Une "alerte professionnelle" (ou "whistleblowing") est un dispositif (numéro de téléphone, adresse électronique particulière, formulaire en ligne) permettant aux salariés d'une entreprise de signaler des problèmes d'ordre comptable ou financier, de corruption ou de droit de la concurrence. Ces dispositifs s'inscrivent dans un cadre précis et restreint. Ils sont soumis à l'autorisation préalable de la CNIL. Afin de simplifier les démarches administratives des entreprises, la CNIL a adopté une autorisation unique qui permet aux entreprises de réaliser une déclaration simplifiée si elles se conforment au cadre prévu par la CNIL.
Une "alerte professionnelle" (ou "whistleblowing") est un dispositif mis à la disposition des salariés. Il peut s'agir par exemple un numéro de téléphone "ligne éthique" ou une adresse électronique particulière. Ce dispositif leur permet de signaler des problèmes pouvant sérieusement affecter l’activité d’une entreprise ou engager gravement sa responsabilité.
Les alertes recueillies sont ensuite vérifiées, dans un cadre confidentiel, et permettent à l’employeur de décider, en connaissance de cause, des mesures correctives à prendre.
Compte tenu de la multiplicité des voies d'alertes déjà disponibles dans les entreprises (voie hiérarchique, commissaires aux comptes, fonctions de l'audit ou de la conformité interne, représentants du personnel, inspection du travail, etc.), le dispositif d’alerte professionnelle ne peut être que facultatif. Un salarié ne peut pas être sanctionné s’il ne souhaite pas l’utiliser.
Le champ d’application du dispositif doit être restreint. Il ne doit servir qu'à recueillir des signalements de faits graves de nature comptable ou financière, de lutte contre la corruption ou encore relatifs à des manquements au droit de la concurrence.
Notamment, le dispositif d’alerte ne doit pas avoir une portée générale et viser le respect de l’ensemble des dispositions législatives ou réglementaires ou des règles internes établies par l’organisme.
Si des faits graves, hors du champ sont signalés, l’alerte doit être immédiatement réorientée vers le responsable compétent (directeur financier, directeur des ressources humaines).
Par exemple : atteinte au droit de l'environnement, divulgation d'un secret de fabrique, risque pour la sécurité informatique ou encore l'intégrité physique ou morale des salariés (harcèlement, discrimination).
Les utilisateurs du dispositif d’alerte doivent être clairement et préalablement informés par tout moyen approprié, notamment :
Il doit être clairement indiqué que l’utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires. A l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, ne peut exposer son auteur à des sanctions.
En principe, les alertes professionnelles ne sont pas anonymes. L'auteur de l'alerte doit être invité à s'identifier, pour permettre :
Le traitement des alertes professionnelles doit être confié à un service ou une organisation spécifiquement mis en place pour traiter ces questions. Les personnes chargées de traiter les alertes doivent être en nombre limité, spécialement formées et soumises à une obligation renforcée de confidentialité qui doit être définie dans leur contrat.
La CNIL a adopté une autorisation unique (AU-004) le 8 décembre 2005 modifiée le 14 octobre 2010 afin d’encadrer la mise en place d’un dispositif d’alerte professionnelle et de simplifier les formalités administratives. Les entreprises qui respectent en tout point le cadre défini dans cette autorisation doivent adresser à la CNIL une déclaration de conformité disponible sur le site de la CNIL.
Lorsque le dispositif d’alerte professionnelle envisagé sort du cadre fixé par l’AU-004, notamment au regard du fondement juridique et du champ d’application, l’entreprise doit adresser à la CNIL un dossier complet de demande d’autorisation individuelle.
