Dispositif anticorruption

Droit social Chartes d’éthique Annulation d’un dispositif d’alerte professionnelle pour non conformité En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ». Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites. TGI Nanterre, 19/10/2007 RG n°06/06460 (Mise en ligne Octobre 2007)

Actualité Alerte professionnelle : la Cnil va restreindre l’autorisation unique Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel. La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4. La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil. Cnil, Communiqué du 27 01 2010 (Mise en ligne Février 2010) Chloé Torrès Avocate, Directrice du département Informatique & libertés

Informatique et libertés Ligne éthique Annulation d’un dispositif d’alerte professionnelle pour non conformité En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ». Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites. TGI Nanterre, 19 octobre 2007 RG n°06/06460 (Mise en ligne Octobre 2007)