Elargissement significatif du champ de l’autorisation unique pour les alertes professionnelles (ou « whistelblowing »)

Un pas de géant

La plupart des groupes internationaux ont dû aménager leur système d’alerte professionnelle pour répondre aux contraintes particulières de la réglementation française et notamment le domaine très restreint sur lequel une alerte peut être faite.

Pour faire face à un nombre croissant de demandes,[2] la CNIL a décidé d’élargir le champ d’application de l’AU-004 mettant en avant l’intérêt légitime de l’organisme.

De plus la CNIL a décidé de tolérer d’avantage les alertes anonymes.
 

Elargissement du champ d’application

Avant (depuis octobre 2010) [3] les systèmes d’alerte devaient :

• soit répondre à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption ;
• soit répondre à l’intérêt légitime du responsable du traitement, ce dernier étant limité dans l’autorisation unique aux traitements mis en œuvre :
  • dans les domaines précités, par les entreprises concernées par la section 301 (4) de la loi américaine dite « Sarbanes-Oxley » ou SOX ainsi que par la loi japonaise « Financial Instrument and Exchange Act » dite « Japanese SOX » ;
  • pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné.

Dorénavant sont autorisées, les alertes dans les domaines suivants :

« 1. Financier, comptable, bancaire et de la lutte contre la corruption ;
2. Pratiques anticoncurrentielles ;
3. Lutte contre les discriminations et le harcèlement au travail ;
4. Santé, hygiène et sécurité au travail ;
5. Protection de l’environnement,

et ce dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime dans ces domaines »[4].

Ce qui est significatif, en dehors de l’ajout des thèmes supplémentaires, c’est que pour l’ensemble de ces domaines, il s’agit autant du respect d’obligations légales françaises que d’un intérêt légitime de l’entreprise. Il n’y a donc plus de limitation à ce qui est requis par le droit français.

L’élargissement n’est pour autant pas sans limite et comme par le passé, les dispositifs d’alerte qui concernent d’autres domaines devront faire l’objet de demandes d’autorisations spécifiques.

Clarification sur l’anonymat

Compte tenu des réglementations étrangères, notamment SOX, qui imposent aux entreprises de mettre en place un dispositif permettant de traiter les alertes anonymes, la CNIL a estimé que « le recueil de ces alertes doit nécessairement être toléré ».
Par conséquent, elle a fait évoluer le texte en mettant l’accent sur les conditions de l’alerte anonyme (plutôt que sur l’identification de l’émetteur de l’alerte).

Le système ne doit toujours pas inciter à l’anonymat mais il n’est plus prévu que la procédure doive être « conçue de façon que les employés s’identifient »[5].

En revanche, le texte prévoit que l’anonymat est possible non seulement, comme cela était déjà prévu par le passé, si le traitement de cette alerte s’entoure de « précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif » mais aussi , ce qui est nouveau, si « la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ». [6]

Il s’agit donc là de changements importants, qui permettront d’accélérer significativement les procédures par rapport à ce qu’ont pu connaitre les sociétés « pionnières » des alertes élargies. Gageons que cette étape ne sera pas la dernière dans ce domaine. Il est à noter que cet élargissement intervient aussi dans un contexte où la protection des lanceurs d’alerte a été renforcée.[7]