FO-Cadres : Quelle est votre réflexion sur le développement des chartes éthiques et sur les alertes professionnelle ?
Yann PADOVA : Concernant les alertes professionnelles, la Cnil les a vues se développer de façon exponentielle à la suite de l'entrée en vigueur de la loi Sarbannes-Oxley (SOX) et la mise en oeuvre de l'autorisation unique de la Cnil. Aujourd'hui, il y a environ 1700 organismes qui sont déclarés être en conformité au dispositif de la Cnil. Il est vrai que les dispositifs d'alerte rejoignent une préoccupation plus globale, celle de la gestion du risque par les entreprises. Leur volonté est de couvrir tous les risques et d'utiliser les systèmes d'alerte au-delà du champ strictement financier et comptable, comme était prévu par notre autorisation unique. Les dispositifs d'alerte professionnelle servent aussi à la gestion du risque avec une finalité plus large que celle initialement prévue. C'est un élément que nous avons constaté dans nos contrôles.
F-C: Comment la Cnil a-t-elle accueilli la décision de la Cour de cassation du 8 décembre 2009 qui a sanctionné le dispositif d'alerte professionnelle de la société Dassault Systèmes parce que celui-ci prévoyait un champ d'intervention plus large que celui de la loi SOX ?
Y.P : La Cour de cassation a rendu une décision de bon sens. En effet, dans l'autorisation de la Cnil il y a deux articles importants, celui qui définit le champ d'application et qui est limité aux domaines comptables et financiers (article 1), et puis il y avait une disposition un peu d'exception qui précise que quand il y a des faits graves qui ne relèvent pas de ce champ-là, les données pouvaient être néanmoins collectées (article 3). Beaucoup d'entreprises, dont Dassault Systèmes, ont utilisé l'exception pour la règle. Elles ont adossé à leur système d'alerte, leurs chartes éthiques dont le champ était beaucoup plus large. Cela allait du vol aux problèmes de propriété industrielle et en s'appuyant sur la dérogation qu'avait prévue la Cnil.
La Cour de cassation a rejeté cette interprétation en affirmant que l'on ne peut pas prendre l'exception pour la règle, elle a donc estimé que le dispositif était en dehors du champ.
Cet arrêt nous a obligés à entreprendre un travail, que la Cnil a finalisé début octobre pour mieux définir l'articulation de ces deux articles et pour éviter que les entreprises s'engouffrent tantôt dans le champ large tantôt dans le champ étroit.
Ainsi, entre décembre 2009 et début octobre, il y a eu une phase d'audition et de concertation menée par la Cnil et ses rapporteurs, auprès des organisations d'employeur et des organisations syndicales, afin de voir quelles étaient leur interprétation et leurs attentes.
Il faut souligner que les intérêts en présence étaient assez différents. Une partie des entreprises et des organisations patronales étaient favorables à un champ très large. Certaines organisations syndicales et notamment FO-Cadres était sur une ligne plus restrictive.
La modification de l'autorisation unique n'était pas simple avec des intérêts en présence assez divergents, c'est pour cela que la procédure a été longue. La Cnil a pris le temps nécessaire pour être prête et a arrêté sa position très récemment.
F-C : Quelle a été l'issue des consultations et quelles conséquences sur l'autorisation unique ?
Y.P : La Cnil a modifié l'autorisation unique, le champ a été clarifié pour le restreindre à la matière financière en élargissant toutefois au domaine de la concurrence, sujet qui reste peu éloigné du domaine économique et financier.
F-C : Est-ce que cela signifie que l'article 3 de l'autorisation unique n'existe plus ?
Y.P : Il a été modifié pour être plus restrictif dans son champ, on a supprimé la possibilité de recueil d'informations lorsque l'intérêt vital est en jeu, on a basculé ce point dans les FAQ. Ainsi le dispositif juridique contraignant ne prévoit plus cette possibilité, mais si jamais il y a des remontées d'informations en ce sens, elles doivent être dirigées vers les organismes compétents. En effet, on a tenu compte de cette possibilité, mais la Cnil ne veut pas l'organiser de droit dans son autorisation unique.
F-C : Est-ce qu'on peut dire que la Cnil n'accompagne pas dans son régime simplifié, pour les dispositifs d'alerte, les entreprises qui voudraient faire de l'alerte un moyen de gérer l'ensemble des risques ?
Y.P : La Cnil considère que le régime simplifié ne peut pas servir à cela. En revanche, les entreprises qui veulent élargir les alertes professionnelles à d'autres domaines de contrôle doivent demander une autorisation préalable individuelle à la Cnil. Certaines sont adoptées, il y en a eu 80 sur l'année passée. Il est vrai que cela est plus compliqué pour les entreprises, elles doivent justifier leur dossier de demande d'autorisation pour que ce soit proportionné dans le champ de ce qu'elles souhaitent faire. C'est la conséquence de l'arrêt de la Cour de cassation et des consultations faites par la Cnil.
F-C : Concernant l'anonymat du lanceur d'alerte, la Cnil ne l'encourage pas, mais elle tolère l'anonymat, pourquoi ?
Y.P : Elle tolère que l'identité du lanceur d'alerte soit protégée un temps donné et ceci pour tenir compte de la réalité du monde du travail. Une personne qui dénonce des faits graves prend des risques et il faut la protéger. Pour autant, il ne s'agit pas d'une dénonciation anonyme, car l'identité est connue par les services dédiés, notamment les services éthiques.