Antoine Guilmain est étudiant dans le cadre du cours DRT6903.

Ce vendredi 23 septembre, la Cour d’appel de Caen a confirmé la suspension du site Internet de dénonciation professionnelle EthicsPoint, utilisé par la société Benoist Girard, filiale française du groupe américain d’équipements médicaux Stryker.

Un dispositif d’alerte professionnelle (traduction du terme « whistleblowing ») consiste en

« l’organisation des modalités selon lesquelles les salariés, ou toute autre personne exerçant une activité dans l’entreprise, peuvent signaler au chef d’entreprise ou, éventuellement, à d’autres personnes désignées à cet effet, des problèmes pouvant sérieusement affecter son activité ou engager gravement sa responsabilité ».

Depuis l’adoption par le Congrès américain de la Sarbanes Oxley Act en 2002 – en réponse aux affaires Enron et Worldcom –, cette pratique n’a cessé de prendre une ampleur grandissante. En effet, au terme de son article 301-4, cette loi est venue imposer aux entreprises américaines, leurs filiales et toute entreprise cotée à la bourse de New York, la mise en place d’une procédure permettant à tout salarié de signaler tout fait délictueux concernant des malversations comptables. Dans la mesure où cette obligation touche aussi bien les filiales étrangères de sociétés américaines, que les entreprises étrangères cotées aux États-Unis, on comprend que le Sarbane Oxley Act a très rapidement transcendé les seules frontières américaines. Ceci d’autant plus que des sociétés qui n’étaient pas même concernées par cette loi, ont installé spontanément des dispositifs d’alerte professionnelle – c’est par exemple le cas d’Eiffage qui, pour améliorer sa transparence et donner des « gages de vertu à l’Autorité de la concurrence », s’est doté d’un tel dispositif –.

Cette situation a très vite conduit le Législateur français à s’interroger sur la manière de concilier la mise en œuvre de ces dispositifs avec la nécessaire protection de l’auteur de l’alerte et des données que celle-ci contient.

Dans cette perspective, la CNIL et la Direction Générale du Travail, tout en autorisant le traitement de données à caractère personnel dans le cadre de l’alerte professionnelle, sont venues poser des limites – circulaire DGT n°2008-22 ; délibération CNIL n°2005-305 –. Ainsi, les dysfonctionnements qui peuvent être dénoncés doivent nécessairement se rapporter aux domaines « comptable, du contrôle des comptes, bancaire et de la lutte contre la corruption ». Néanmoins, des alertes pourront être exceptionnellement recueillies et traitées « si elles s’avèrent concerner l’intérêt vital de l’entreprise ou l’intégrité physique ou morale des salariés ».

Par delà ces questions de champ d’application, les procédures d’alerte posent également des difficultés quant à la manière dont elles sont mises en place dans les entreprises françaises. Ainsi, par une ordonnance de référé du 5 novembre 2009, le tribunal de grande instance de Caen a suspendu le dispositif d’alerte de la société Benoist Girard, filiale du fabricant américain de matériel médical Stryker, pour non-conformité avec la loi Informatique et libertés . Un salarié du groupe Stryker qui désire dénoncer un dysfonctionnement doit en effet se connecter au site Internet EthicsPoint – prestataire de service pour les dispositifs d’alerte professionnelle –, cocher sa nationalité, les thèmes susceptibles de donner lieu à une dénonciation étant différents selon le pays d’origine. Si de prime abord, un tel système informatique de « filtrage » avait pu paraître conforme aux exigences de la CNIL, certains points faisaient défaut. En effet :

  • Premièrement, le système prévoit l’anonymat, alors que la CNIL recommande au contraire l’identification du lanceur d’alerte, sans pour autant que la confidentialité soit remise en cause ;
  • Deuxièmement, la personne mise en cause n’est pas informée, elle ne peut donc pas mettre en Å“uvre son droit d’accès et de rectification garanti par la loi Informatique et libertés.
  • Troisièmement, le dispositif rend possible la délation, avec un thème spécifique pour la « dénonciation ».

Le tribunal a alors conclu que « ces points sont en contradiction avec le document d’orientation de la CNIL du 10 novembre 2005 qui précise que conformément au principe de proportionnalité, les catégories de personnels susceptibles de faire l’objet d’une alerte devraient être précisément définies en référence aux motifs légitimant la mise en Å“uvre du dispositif d’alerte, et que la possibilité de réaliser une alerte de façon anonyme ne peut que renforcer le risque de dénonciation calomnieuse ». La société Benoist Girard a alors interjeté appel.

Ce vendredi 23 septembre 2011, la Cour d’appel de Caen est venue confirmer le jugement de première instance estimant, selon des propos rapportés par l’AFP, que « les atteintes aux droits et libertés collectives des salariés de la société du dispositif d’alerte professionnelle mis en Å“uvre par la société » justifient sa suspension.

La Cour note par ailleurs qu’un tel dispositif rend possible « Ã  tout internaute d’émettre une alerte visant n’importe quel salarié français de Benoist Girard, en s’inspirant notamment des rubriques » qu’offrent le site Internet irlandais EthicsPoint. La Cour suspend donc la mise en Å“uvre du dispositif par l’intermédiaire du site EthicsPoint sous astreinte de 300 € par jour et par salarié. La direction de Stryker a deux mois pour porter cette affaire en Cour de cassation.

Comme le résume fort bien Christelle Didier, dans son article « L’alerte professionnelle en France : un outil problématique au cÅ“ur de la RSE », il semble bien que « les procédures d’alerte ne trouveront leur utilité que si elles sont perçues comme un moyen d’exercice de la responsabilité des salariés, et pas seulement un moyen de contrôle de tous par tous… ».