Déclenchement d’alerte éthique ou « whistleblowing »

Définition

Le déclenchement d’alerte est le geste accompli par un individu qui est témoin, dans son activité professionnelle, d’actes illicites et qui, par civisme, décide d’alerter les autorités ayant le pouvoir d’y mettre fin. Les anglo-saxons désignent ce geste par l’expression whistleblowing, ce qui signifie littéralement « donner un coup de sifflet », traduit par « dispositifs d’alerte professionnelle » par la CNIL (Commission nationale de l’informatique et des libertés).

Whistleblowing et corruption

Un tel dispositif a été rendu obligatoire aux Etats-Unis par le Sarbanes-Oxley Act, pris en 2002 suite à plusieurs scandales financiers comme celui d’Enron. Il impose aux entreprises cotées en Bourse à New York, et à toutes leurs filiales même étrangères, de mettre en place un système de déclenchement d’alerte. Certaines entreprises françaises ont donc été concernées par ricochet.

La procédure est également prévue par certaines conventions internationales. Par exemple :
La convention de l’Union africaine du 11 juillet 2003 (article 2, 5)
Le plan d’action pour l’Asie et le Pacifique de novembre 2001 (3ème pilier)
La Convention des Nations unies contre la corruption du 31 octobre 2003 (article 33)

L’avis 1/2006 du 1er février 2006 du Groupe de travail «ARTICLE 29» sur la protection des données, traitant pour la Commission européenne et au nom des Etats membres, des questions relatives à la protection des données, montre à la fois la nécessité de tels mécanismes, mais également celle de leur strict encadrement. Cet avis reprends les grandes lignes de celui rendu par la CNIL un an plus tôt.

Whistleblowing en droit français

En tant que tel, ces mécanismes ne sont « ni prévus ni autorisés par le droit du travail » selon la CNIL. Cependant, un certain nombre de règles de droit français peuvent s’en être rapprocher :

- L’obligation faite à tous les fonctionnaires de dénoncer les infractions dont ils ont connaissance dans le cadre de leur activité (article 40 du code de procédure pénale) ;

- Les formes d’alerte prévues par le code du travail en cas de harcèlement (article L1152) ; ou en cas de discrimination (article L1132) devant la Haute autorité de lutte contre les discriminations et pour l’Egalité (HALDE) créée par la loi du 30 décembre 2004 ;

- Les formes d’alerte prévues dans le domaine bancaire : la déclaration de soupçon, instaurée pour certains corps de métiers dont l’activité est liée au maniement de fonds dans la lutte contre le blanchiment d’argent (articles L.561-1, L.562-1 à L.562-10 et L.564-1 à L.564-6 du code monétaire et financier).

- La loi du 13 Novembre 2007, sans désigner explicitement le dispositif d’alerte éthique, a instauré une protection des salariés qui dénoncent une irrégularité à leur employeur ou à la justice (article L. 1161-1 du code du travail) contre les mesures de rétorsion.

La CNIL, gardienne de la loi « informatique et libertés » depuis la loi du 8 janvier 1978

Elle était dans un premier temps opposée aux processus d’alerte éthique dans la mesure où ils contrevenaient à cette loi en instituant « un système organisé de délation professionnelle » et risquaient de multiplier les cas de dénonciation calomnieuse. Elle considérait que les personnes soupçonnées ne seraient pas informées de l’enregistrement de données les mettant en cause et n’auraient pas la possibilité de s’y opposer comme la loi de 1978 l’exige.

En effet, selon la CNIL, les procédures de whistleblowing sur les lieux de travail peuvent « prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail en l’absence de toute disposition législative ou réglementaire », ce qui est tout à fait exclu par le droit français en manière de protection des libertés de la personne (loi du 8 janvier 1978, art. L.1321-3 du code du travail, et directive 96/46/CE principalement).

Néanmoins, elle revint sur sa décision en 2005 afin de permettre la mise en conformité de certaines entreprises françaises concernées avec le Sarbanes-Oxley Act. L’intervention de Transparence-International (France), en collaboration avec le Cercle Ethique des Affaires et l’Observatoire sur la responsabilité sociétale de l’entreprise, a été déterminante pour amener la CNIL à reconsidérer sa position.

Elle adopta ainsi le 10 novembre 2005, un document d’orientation destiné à encadrer les procédures d’alerte professionnelle (document d’orientation du 10 novembre 2005) et un régime d’autorisation unique le 8 décembre 2005 (article 25-I.4° de la loi du 6 janvier 1978). L’autorisation unique concerne « certains fichiers ou traitements de données personnelles sensibles ou à risques, qui visent une même finalité et des catégories de données et de destinataires identiques ». La CNIL les autorise au travers de décisions-cadre : les autorisations uniques.

Les principales conditions d’autorisation tiennent :

- A la portée du dispositif : c’est un dispositif complémentaire, au champ restreint. L’article 7 de la loi de 1978 n’autorise les systèmes d’alerte que dans deux cas de figure : soit en raison d’une obligation légale de les mettre en place (ce qui n’est pas le cas du whistleblowing) ; soit du fait de l’existence d’un intérêt légitime du responsable de traitement. Son domaine d’application exclut par exemple les alertes en provenance d’un pays étranger (sauf intérêt vital de l’entreprise) ;

- A son caractère facultatif : il ne fait l’objet que d’une incitation, aucune sanction ne peut être prise contre un salarié ;

- Aux informations obligatoires sur le dispositif : sur les catégories de personnes concernées par le dispositif d’alerte, l’identité du responsable de ce dispositif (indispensable pour éviter les dénonciations calomnieuses et pour l’avancement de l’enquête – voir ci-après les sanction des dénonciations abusives), le domaine concerné, les sanctions attachées à son utilisation abusive (absence de bonne foi). Voir l’article 32 de la loi de 1978 ;

- Au respect des droits d’accès et de rectification : la personne mise en cause doit être informée de l’enregistrement des données la concernant. Voir les articles 39 et 40 de la loi de 1978 ;

- Au traitement confidentiel des données : les informations recueillies ne peuvent faire l’objet d’une communication que si l’enquête l’exige. Si les données sont confiées à un prestataire, celui-ci doit s’engager à assurer cette confidentialité ;

- A la coopération internationale : tout transfert de données personnelles vers un pays hors Union européenne n’accordant pas les mêmes protections que la directive de 1995 en la matière, doit se voir appliquer les dispositions de la loi de 1978 en matière de transfert international des données ;

- A la limite dans le temps de la conservation des données à caractère personnel: les données en lien avec une alerte non fondée seront détruites.

Pour une liste exhaustive des conditions d’autorisation : voir le site de la CNIL.

L’encadrement de l’utilisation abusive des dispositifs répond à la crainte majeure de voir se multiplier les dénonciations abusives. Dans ce cas, il est possible de poursuivre son auteur pour dénonciation calomnieuse, délit réprimé à l’article 226-10 du code pénal, ou sur le fondement d’un manquement au devoir de loyauté que le salarié doit à son entreprise (Cour de cassation du 12 juillet 2006).

Il n’est pas exclu que la responsabilité pénale de l’entreprise soit recherchée pour complicité dans la mesure où c’est elle qui aurait mis à disposition les moyens de commettre cette infraction. La responsabilité civile du salarié peut être également recherchée sur le fondement d’un manquement au devoir de loyauté, qui reste une obligation du salarié envers son employeur.

La Cour de cassation a ainsi admis dans un arrêt du 12 juillet 2006 que la dénonciation d’une infraction par un salarié ne s’opposait pas à son devoir de loyauté si les faits incriminés étaient exacts ou si le salarié était de bonne foi lorsque les faits se seraient avérés inexacts. Pour autant, dans cet arrêt, la dénonciation a été faite auprès d’une autorité judiciaire, en l’espèce le Procureur de la République. Il n’y a pas encore de jurisprudence sur les procédures de whistleblowing lorsque le salarié saisit son supérieur hiérarchique au sein d’une entreprise ou auprès d’une administration.

Pour aller plus loin :
Site de Transparency International France