La SOX s’applique à toutes les sociétés
américaines ou non, dont les titres sont cotés aux Etats-Unis (Nasdaq, NYSE,
SEC), ainsi qu’à leurs filiales à l’étranger, elle se présente donc comme
une loi à portée extraterritoriale. Elle leur impose de mettre en place un
code éthique ou de conduite ainsi qu’un dispositif permettant aux salariés
de rapporter anonymement les renseignements concernant des comportements
contraires aux règles éthiques et les fraudes et malversations comptables et
financières dont ils ont eu connaissance. Elle vise à renforcer aussi bien
les systèmes de gestion et de contrôle des entreprises que les aspects
concernant l’information aux marchés. Le non respect de la loi
Sarbanes-Oxley entraîne l’exclusion des entreprises concernées de la
cotation de leurs actions sur le marché américain.
En France, au regard de la loi du 6 Janvier
1978 relative à l’informatique, aux fichiers et aux libertés, une
autorisation de la CNIL devait être un préalable à la mise en place de ces
systèmes d’alerte. Le 26 mai 2005, la CNIL a refusé d’autoriser la mise en
place de dispositifs de « lignes éthiques » au sein des sociétés McDonald’s
France et Compagnie européenne d’accumulateurs. La Commission considérait
que la mise en oeuvre par un employeur d’un dispositif destiné à organiser
auprès des employés le recueil, quelle qu’en soit la forme, de données
personnelles concernant des faits contraires aux règles de l’entreprise ou à
la loi imputable à leurs collègues de travail, en ce qu’il pourrait conduire
à un système organisé de délation professionnelle, ne peut qu’appeler de sa
part une réserve de principe au regard de la loi du 6 janvier 1978 modifiée,
et en particulier de son article 1er.
Consciente des difficultés suscitées par ces
décisions, la CNIL s’est mise en contact avec la Securities and Exchange
Commission pour discuter des conditions dans lesquelles les systèmes
d’alerte professionnelle pourraient devenir acceptables au regard des règles
françaises et américaines. Leur première rencontre a eu lieu le 12 Septembre
2005. A l’issue de cette phase de concertation (Novembre 2005), la CNIL a
rendu publique sa vision de la mise en place par les entreprises d’une
politique de sécurité financière respectueuse des deux systèmes.
Le groupe des autorités européennes de
protection des données personnelles, dit le groupe de l’article 29
(représentants des 25 autorités européennes de protection des données), a
adopté le 1° février 2006 un avis sur les dispositifs d’alerte
professionnelle dans des domaines spécifiques. Ce document reprend les
grandes lignes du document d’orientation et de l’autorisation unique émis
par la CNIL en novembre et décembre 2005.
Dans un premier temps, le groupe de
l’article 29 a choisi de restreindre le champ de ses travaux à des domaines
particuliers. En effet le document statue sur le dispositif d’alerte
professionnelle dont le champ d’application se limite au domaine bancaire,
de la comptabilité, du contrôle interne des comptes, de l’audit, de la lutte
contre la corruption et des infractions financières. Le groupe a cependant
prévu de poursuivre ses travaux afin d’étudier l’opportunité d’étendre la
légitimité de tels dispositifs dans des domaines différents de ceux
précités.
L’avis du groupe met en avant les points
suivants :
Principe de
légitimité et de proportionnalité
Le groupe article 29 rappelle l’importance
du respect des grands principes de la protection des données personnelles
dans le cadre du recours au whistleblowing. La mise en place d’un dispositif
d’alerte professionnelle répond soit à une obligation législative ou
réglementaire de droit français ou soit à un intérêt légitime (domaine
comptable, contrôle des comptes, lutte contre la corruption). Le principe de
légitimité des dispositifs est définit dans l’article 7 de la directive
95/46/CE. Les finalités des dispositifs d’alerte professionnelle doivent
être spécifiées, explicites et légitimes. Le groupe juge fondamental la
balance des intérêts entre proportionnalité, subsidiarité et fiabilité des
faits dénoncés.
Opportunité
éventuelle de limiter les catégories de personnes pouvant
avoir recours au dispositif, ainsi que les
catégories de personnes pouvant être mises en cause. L’autorité de contrôle
européenne a décidé d’en laisser la compétence aux chargés de protection et
aux autorités nationales compétentes.
Encouragement
des alertes identifiées et confidentielles et restriction de la possibilité
d’avoir recours à des alertes anonymes.
Les auteurs d’alertes mettant en cause des
comportements attribués à des personnes désignées doivent s’identifier.
Ainsi il sera plus simple de les protéger contre des représailles et de
lutter contre la délation et la dénonciation calomnieuse. Le dénonciateur
doit être informé du fait qu’il n’encoure aucune sanction et que sa
dénonciation restera confidentielle tout au long du processus.
Gestion du
dispositif
Création d’une structure spécifique dédiée
au recueil et au traitement des alertes professionnelles. La circulation de
l’information doit être aussi limitée que possible pour ne pas stigmatiser
les personnes concernées. La ou les personnes chargées du dispositif
d’alerte doivent être formées et astreintes à une obligation de
confidentialité quant aux donnés dont elles prennent connaissance.
Information
claire et précise de la personne concernée
La personne visée par une alerte doit être
informée dès l’enregistrement de l’alerte afin qu’elle puisse exercer ses
droits à l’opposition, d’accès et de rectification, ainsi que pour pouvoir
préparer sa défense.
En suivant les conseils émis par le groupe
article 29, le risque de voir se développer un climat de suspicion, de
délation est réduit. Le système d’alerte professionnelle devrait être perçu
comme un mécanisme additionnel et subsidiaire pour rapporter les
dysfonctionnements internes et non en tant que dispositif se substituant en
management interne de la société. Les dispositifs d’alerte professionnelle
ne doivent pas remplacer les auditeurs internes ou le contrôle de qualité du
personnel.
