Arrêt du 8 décembre 2009de la chambre sociale de la Cour de cassation
Dans un arrêt du 8 décembre 2009, la chambre sociale de la Cour de cassation rappelle que les alertes professionnelles autorisées par la CNIL dans le cadre de l'autorisation unique n° 4 doivent avoir un champ d'application limité. Cette décision ne remet pas en cause le principe même des dispositifs d'alerte et vient clarifier les difficultés d'interprétation rencontrées par les tribunaux.
Afin de se conformer aux exigences de la loi Américaine dite "Sarbanes Oxley" , la société Dassault Systèmes a mis en place un "code de conduite des affaires" énumérant les règles que les salariés s'engagent à respecter dans l'exercice de leur activité professionnelle. Ce code instaure notamment un dispositif d'alerte professionnelle permettant aux salariés de signaler tout manquement via une adresse électronique dédiée. Préalablement à la mise en place du dispositif, la société Dassault Système a effectué une déclaration de conformité à l'autorisation unique n° 4.
A l'occasion du contentieux né de ce système d'alerte, la Cour de cassation rappelle que le champ d'application de l'autorisation unique doit être limité. Elle indique clairement que la mise en œuvre d'un dispositif d'alerte professionnelle, faisant l'objet d'un engagement de conformité à l'autorisation unique, doit se limiter aux seuls domaines comptables, financiers, et de lutte contre la corruption.
En effet, la CNIL avait prévu, à l'article 3 de son autorisation unique n°4, la prise en compte de faits ne relevant pas de ce champ d'application mais mettant en jeu "l'intérêt vital de l'organisme ou l'intégrité physique ou morale de ses employés". La Cour de cassation précise que cet article ne doit pas être interprété comme permettant un élargissement de la finalité des dispositifs d'alertes tels que prévus par l'autorisation unique. Les systèmes d'alertes qui ne répondent pas strictement aux conditions de l'autorisation unique n°4 doivent faire l'objet d'une autorisation spécifique accordée au cas par cas par la CNIL.
Par ailleurs, la cour de cassation souligne la nécessité pour les entreprises d'informer les personnes concernées conformément aux dispositions de la loi "Informatique et Libertés". Sur ce point, l'arrêt rappelle que "les mesures d'information prévues par la loi du 6 janvier 1978 reprises par la décision d'autorisation unique (…) doivent être énoncées dans l'acte instituant la procédure d'alerte". En effet, dans l'affaire Dassault, cette information était incomplète s'agissant des droits d'accès, de rectification et d'opposition.
La CNIL devrait prochainement modifier son autorisation unique à la lumière de l'arrêt rendu par la Haute juridiction et des constats opérés lors des contrôles récemment menés auprès d'entreprises.
