Informatique et libertés
Ligne éthique
Alerte professionnelle : la Cnil va restreindre l’autorisation unique
Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel.
La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4.
La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil.
Cnil, Communiqué du 27 01 2010