas oublier les droits de la personne mise en cause dans la politique de whistleblowing.

JM : Quels conseils donneriez-vous aux entreprises qui souhaitent mettre en place ce type de dispositif ?

Le texte de l’autorisation de la CNIL donne le cadre juridique à respecter. Il faut prendre le temps de traduire cela en pratique. Il faut mettre en place des procédures internes adaptées et bien définir le rôle de chacun des acteurs. Il me semble essentiel d’écrire des scripts pour les personnes qui seront en charge de collecter les alertes et de mettre en place des accords de confidentialité. Il faut également lors de la mise en place de ces systèmes d’alerte rédiger des documents types, quitte à les adapter lorsque nécessaire, pour répondre à toutes les obligations prévues dans l’autorisation unique.

Une fois le système mis en place, les principaux écueils que j’ai pu observer sont les suivants : le non-respect des délais de conservation des données (le délai de conservation est de 2 mois une fois l’affaire clôturée si celle-ci ne se traduit pas par une action en justice) et le non-respect du champ du dispositif d’alerte prévu par l’autorisation de la CNIL. Rappelons que si l’activité de l’entreprise le justifie et que son besoin en matière d’alerte reste proportionné, cela peut être utile pour celle-ci d’entamer une procédure d’autorisation spécifique auprès de la CNIL.

JM : Les contrôles de la CNIL sont-il fréquents ? Quelles sanctions risque une entreprise contrevenante ?

PG : Les dispositifs d’alerte professionnelle intéressent particulèrement la CNIL. Elle a fait de nombreux contrôles sur ces systèmes. Les sanctions de la CNIL en la matière sont avant tout financières et peuvent atteindre 150 000€. Notons que la CNIL avant de sanctionner encourage les entreprises qui ne respecteraient pas totalement leurs obligations à rectifier leurs procédures. La Commission ne cherche pas à sanctionner à tout prix une entreprise de bonne foi.

Toutefois on constate ces derniers temps une volonté de la CNIL de nsanctionner plus systématiquement ; il faut aussi tenir compte du changement législatif récent internvenu le 31 mars dernier qui permet à la CNIL de publier ses mises en demeeure et ses décisions de sanction. Garder un contact régulier avec la CNIL me semble être un moyen efficace d’éviter des désagréments. Aussi la mise en place d’un CIL (Correspondant Informatique et Libertés) dans les entreprises prend dans ce cas tout son sens.

Julien MARCEL
CDSE

(1) Source : Les Sombres précurseurs : Une Sociologie pragmatique de l’alerte et du risque de Francis Chateauraynaud et Didier Torny, Paris, Editions de l’EHESS, 1999.
(2) Cette loi du 31 juillet 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs est une loi fédérale imposant de nouvelles règles sur la comptabilité et la transparence financière. Pour consulter le texte, cliquer ici.
(3) En décembre 2001, la société Enron fit faillite en raison des pertes occasionnées par ses opérations spéculatives sur le marché de l’électricité, qui avaient été maquillées en bénéfices via des manipulations comptables. Tant qu’à l’entreprise Worldcom, c’est lors de l’été 2002 que l’image de cette entreprise a été gravement ternie par le scandale des manipulations comptables