Christophe Blez est étudiant dans le cadre du cours DRT 6929O

L’utilisation des technologies d’information et de communication (TIC) dans les entreprises a connu une expansion considérable au point que les techniques de management des équipes et les relations sociales intra-entreprises sont maintenant imprégnées de TIC. C’est ce que révèle un rapport de l’ORSE (Observatoire sur la responsabilité sociétale des entreprises) de juin 2009 sur les nouvelles pratiques sociales dans les grandes entreprises. Parmi ces nouvelles pratiques, on trouve un nombre de plus en plus important de « chartes éthiques » sur l’usage du matériel informatique mis à la disposition des salariés. Par un arrêt du 8 décembre 2009, la chambre sociale de la Cour de cassation vient donner son point de vue sur la licéité d’une procédure d’alerte financière, instaurée en application de la loi « Sarbanes-Oxley » dans une de ces chartes d’éthiques.

En l’espèce, en 2004, la société Dassault systèmes a élaboré, en application de la loi « Sarbanes-Oxley », un code de conduite des affaires applicable dans le groupe, dénommé « Code of Business Conduct » définissant, d’abord, les règles applicables à la diffusion des « informations confidentielles » et des informations à "usage interne" et organisant, ensuite, un système d’alerte professionnelle. Ce dispositif permet à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le « Code of Business conduct » de signaler ces manquements aux personnes compétentes (c’est un système de délation informatisé). Ce code de conduite a ensuite été modifié en 2007, et a fait l’objet d’un engagement de conformité à l’autorisation unique n°2005-305 du 8 décembre 2005 prise en application de l’article 25 II de la loi informatique et liberté du 6 janvier 1978. Un syndicat a saisi le tribunal de grande instance d’une demande tendant à l’annulation de ce code, aux motifs qu’il aurait du faire l’objet d’une autorisation de la CNIL et qu’il porterait atteinte aux libertés fondamentales des salariés.

Il convient de préciser que les dispositifs d’alerte « Ã©thique » ont été autorisés par la CNIL par la délibération n° 2005-305 du 8 décembre 2005 (« l’autorisation unique »), qui subordonne la validité de ces procédures à, selon le cas, une déclaration ou une autorisation de la CNIL. Le dispositif d’alerte dans les domaines financier, comptable, bancaire et de lutte contre la corruption, notamment mis en Å“uvre par les entreprises concernées par la loi « Sarbanes-Oxley », relève d’un régime d’autorisation simplifié : l’engagement de conformité à l’autorisation unique précitée. C’est cette conformité qui est remise en question par un syndicat qui a été débouté par la Cour d’appel qui a retenu :

« qu’il ne saurait être reproché à la société d’avoir étendu le dispositif d’alerte à des situations non prévues par la délibération de la CNIL et à des cas de mise en jeu de l’intérêt vital des personnes expressément prévue par cet article 3, qu’il ne peut donc être reproché à la société de ne pas avoir sollicité l’autorisation de la CNIL ».

Le syndicat se pourvoie en cassation. Le problème était donc, d’abord, de déterminer si le code litigieux était conforme aux dispositions de l’autorisation unique et, ensuite, de savoir si l’article 3 de la loi CNIL permettait d’étendre le domaine de l’autorisation simplifiée prévue à l’article 1, pour la mise en place d’un système d’alerte financière automatisé. La chambre sociale de la Cour de cassation casse et annule partiellement l’arrêt d’appel, estimant, au visa des articles 6, 32, 39 et 40 de la loi du 6 janvier 1978 informatique et libertés modifiée et les articles 9 et 10 de la délibération portant autorisation unique de traitement automatisés de données à caractère personnel, d’une part,

« qu’en statuant comme elle a fait alors que le dispositif d’alerte professionnelle de la société Dassault systèmes ne prévoyait aucune mesure d’information et de protection des personnes répondant aux exigences de la loi du 6 janvier 1978 et de la délibération du 8 décembre 2005 portant autorisation unique ».

Et d’autre part,

« qu’il en résulte qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique ne peut avoir une autre finalité que celle définie à son article 1er que les dispositions de l’article 3 n’ont pas pour objet de modifier ».

Il s’agit de la première décision de la chambre sociale de la Cour de cassation relative aux systèmes d’alerte professionnelle contenus dans une « charte d’éthique ». Il apparaît ainsi que le juge fait une lecture stricte de la loi dite « CNIL » du 6 janvier 1978, position qui semble, à priori, garantir une certaine protection au salarié, évitant les situations où une charte d’éthique viendrait mettre en place un système d’alerte professionnelle au domaine trop large ou mal défini.

Par ailleurs, le juge protège, en application de la loi « CNIL », la bonne information des salariés. Toutefois, on peut regretter que la Cour de cassation n’ait pas profité de l’occasion pour effectuer une véritable qualification juridique de ces chartes d’éthique professionnelle.