Premières décisions de la commission des sanctions de l’AFA

commission des sanctions

La commission des sanctions de l’Agence française anticorruption a rendu deux décisions qui apportent des enseignements sur les dispositifs de mise en conformité.

L’AFA, Agence française anticorruption est une création de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin II » (1). Cette agence aide à détecter et à prévenir les manquements au devoir de probité au niveau national. Elle est dirigée par un magistrat nommé par décret du Président de la République, et comprend une commission des sanctions.

Cette commission des sanctions a rendu deux premières décisions de portée similaire. Il s’agit des affaires S SAS du 4 juillet 2019 (2) et I. et M. C. K. du 7 février 2020 (3).

Dans ces deux cas, la commission des sanctions s’est prononcée, suite à une procédure de contrôle diligentée par l’AFA dans des entreprises, sur l’existence de manquements aux dispositifs de mise en conformité (de l’anglais compliance) prévus par l’article 17 de la loi Sapin II.

Ces deux décisions apportent des précisions importantes tant sur la forme que sur le fond, qui touchent au partage des compétences entre le directeur de l’AFA et la commission des sanctions, ainsi qu’à l’administration de la preuve par le directeur de l’AFA et l’entreprise contrôlée.

Les enseignements de commission des sanctions sur le plan de la procédure de contrôle de conformité et de sanction

Les premiers enseignements des décisions en cause ont trait à la délimitation de la saisine de la commission des sanctions de l’AFA. Sur ce point, la décision du 7 février 2020 rappelle très clairement que la loi distingue, au sein de l’AFA, les fonctions exercées par le directeur de l’agence de celles de la commission des sanctions.

Le directeur de l’AFA est le seul à pouvoir engager les poursuites et à en déterminer le périmètre. Son avis, qui constitue l’acte de saisine de la commission, est donc un préalable obligatoire à toute procédure.

Ainsi, seuls les griefs relevés dans le rapport définitif et repris dans l’avis du directeur, lequel est communiqué pour observations au mis en cause, seront retenus devant la commission des sanctions. La décision du 4 juillet 2019 précise que les griefs figurant dans le rapport définitif mais non repris dans l’avis du directeur doivent être considérés comme abandonnés.

En outre, ces deux décisions rappellent que le directeur est tenu à une obligation de précision dans l’énoncé des griefs, puisque ceux-ci fixent l’étendue de la saisine. Ainsi, les griefs doivent être formulés dans des termes suffisamment clairs pour qu’il n’existe aucun doute sur leur contenu et leur portée.

Toutefois, la décision du 7 février 2020 considère que cette obligation de précision ne doit pas être appréciée au seul regard de la notification par le directeur, mais au regard de l’ensemble de la procédure, pour vérifier que les droits de la défense ont pu être exercés correctement. Enfin, cette même décision précise que le fait que l’avis du directeur requiert le prononcé d’une sanction pour l’inexécution d’une injonction, alors que cela n’est pas prévu par la loi, ne constitue pas un vice de procédure.

Un autre enseignement des décisions en cause réside dans la compétence de la commission des sanctions de l’AFA. La commission dispose d’un pouvoir exclusif pour prononcer des sanctions, que ce soit des injonctions ou une sanction pécuniaire. Elle n’est en aucun cas liée par l’avis du directeur de l’AFA, la loi prenant bien soin de distinguer les deux fonctions.

La commission des sanctions déclare dans la décision du 4 juillet 2019 qu’elle n’est pas compétente pour se prononcer sur d’éventuelles irrégularités de procédure. Elle n’est compétente que pour se prononcer sur les manquements aux dispositifs de conformité prévus à l’article 17. Toutefois, ces manquements doivent perdurer au jour où la commission des sanctions statue.

Si le manquement a été réparé au jour de l’audience, il ne pourra plus être sanctionné. Toutefois, la décision rappelle que dans le cadre des contrôles sur pièces et sur place, il est possible de solliciter des documents se rapportant à une période antérieure à la loi Sapin II, dès lors que ceux-ci sont « utiles » pour contrôler le risque de corruption.

Les enseignements sur le plan du dispositif de conformité

Les derniers enseignements des deux décisions portent sur l’administration de la preuve. Les recommandations de l’AFA n’ont pas de valeur contraignante.

Pour autant, l’agence incite les entreprises à s’y conformer. Or, cette absence de caractère contraignant a nécessairement des conséquences sur l’administration de la preuve.

Ces deux décisions distinguent deux hypothèses. D’une part, si la société contrôlée affirme avoir suivi les recommandations de l’AFA, elle est présumée satisfaire aux exigences légales, et il revient au directeur de l’AFA de prouver le contraire. D’autre part, si la société déclare ne pas avoir suivi les recommandations ou allègue ne les avoir suivis que partiellement, elle doit démontrer « la pertinence, la qualité et l’effectivité du dispositif » qu’elle aura librement choisi de suivre.

Bien qu’il appartienne au directeur de l’AFA de démontrer les manquements reprochés, l’entreprise contrôlée est tenue d’apporter les éléments dont elle est seule à disposer et qui permettent d’apprécier l’effectivité des mesures mises en œuvre dans le cadre de son plan de conformité.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) Loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin II ».
(2) Décision n° 19-01 Société S SAS et Mme C.  du 4 juillet 2019.
(3) Décision n° 19-02 Société I. et M. C. K. du 7 février 2020.




Loi Sapin 2 : cartographie des risques de corruption dans votre organisation

cartographie des risques de corruptionAnthony Coquer directeur du département Sécurité & Organisation et Virginie Bensoussan-Brulé directrice du pôle Contentieux numérique animeront le 29 mai un petit-déjeuner débat consacré à la cartographie des risques de corruption pour répondre aux exigences de la loi Sapin 2.

La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi Sapin 2) poursuit la démarche entreprise par la loi du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques.

L’article 17 de la loi Sapin 2 impose une obligation de conformité anticorruption aux sociétés et établissements publics à caractère industriel et commercial employant au moins cinq cents salariés et dont le chiffre d’affaires est supérieur à 100 millions d’euros.

Cette obligation couvre les activités en France et à l’étranger de ces sociétés et établissements publics pour l’ensemble des filiales (françaises ou étrangères) dont la maison mère a son siège social en France.

Identifier les dangers sur la base d’une cartographie des risques de corruption

Pour prévenir tout risque de corruption, la loi impose aux organisations d’établir une cartographie des risques de corruption.

Celle-ci prend la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de l’organisation à des sollicitations externes aux fins de corruption (trafic d’influence, prise illégale d’intérêts, détournement de fonds publics, favoritisme, etc.), en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels elle exerce son activité.

En 2018, l’AFA (Association française anticorruption) a mené « 43 contrôles auprès de 28 acteurs économiques – dont 11 filiales de groupes étrangers – et 15 acteurs publics » (source AFA).

Lors de ce petit-déjeuner débat, Anthony Coquer et Virginie Bensoussan-Brulé présenteront  la méthode accompagnée de cas pratiques pour cartographier les risques de corruption dans votre organisation.

Le petit-déjeuner débat aura lieu le 29 mai de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.


 

 




Le statut de lanceur d’alerte reconnu aux inspecteurs du travail

lanceur d'alerteSelon la Cour de cassation, un inspecteur du travail peut bénéficier du statut de lanceur d’alerte créé par la loi Sapin 2.

*Dans son arrêt du 17 octobre 2018 (1), la Cour de cassation annule l’arrêt rendu par la Cour d’appel de Chambéry, le 16 novembre 2016, pour permettre l’examen des faits au regard du nouvel article 122-9 du Code pénal, entré en vigueur en cours d’instance.

L’entrée en vigueur d’un nouveau fait justificatif en cours d’instance

La chambre criminelle de la Cour de cassation annule l’arrêt rendu par la Cour d’appel de Chambéry parce que la situation de la prévenue n’a pas été examinée au regard de l’article 7 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (2).

En effet, l’article 7 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a créé un article 122-9 dans le chapitre relatif aux causes d’irresponsabilité ou d’atténuation de la responsabilité du Code pénal.

L’article 122-9 du Code pénal (3) instaure donc une nouvelle cause d’irresponsabilité pénale et prévoit que :

« N’est pas pénalement responsable la personne qui porte atteinte à un secret protégé par la loi, dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu’elle intervient dans le respect des procédures de signalement définies par la loi et que la personne répond aux critères de définition du lanceur d’alerte prévus à l’article 6 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ».

En l’espèce, une inspectrice du travail a transféré à des organisations syndicales des documents à caractère secret qu’elle a obtenus frauduleusement et émanant des cadres dirigeants d’une société.

Aussi, la personne qui lui a envoyé les documents a été poursuivie des chefs d’atteinte au secret des correspondances émises par voie électronique, accès et maintien frauduleux dans un système de traitement automatisé de données, et elle a, pour sa part, été poursuivie pour recel de l’atteinte au secret des correspondances et violation du secret des professionnel.

En outre, la prévenue ne pouvait se prévaloir du statut protecteur de lanceur d’alerte, prévu par le droit du travail, dès lors que le champ d’application de l’article L.1132-3-3 du Code du travail est strictement limité aux relations de travail entre employeurs et salariés de droit privé. En effet, l’article L.1132-3-3 du Code du travail protège le lanceur d’alerte qui a « relaté ou témoigné, de bonne foi, des faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions ».

L’application du principe de rétroactivité in mitus de la loi pénale

La chambre criminelle de la Cour de cassation fait application du principe de rétroactivité en précisant que :

« Attendu que les dispositions d’une loi nouvelle s’appliquent aux infractions commises avant leur entrée en vigueur et n’ayant pas donné lieu à une condamnation passée en force de chose jugée lorsqu’elles sont moins sévères que les dispositions anciennes ».

En effet, aux termes de l’article 112-1 du Code pénal, une disposition pénale plus douce s’applique aux faits commis avant son entrée en vigueur et non encore jugés (4).

Ainsi, la Cour d’appel de renvoi devra procéder à un nouvel examen au fond de l’affaire, au regard des dispositions de l’article 122-9 du Code pénal, plus favorables à la prévenue.

L’enjeu sera alors double : l’inspectrice devra, d’une part, démontrer qu’elle a agi comme lanceur d’alerte, selon les critères de définition du lanceur d’alerte prévus à l’article 6 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

L’inspectrice devra, d’autre part, démontrer devant la Cour d’appel de renvoi de Lyon qu’elle a respecté les conditions relatives au signalement d’une alerte, posées par l’article 8 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

Autrement dit, elle devra démontrer que, sauf cas d’urgence, elle a d’abord porté le signalement de l’alerte à son supérieur hiérarchique ou, qu’en cas d’absence de diligence de sa part, elle s’est adressée à l’autorité judiciaire compétente, étant précisé qu’en dernier ressort, à défaut de traitement, le signalement pouvait être rendu public.

Virginie Bensoussan-Brulé
Géraldine Camin
Lexing Contentieux numérique

(1) Cass. crim., 17-10-2018, n°17-804485
(2) Loi n°2016-1691 du 9-12-2016
(3) C. pén., art. 122-9
(4) C. pén., art. 112-1 ; Pour un exemple : Cass. crim., 25-5-1994, n°93-83820




Directive 2016/943 Secret des affaires : projet de transposition

Directive 2016/943La transposition dans la législation française de la directive 2016/943 sur le secret des affaires doit intervenir avant le 9 juin 2018 (1).

Le groupe En Marche a déposé le 19 février 2018 auprès de la présidence de l’Assemblée nationale, une proposition de loi portant transposition de la directive 2016/943 précitée (2).

En application de l’article 39 de la Constitution française « l’initiative des lois appartient concurremment au Premier ministre et aux membres du Parlement » (3). La terminologie « projet de loi » est utilisé pour les textes déposés au nom du gouvernement tandis que « proposition de loi » désigne les textes provenant d’une initiative parlementaire. La différence majeure réside dans la procédure d’avis du Conseil d’Etat qui est obligatoire pour les projets de loi et seulement facultative pour les propositions de loi depuis la réforme constitutionnelle du 23 juillet 2008 (4).

La proposition de loi a été initiée par les députés alors que la France ne bénéficie plus que d’un délai très court de transposition, moins de trois mois.

La directive 2016/943 sur le secret des affaires : essentielle mais contestée

Avant l’adoption de la directive, les sociétés titulaires d’informations confidentielles stratégiques disposaient d’outils variables selon les Etats pour se prémunir contre l’espionnage industriel et économique. Certains droits pouvaient venir au soutien de cette protection notamment le droit de la propriété intellectuelle ou le droit pénal.

Ainsi, le texte européen est intervenu pour harmoniser les législations nationales relatives à la protection des secrets d’affaires afin de lutter contre leur obtention, leur utilisation et leur divulgation illicites.

Or, son adoption par les instances européennes, le 8 juin 2016 ne s’est pas faite sans critique. De nombreuses voix se sont élevées pour dénoncer le risque que faisait peser la protection des secrets d’affaires sur la liberté d’expression et le statut des lanceurs d’alerte (5).

Le projet de directive avant son adoption définitive a fait l’objet de modifications pour répondre à une partie des critiques et assurer une sauvegarde des libertés. L’article 5 a intégré deux exceptions d’importance à la protection du secret des affaires couvrant la liberté d’expression et d’information et le rôle des lanceurs d’alerte. Le considérant 20 précise également « les mesures, procédures et réparations prévues par la présente directive ne devraient pas entraver les activités des lanceurs d’alerte. La protection des secrets d’affaires ne devrait dès lors pas s’étendre aux cas où la divulgation d’un secret d’affaires sert l’intérêt public dans la mesure où elle permet de révéler une faute, un acte répréhensible ou une activité illégale directement pertinents ».

Les critiques arguent pourtant que les dispositions restent floues et privilégient la protection du secret au détriment de la presse et des lanceurs d’alerte.

L’adoption par l’Assemblée nationale d’une proposition de loi fidèle au texte de la directive 2016/943

Le champ d’application. Au sein de la proposition de loi adoptée par l’Assemblée, la notion de secret des affaires reprend les trois critères prévus par l’article 2 de la directive, « directement inspirés de l’Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (ADPIC) : une information connue par un nombre restreint de personnes, ayant une valeur commerciale en raison de son caractère secret et qui fait l’objet de mesures particulières de protection » (6).

Certains organismes de presse et associations de défense pour la liberté d’information ont critiqué cette définition large des informations protégées en considérant qu’en plaçant le secret au rang de principe, les députés rendaient clairement plus complexe la mise à jour de scandales tels que l’affaire du Mediator ou les « Panama Papers ».

La proposition de loi adoptée par les députés de l’Assemblée précise que l’obtention, l’utilisation et la divulgation sont illicites lorsqu’ elles sont faites sans le consentement de la personne concernée en violation des mesures concrètes ou contractuelles prises par le détenteur.

L’auteur des faits engage également sa responsabilité en cas de comportement déloyal ou lorsqu’il ne pouvait pas ignorer au regard des circonstances, le caractère illicite de son action.

Les cas de dérogations sont bien entendu repris par la proposition de loi et ce pour garantir les droits fondamentaux et la liberté d’expression. La proposition de loi apporte des précisions concernant :

  • les lanceurs d’alerte : l’exercice des droits prévus par la loi Sapin 2 (7) qui précise le régime de protection des lanceurs d’alerte, est un cas explicite de dérogation ;
  • la notion d’intérêt légitime se trouve précisée : « il peut s’agir par exemple d’un motif d’intérêt général tel que l’ordre public, la sécurité publique ou encore la santé publique ».

Responsabilité civile et mesures en cas d’atteinte au secret des affaires. La proposition de loi de transposition adoptée par l’Assemblée précise que l’atteinte au secret des affaires engage la responsabilité civile de son auteur. Selon les termes du texte de l’Assemblée, le préjudice subi par la victime devra être intégralement réparé dans toutes ses composantes : manque à gagner, pertes subies, préjudices subis, bénéfices de l’auteur de l’atteinte.

La proposition de loi transmise au Sénat prévoit également les mesures qui peuvent être prononcées en vue de prévenir une atteinte ou pour interdire une atteinte au secret des affaires. Il s’agit notamment de :

  • l’interdiction des actes d’utilisation ou divulgation du secret des affaires;
  • l’interdiction de mise sur le marché de tout produit issu du secret des affaires ;
  • la destruction de tout document contenant le secret ou de tout produit issu du secret des affaires.

Enfin, elle instaure des règles procédurales visant à préserver le secret des affaires lors des litiges devant les tribunaux. Le juge pourra protéger les débats et le délibéré en décidant qu’ils auront lieu hors de la présence du public. Il sera également en mesure d’adapter la motivation de sa décision aux nécessités de la protection du secret des affaires, par dérogation aux principes de publicité des débats et des décisions.

Adoption par le Sénat d’un texte modifié contre l’avis du gouvernement

La définition du secret des affaires élargie. Les sénateurs ont choisi d’élargir la définition du « secret des affaires » aux informations qui ont une «valeur économique, effective ou potentielle ». Ce texte ravive avec force les critiques portées par les défenseurs de la liberté d’information qui pointent le flou d’une définition majeure dans l’application de la loi.

En l’état, il reviendra au juge la mission d’interpréter cette notion imprécise afin de préserver un équilibre entre les droits des entreprises privées et les libertés fondamentales, avec le risque de décisions discordantes et d’actions en justice fréquentes des acteurs du monde économique.

L’amende pour procédure abusive éliminée. Le sénat a également supprimé les sanctions prévues au titre des procédures abusives diligentées par certaines sociétés privées sur le fondement du secret des affaires. Cette amende, dont le montant avait été fixé à 20% des dommages et intérêts réclamés par le demandeur, visait à lutter contre les procédures dites « baillons ». Ces pratiques sont utilisées par les grandes entreprises contre les lanceurs d’alertes, les journalistes, les chercheurs afin de les intimider. L’objectif est simple, utiliser les moyens financiers de l’entreprise pour attaquer en justice les cibles et les obliger à organiser une défense en dépensant du temps et des sommes importantes.

Le délit d’espionnage économique. Dans le cadre de la lutte contre la concurrence illégale, le Sénat a ajouté un délit d’espionnage économique, autrement dit, a créé une infraction pénale qui vise les sociétés accusée d’avoir violé le secret d’affaire d’une entreprise concurrente.

Délai d’adoption de la loi de transposition de la directive 2016/943. Le gouvernement ayant engagé la procédure accélérée, la proposition de loi a été directement transmise en commission mixte paritaire afin de proposer un texte de consensus sur les dispositions restant en discussion. La ministre de la Justice, Nicole Belloubet, a déjà émis le souhait de voir les sanctions procédures abusives rétablies. En toute hypothèse, la loi de transposition devrait donc être adoptée avant le 8 juin prochain.

Lexing Alain Bensoussan Avocats
Lexing Propriété intellectuelle – Droit de la data

(1) Directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites
(2) Proposition de loi n°675 portant transposition de la directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués contre l’obtention, l’utilisation et la divulgation illicites
(3) Art. 39 de la Constitution du 4 octobre 1958.
(4) Consultation obligatoire ou facultative du Conseil d’Etat
(5) La directive « secrets d’affaires » (enfin) adoptée, post du 23-06-2016.
(6) Proposition de loi n°675, exposé des motifs.
(7) Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique




Dispositif d’ alerte professionnelle et analyse d’impact RGPD

alerte professionnelleQuelles seront les formalités à respecter pour encadrer un dispositif d’ alerte professionnelle sous l’empire du RGPD ?

Pour la présentation générale de la loi Sapin 2 et la modification de l’AU-004, il est renvoyé à nos précédents articles [1, 2].

Vers une suppression quasi-totale des formalités préalables

La nouvelle réglementation sur la protection des données personnelles (RGPD [3] et le projet de loi Informatique et libertés [4] permettant une application concrète du RGPD en France) tend à supprimer l’obligation de déclarer les traitements auprès de la Cnil ainsi que celle d’obtenir une autorisation préalable de la Cnil.

Quelques exceptions sont néanmoins maintenues, notamment en matière de données de santé ou de traitement nécessitant l’utilisation du NIR en l’état actuel du projet de loi (Art. 9 du RGPD).

Toutefois, le responsable du traitement ayant l’obligation de tenir un registre des activités de traitement, il devra tout d’abord y faire figurer le traitement mis en œuvre à travers le dispositif d’ alerte professionnelle.

Analyse d’impact nécessaire pour la mise en œuvre d’un dispositif d’ alerte professionnelle

Le traitement de gestion des alertes professionnelles, dès lors qu’il répond à plus de deux des neuf critères déterminés par la Cnil [5] et par le G29 [6] est, par principe, soumis à analyse d’impact.

En effet, un traitement mis en œuvre à travers un dispositif d’ alerte professionnelle

  • touche nécessairement des personnes vulnérables tels que les salariés ;
  • traite de données relatives à des faits susceptibles de qualification pénale,
  • peut tendre à l’exclusion d’un droit ou d’un contrat et selon l’étendue du dispositif avoir une portée étendue et à grande échelle.

Ainsi, et sous réserve d’une analyse au cas par cas, un tel traitement est soumis à analyse d’impact.

Qu’en est-il d’un dispositif d’ alerte professionnelle déjà autorisé ?

En pratique, la question de la nécessité de mener une analyse d’impact pour un traitement d’ores et déjà autorisé va se poser. Il convient alors de distinguer selon les cas suivants :

  • pour les traitements ayant fait l’objet d’une formalité préalable (engagement de conformité à l’AU-004 ou autorisation spécifique) auprès de la Cnil avant le 25 mai 2018, l’analyse d’impact ne sera pas exigée ;
  • une analyse d’impact devra être effectuée si le traitement fait l’objet d’une modification significative (Considérant 171 du RGPD) [5] postérieurement à la réalisation de ces formalités.

A cet égard, le G29 dans ses lignes directrices précise que « tout traitement de données dont les conditions de mise en œuvre (portée, finalités, données à caractère personnel collectées, identité du responsable du traitement ou des destinataires des données, durée de conservation des données, mesures techniques et organisationnelles, etc.) ont changé depuis l’examen préalable effectué par l’autorité de contrôle et sont susceptibles d’engendrer un risque élevé doit faire l’objet d’une analyse d’impact ».

Quels sont les risques en l’absence d’analyse d’impact ?

Il est rappelé qu’en cas de non-respect des dispositions relatives aux analyses d’impact, le montant des amendes peut s’élever jusqu’à 10 000 000 d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant plus élevé étant retenu (Art. 83 du RGPD).

Quelles sont nos recommandations ?

En prévision de l’entrée en application du RGPD, il est recommandé de procéder à une vérification des formalités encadrant le dispositif d’ alerte professionnelle et, en cas de nouveau dispositif, de réaliser autant que faire se peut un engagement de conformité à l’AU-004 avant l’entrée en application du RGPD (sous réserve de respecter l’intégralité des exigences posées par la délibération de la Cnil).

Lexing Alain Bensoussan Avocats
Lexing département Contentieux numérique

[1] Loi Sapin 2 : un socle commun pour les lanceurs d’alerte, post du 27-6-2017.
[2] L’AU-004 « Dispositifs d’alerte professionnelle » est modifiée, post du 4-10-2017.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD » ).
[4] Projet de loi relatif à la protection des données personnelles, Doc. Ass. nat. n° 490 du 13-12-2017.
[5] Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA) » , 18-10-2017.
[6] G29, « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé aux fins du règlement (UE) 2016/679 » , version du 4-10-2017.




Loi Sapin 2 : procédure d’alerte et mesures anticorruption

mesures anticorruption

La circulaire du 31 janvier 2018 relative à la loi Sapin 2 précise la procédure d’alerte et les mesures anticorruption (1).

Ces deux dispositifs, introduits par la loi du 9 décembre 2016 (2), visent à renforcer les moyens dont disposent les autorités françaises afin de lutter activement contre la corruption.

L’alerte, une procédure graduée de lutte contre la corruption

La circulaire du 31 janvier 2018 commente les dispositions de l’article 8 de la loi Sapin 2 relatif à la procédure d’alerte. Cette procédure est à distinguer du système préventif des mesures anticorruption de l’article 17, puisqu’elle intervient alors qu’un lanceur d’alerte entend dénoncer une atteinte à la probité dont il a eu connaissance.

L’article 8 instaure une procédure d’alerte graduée. En effet, si dans un premier temps l’alerte ne peut être signalée qu’à un supérieur hiérarchique ou à un référent, elle devra être transmise dans un second temps à l’autorité judiciaire ou administrative si aucune réponse ne lui est apportée dans un délai raisonnable. Dans l’éventualité où aucun traitement ne serait donné à l’information dans un délai de 3 mois, ou, exceptionnellement, dans le cas d’un danger grave, l’alerte peut être rendue publique. La circulaire souligne enfin la possibilité offerte au lanceur d’alerte de transmettre l’information au Défenseur des droits afin que celui-ci, sans la traiter sur le fond, l’oriente vers l’organisme compétent.

Le contenu des mesures anticorruption

Le législateur entend détecter au plus tôt la commission de faits de corruption en imposant la mise en place de mesures anticorruption.

La circulaire souligne tout d’abord que cette obligation incombe aux dirigeants d’entreprises et d’établissements publics à caractère industriel ou commercial comptant au moins 500 salariés et un chiffre d’affaires supérieur à 100 millions d’euros. Elle détaille ensuite les procédures prévues par la loi, au sein desquelles se trouve notamment l’obligation d’élaborer un code de conduite et des sanctions en cas de violation de ce code, de constituer une cartographie des risques d’exposition à des situations de corruption et de mettre en place des formations pour les personnes particulièrement exposées. Elle rappelle enfin que la mise en œuvre de ces procédures est contrôlée par l’Agence française anticorruption et que cette dernière peut, en cas de manquement à cette obligation et après un premier avertissement, infliger une sanction pécuniaire aux entreprises.

En conclusion, qu’il s’agisse de moyens de prévention, par l’établissement de mesures anticorruption, ou de moyens de détection, par l’élaboration d’une procédure d’alerte efficace, la loi Sapin 2 instaure un dispositif innovant de lutte contre la corruption.

Lexing Alain Bensoussan Avocats
Lexing département Contentieux numérique

(1) Circulaire CRIM/2018-01/G3 du 31-1-2018 relative à la présentation et la mise en œuvre des dispositions pénales prévues par la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique
(2) Loi n° 2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique




La justice française favorable aux lanceurs d’alerte

lanceurs d'alerteEn se positionnant favorablement à l’action des lanceurs d’alerte face au chef de diffamation, le 21 novembre dernier, le juge français (1) a, une nouvelle fois, démontré l’efficacité de la loi Sapin 2 (2).

Des lanceurs d’alerte à la une

Au cours d’une émission de radio réalisée en février 2015, la présidente d’une association de lanceurs d’alerte lançait une alerte au sujet de dysfonctionnements constatés dans le cadre de son expérience professionnelle au sein d’un institut prenant en charge des enfants lourdement handicapés.

Peu de temps après cette émission, l’institut concerné déposait plainte contre la présidente de l’association mais également contre la présentatrice de l’émission du chef de diffamation publique envers un particulier.

Afin de donner tout son sens aux dispositions de la loi Sapin 2 définissant le lanceur d’alerte comme une personne physique qui révèle de manière désintéressé et de bonne foi, un crime ou un délit, une violation grave ou bien une menace pour l’intérêt général dont elle a eu connaissance (2), le tribunal a relaxé la journaliste ainsi que la présidente d’association.

Le statut des lanceurs d’alerte

La présidente revendiquant son statut de lanceur d’alerte justifiait son intervention par la gravité des faits constatés lors de son parcours professionnel et qui devaient être dénoncés publiquement en raison de la reconduction de l’agrément de cet institut. Quant à la journaliste, elle ne faisait que résumer succinctement les propos tenus par la présidente sans exprimer une opinion personnelle.

Par conséquent, le Tribunal de grande instance de Toulouse (1) a considéré que les motivations de la présidente étaient dépourvues de tout caractère diffamatoire en raison de ses connaissances et de l’intérêt des propos tenus. Une telle intervention devait être introduite au débat général des lanceurs d’alerte afin, notamment, de mettre en exergue les problèmes de maltraitance des personnes vulnérables et handicapées (3).

Cette nouvelle relaxe allant dans le sens des rédacteurs de la loi Sapin 2, constitue un signal fort pour les lanceurs d’alerte qui semblent aujourd’hui bénéficier d’une justice favorable à leurs actions.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) TGI Toulouse, 21-11-2017, n° 4363/17
(2) Loi n° 2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (chapitre II, art. 6 de la loi)
(3) CEDH 12-2-2008, n° 14277/04




Que retenir de la loi Sapin 2 et des recommandations de l’AFA

recommandations de l’AFA

Les recommandations de l’AFA, l’agence française anticorruption, met les entreprises sur la bonne voie quant à la prévention et la détection des manquements au devoir de probité, en application de la loi Sapin 2, entrée en vigueur il y a quelques mois.

Que faut-il retenir de la loi Sapin 2 ?

Cette loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, entrée en vigueur le 1er juin 2017, a pour objectif le renforcement du système législatif français en matière de corruption afin de hisser la France au plus haut niveau de la lutte anticorruption. Elle instaure une nouvelle logique de conformité qui vise à prévenir la corruption et contribuer au développement des bonnes pratiques au sein des gouvernances des entreprises.

L’objectif majeure de cette loi est alors de lutter contre les atteintes à la probité dans le monde des affaires et de responsabiliser les grandes entreprises ainsi que leurs dirigeants, avec des sanctions pouvant atteindre 200 000 euros pour les personnes physiques et jusqu’à un million d’euros pour les personnes morales. Encore faut-il être concerné par cette loi qui vise les sociétés et groupes de sociétés de plus de 500 employés et ayant un chiffre d’affaire supérieur à 100 millions d’euros.

L’AFA premier acteur de la lutte anticorruption

Afin de détecter de telles atteintes l’AFA, agence française anticorruption, est placée auprès du ministre de la justice et du ministre chargé du budget. Cette agence a pour mission d’aider les autorités compétentes et les personnes qui y sont confrontées à prévenir et détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme.

Pour ce faire l’agence émet, entre autres, des recommandations afin de permettre aux personnes morales de droit public et de droit privée de détecter les faits de corruptions et d’élaborer des règles de fonctionnement adaptées pour se protéger d’une atteinte à leur probité et, en particulier, se prémunir contre des sanctions liées à un manquement à une obligation de prévention ou de détection de la corruption.

Les recommandations de l’AFA

Ces recommandations ont récemment vu le jour dans un avis publié au journal Officiel du 22 décembre 2017. Il est important de rappeler que ces recommandations de l’AFA sont dépourvues de force obligatoire et ne créent aucune obligation juridique pour les entreprises. Elles permettent néanmoins de mettre en place une stratégie efficace dans le cadre de la lutte contre la corruption et de construire un cadre de bonne conduite permettant à l’entreprise d’éviter toute atteinte à leur réputation.

Quelques soient la taille et la forme sociale de votre organisation, les recommandations de l’AFA ont pour but d’y établir une culture d’intégrité et invitent les entreprises à rapidement mettre en place un dispositif de prévention et de détection de la corruption, mais aussi un code de conduite fiable.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
(2) Recommandations de l’AFA publiées au Journal officiel le 22 décembre 2017.




L’AU-004 « Dispositifs d’alerte professionnelle » est modifiée

Dispositifs d’alerte professionnelleLa compatibilité des dispositifs d’alerte professionnelle créés par la loi Sapin 2 à l’AU-004 faisait débat. La Cnil a donc pris position et modifié cette autorisation unique (1) afin de prendre en compte les nouvelles exigences de la loi Sapin 2 (2).

Pour rappel, la loi Sapin 2 a créé deux dispositifs distincts, l’un instaurant un socle commun à tous les dispositifs d’alerte professionnelle, l’autre spécifique à la lutte anticorruption prévu par l’article 17 de ladite loi ayant déjà fait l’objet d’articles (3 et 4).

La Cnil qui a toujours été particulièrement vigilante quant à la mise en place de dispositifs d’alerte professionnelle, fournit un cadre étendu à ces dispositifs pour lesquels deux changements sont particulièrement notables.

Extension du champ d’application

Le champ d’application de l’AU-004 relative aux alertes professionnelles est désormais délimité par rapport à la nature des manquements signalés et non plus par rapport aux domaines concernés par les alertes.

Procédant à une extension du périmètre, l’AU-004 relative aux alertes professionnelles vise désormais tout signalement réalisé de « manière désintéressée et de bonne foi » :

  • d’un crime ou un délit ;
  • d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
  • d’ une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
  • d’une violation grave et manifeste de la loi ou du règlement ;
  • d’une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance ;
  • relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
  • relatifs un manquement à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable du traitement.

Extension des personnes concernées

Dans sa version antérieure, l’AU-004 relative aux dispositifs d’alerte professionnelle ne visait que les employés de l’organisme. Cependant, la définition générale instaurée par la loi Sapin 2 désigne tant les employés que les collaborateurs extérieurs et occasionnels. L’articulation était donc sujette à débat.

La Cnil tranche en faveur d’une approche extensive. L’AU-004 relative aux dispositifs d’alerte professionnelle vise désormais tant les membres du personnel, les collaborateurs extérieurs et occasionnels ayant vocation à utiliser le dispositif d’alertes professionnelles. Ces personnes devront faire l’objet d’une information détaillée concernant la procédure de recueil des signalements et les différents destinataires.

Recommandations des dispositifs d’alerte professionnelle

Dans tous les cas, les organismes doivent veiller à être en conformité avec la réglementation relative à la protection des données à caractère personnel :

  • soit en s’assurant de la conformité des formalités déjà effectuées, notamment au regard des nouvelles conditions posées par le texte ;
  • soit en procédant à un engagement de conformité conforme à l’AU-004 relative aux dispositifs d’alerte professionnelle ;
  • soit en procédant à une demande d’autorisation spécifique si le traitement n’est pas en tous points conforme à l’AU-004 relative aux dispositifs d’alerte professionnelle.

Par ailleurs, l’entrée en vigueur le 25 mai 2018 du RGPD (5) pourrait avoir des implications sur ces formalités préalables. Si la loi Informatique et libertés s’applique toujours, il est cependant recommandé aux organismes d’anticiper le Règlement européen sur la protection des données et de s’assurer que les dispositifs répondent aux nouvelles exigences, notamment en termes de sécurité, de confidentialité, ou encore concernant l’analyse d’impact.

Conclusion

La Cnil apporte donc des réponses attendues face aux développements des traitements de données relatifs aux dispositifs d’alerte professionnelle et à la sensibilité des données traitées.

Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique

(1) Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004) (rectificatif) (JO du 26-8-2017)
(2) Loi n°2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « loi Sapin 2 ».)
(3)  V. Bensoussan-Brulé, « Loi Sapin 2 : un socle commun pour les lanceurs d’alerte« , Alain Bensoussan.com 27-6-2017.
(4) V. Bensoussan-Brulé, « Loi Sapin 2 : un dispositif spécifique anticorruption« , Alain Bensoussan.com 28-6-2017.
(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD Règlement général sur la protection des données).




Loi Sapin 2 : un dispositif spécifique anticorruption

anticorruption

La loi Sapin 2 instaure deux dispositifs, l’un à vocation générale et l’autre plus spécifique dédié à l’anticorruption.

Dans la continuité du précédent article « Loi Sapin 2 : un socle commun pour le lanceur d’alerte » (1), cet article traite du dispositif spécifique anticorruption prévu par l’article 17 de la loi Sapin 2.

Qui est concerné par ce dispositif ?

Les entreprises concernées par le dispositif

L’article 17 de la loi Sapin 2 impose une obligation de conformité anticorruption uniquement à certaines entreprises, notamment aux sociétés françaises et établissements publics industriels et commerciaux qui emploient au moins 500 salariés et ont un chiffre d’affaires annuel ou un chiffre d’affaires annuel consolidé supérieur à 100 millions d’euros. Cette obligation s’applique également aux sociétés françaises et établissements publics industriels et commerciaux qui appartiennent à un groupe employant au moins 500 salariés et dont la société mère a son siège social en France et ont un chiffre d’affaires annuel ou chiffre d’affaires annuel consolidé supérieur à 100 millions d’euros. Enfin, elle s’applique aux filiales et sociétés contrôlées de l’une des sociétés françaises susvisées, lorsque ladite société établit des comptes consolidés.

Les articles 435-11-2 et 435-6-2 du Code pénal, créés par l’article 21 de la loi Sapin 2, précisent que la loi française sera applicable « en tout circonstance » lorsqu’une infraction de corruption ou de trafic d’influence d’agent public étranger est commise en dehors du territoire français, par un français ou par une personne résidant habituellement ou exerçant tout ou partie de son activité économique sur le territoire français. Ce dernier point apparait comme une grande nouveauté en ce que le législateur a choisi de donner un caractère extraterritorial à la loi Sapin 2.

Par ailleurs, l’Agence française anticorruption (ci-après, l’AFA) contrôlera le respect des mesures et procédures exigées.

Plusieurs types de sanctions pourront être prononcés tels qu’un avertissement, une injonction de mise en conformité, une sanction pécuniaire (de 200 000 euros pour les personnes physiques à 1 000 000 euros pour les personnes morales) ou encore la publication, diffusion ou affichage de la décision.

Le lanceur d’alerte

Il est important de distinguer ce dispositif spécifique anticorruption de la « procédure de recueil de signalements » prévue à l’article 8 de la loi Sapin 2. Cette procédure visant les signalements émis par les membres du personnel ou par des collaborateurs extérieurs et occasionnels de la société est prévue à titre général, dans le chapitre de la loi créant un statut général et une protection juridique du lanceur d’alerte (articles 6 et suivants de la loi). Elle est obligatoire dans toutes les entreprises d’au moins 50 salariés et a vocation à recevoir des signalements bien au-delà des faits relatifs à la corruption ou au trafic d’influence.

Quel est l’objet de ce dispositif ?

L’objet de l’alerte se limite aux faits de corruption ou de trafic d’influence.

Comment se déploie le plan anticorruption ?

L’organisme doit mettre en place un plan anticorruption. Ce plan repose sur huit mesures qui se réalisent en trois étapes.

1er étape : due diligence

Les mesures du plan anticorruption comprennent tout d’abord un état des lieux par la réalisation :

  • d’une cartographie des risques
  • des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires

2ème étape : mise en place de documents et formations internes

  • un code de conduite
  • un régime disciplinaire
  • un dispositif de formation

3e étape : mise en place de procédure interne

Elles comprennent des procédures internes, telles que:

  • des procédures de contrôles comptables, internes ou externes
  • un dispositif d’alerte interne

Ce dispositif est destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société.  Il peut prendre différentes formes, selon la taille et la nature de la structure comme

  • un site internet attitré ou portail dédié ;
  • une ligne téléphonique dédiée ;
  • un signalement interne auprès d’une personne désignée ;
  • une adresse électronique ;
  • une boîte à lettre destinée à recueillir les signalements.

La gestion de ce dispositif peut être assurée en interne par la société elle-même, ou par un prestataire de services externe.

Enfin, la procédure d’alerte doit faire l’objet d’une publicité adéquate afin de permettre aux personnels et aux collaborateurs extérieurs et occasionnels d’en avoir une connaissance suffisante.

Conclusion

Les organismes concernés devront mettre l’accent sur une approche globale et spécifique à leur secteur d’activité, à leur taille et à leur zone géographique. La communication sur les dispositifs anticorruption est un élément clé de succès et d’efficacité.

Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique

(1) Loi 2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite « Loi Sapin 2 ».
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données RGDP/GDPR).




Loi Sapin 2 : un socle commun pour les lanceurs d’alerte

lanceurs d’alerte avec la loi SapinLes lanceurs d’alerte avec la loi Sapin 2 voient leur protection renforcée pour faire face à la multiplication des affaires comme Panama Papers, Lukleaks ou encore WikiLeaks.

Dans ce contexte, la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (1) instaure un régime protecteur du lanceur d’alerte et rend obligatoire la mise en place de systèmes d’alertes dans les administrations, organismes publics et entreprises privées, selon des dispositifs distincts, la taille de l’entité sous le contrôle de l’Agence Française Anticorruption (ci-après l’AFA) ainsi créée.

La loi Sapin 2 pose un socle commun aux lanceurs d’alerte et crée deux dispositifs : le 1er dispositif dit « général » et le second dispositif spécifique à la lutte anti-corruption. Cet article sera centré sur le premier dispositif de signalement d’alerte.

Qui est concerné par ce dispositif ?

Ce dispositif vise, d’une part, les organismes concernés et d’autre part, le lanceur d’alerte lui même.

Il vise toutes les personnes morales de droit privé ou de droit public, de plus de 50 employés .

L’article 8, III, de la loi Sapin 2 vise au titre du lanceur d’alerte les membres du personnel, les collaborateurs extérieurs et occasionnels. Les articles 6 à 15 de la loi Sapin 2 fixent un socle de dispositions communes applicables à toute personne physique qui révèlerait ou signalerait « un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ».

Le Conseil constitutionnel a précisé que le dispositif se limitait aux lanceurs d’alerte procédant à un signalement visant l’organisme qui les emploie ou l’organisme auquel ils apportent leur collaboration dans un cadre professionnel (2). « Le fait que le législateur ait retenu, à l’article 6, une définition plus générale du lanceur d’alerte, ne se limitant pas aux seules personnes employées par l’organisme faisant l’objet du signalement non plus qu’à ses collaborateurs, n’a pas pour effet de rendre les dispositions contestées inintelligibles. En effet, cette définition a vocation à s’appliquer non seulement aux cas prévus par l’article 8, mais aussi, le cas échéant, à d’autres procédures d’alerte instaurées par le législateur, en dehors du cadre professionnel ». Il est vrai que d’autres textes législatifs prévoient des procédures d’alerte en dehors du cadre professionnel, notamment la loi relative à l’indépendance de l’expertise en matière de santé et d’environnement et à la protection des lanceurs d’alerte (3).

Le Conseil d’État avait déjà relevé l’importance «d’étendre la possibilité de recourir aux dispositifs internes d’alerte à des personnes qui ont un rapport plus distant à la relation de travail » (4). Dans ce contexte, le collaborateur occasionnel peut être entendu comme une personne qui dans l’exercice de ses fonctions, disposent d’une connaissance approfondie du fonctionnement de cette dernière. Un stagiaire est par exemple un collaborateur occasionnel.

Le collaborateur extérieur peut être quant à lui entendu comme une personne bien qu’employés par une autre entité que celle auprès ou pour le compte de laquelle il exerce ses fonctions, dispose d’une connaissance approfondie du fonctionnement de cette dernière. A ce titre, est un collaborateur extérieur un consultant, un sous-traitant, un fournisseur ou encore un intérimaire. Par conséquent, la loi Sapin 2 ne s’applique pas aux lanceurs d’alertes externes.

Quel statut juridique et quelle protection ?

L’octroi du statut juridique de lanceur d’alerte est soumis aux conditions suivantes, à savoir

  • avoir personnellement connaissance des faits ;
  • être de bonne foi ;
  • ne pas tirer profit ou de rémunération de l’alerte émise ;
  • ne pas chercher à nuire.

Si le statut de lanceur d’alerte est reconnu, la personne concernée bénéficiera alors d’une protection particulière.

D’une part, l’article L.1132-3-3 du Code du travail, ainsi que l’article 6 ter de la loi n° 83-634 du 13 juillet 1983 pour les fonctionnaires, ont été modifiés par l’article 10 de loi Sapin 2 afin qu’aucune personne ne puisse être écartée d’une procédure de recrutement ou de l’accès à un stage ou à une période de formation professionnelle, aucun salarié ne puisse être sanctionné, licencié ou faire l’objet d’une mesure discriminatoire, direct ou indirecte…

D’autre part, l’article 122-9 du Code pénal, créé par l’article 7 de loi Sapin 2, confère une irresponsabilité pénale pour la divulgation de certains secrets protégés par la loi, sous trois conditions cumulatives :

  • la divulgation du secret doit être nécessaire et proportionnée à la sauvegarde des intérêts en cause ;
  • le lanceur d’alerte doit correspondre à la définition qu’en donne l’article 6 ;
  • il doit avoir respecté les procédures de signalement prévues par la loi.

Par ailleurs, l’article 9 de la loi Sapin 2 garantit une stricte confidentialité des données concernant : les lanceurs d’alerte et les personnes visées par l’alerte.

Enfin, l’article 13 de la loi Sapin 2 prévoit que « toute personne qui fait obstacle, de quelque façon que ce soit à la transmission d’un signalement est punie d’un an d’emprisonnement et de 15 000 € d’amende ; lorsque le juge d’instruction ou la chambre de l’instruction sont saisis d’une plainte pour diffamation contre un lanceur d’alerte, le montant de l’amende civile qui peut être prononcée est portée à 30 000 € ».

Quel est l’objet de ce dispositif ?

L’objet de l’alerte est délimité par l’article 6 de la loi Sapin 2 « un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général ». L’alerte peut donc concerner la fraude, le harcèlement et la concurrence.

L’article 6, I, 7° de la loi pour la confiance dans l’économie numérique (5) exclut expressément du régime de l’alerte « Les faits, informations ou documents, quel que soit leur forme ou leur support, couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client ». En revanche, le secret des affaires n’est pas visé expressément par cet article, les entreprises devront y prendre garde.

Comment signaler l’alerte ?

L’article 8 de la loi Sapin 2 rend obligatoire la mise en place d’une procédure graduée :

  • le lanceur d’alerte doit avertir son supérieur hiérarchique, direct ou indirect, l’employeur ou un référent désigné par celui-ci ;
  • en l’absence de diligences de la personne destinataire de l’alerte dans un délai raisonnable, il doit s’adresser à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels ;
  • à défaut de traitement dans un délai de trois mois par les organismes précités (autorité judiciaire, autorité administrative ou ordres professionnels), il peut rendre le signalement public.

En cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles, il peut adresser son signalement directement à l’autorité judiciaire, à l’autorité administrative et aux ordres professionnels et être rendu public.

Toute personne peut également adresser son signalement au Défenseur des droits (6 et 7) afin d’être orientée vers l’organisme approprié de recueil de l’alerte. Recueil des signalements
Par ailleurs, le paragraphe III de l’article 8 de loi Sapin 2 impose aux organismes publics et privés concernés de mettre en place, dans les conditions fixées par décret en Conseil d’État, des procédures appropriées de recueil des signalements pour leur personnel et leurs collaborateurs extérieurs ou occasionnels.

Selon quelles modalités et dans le respect de quelles formalités préalables ?

Les modalités sont fixées par le décret du 19 avril 2017 (8) qui entrera vigueur le 1er janvier 2018.

Le décret précise que « chaque organisme détermine l’instrument juridique le mieux à même de répondre à l’obligation d’établir une procédure de recueil des signalements et l’adopte conformément aux dispositions législatives et réglementaires qui le régisse. Il en est de même des autorités publiques et administratives indépendantes ».

Le décret ajoute qu’un groupe peut mettre en place une procédure de recueil des signalements commune à toutes ses filiales.

Il offre la possibilité aux organismes d’externaliser le recueil des signalements en désignant un référent « extérieur » .

Le décret indique que le lanceur d’alerte devra être informé des dispositions prises par l’organisme notamment sur le traitement du signalement, la confidentialité, le délai de conversation du dossier et le traitement des données personnelles.

L’organisme doit prendre les mesures nécessaires :

  • pour informer sans délai l’auteur du signalement de la réception de son signalement, ainsi que du délai raisonnable et prévisible nécessaire à l’examen de sa recevabilité et des modalités suivant lesquelles il est informé des suites données à son signalement ;
  • pour garantir la stricte confidentialité de l’auteur du signalement, des faits objets du signalement et des personnes visées, y compris en cas de communication à des tiers dès lors que celle-ci est nécessaire pour les seuls besoins de la vérification ou du traitement du signalement ;
  • pour détruire les éléments du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et celle des personnes visées par celui-ci lorsqu’aucune suite n’y a été donnée, ainsi que le délai qui ne peut excéder deux mois à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification. L’auteur du signalement et les personnes visées par celui-ci sont informés de cette clôture.
  • la procédure doit mentionner l’existence d’un traitement automatisé des signalements mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés.

L’organisme peut prendre un engagement de conformité à la délibération n°2014-042 du 30 janvier 2014 modifiant l’autorisation unique n°2005-305 du 8 décembre 2005 n°AU-004 relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (9).

Cependant, l’autorisation unique AU-004 vise les employés. Or, le dispositif de la loi Sapin 2 a un champ plus large comprenant également les collaborateurs occasionnels et extérieurs.

La Cnil doit prochainement prendre position sur l’incompatibilité des dispositifs d’alerte créés par la loi Sapin 2, notamment celui prévu en son article 8, avec sa décision unique d’autorisation AU-004.

Il est recommandé d’anticiper le Règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018, et s’assurer que les dispositifs anticorruption répondent aux nouvelles exigences, notamment en termes de sécurité, d’information des personnes , de flux transfrontières et s’agissant de l’analyse d’impact.

Enfin, l’article 6 du décret prévoit que « l’entreprise procède à la diffusion de la procédure de recueil des signalements qu’elle a établie par tout moyen, notamment par voie de notification, affichage ou publication, le cas échéant sur son site internet, dans des conditions propres à permettre à la rendre accessible aux membres de son personnel ou à ses agents, ainsi qu’à ses collaborateurs extérieurs ou occasionnels. Cette information peut être réalisée par voie électronique ».

Conclusion

La loi Sapin 2 laisse planer certaines interrogations, notamment sur l’articulation de ce dispositif avec celui de l’article 17 de la loi spécifique à lutte anti-corruption qui fera l’objet d’un prochain article.

Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique

(1) Loi n°2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « loi Sapin 2 ».
(2) Décision n°2016-741 DC du 8-12-2016 – loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique et communiqué de presse du 14 avril 2017 du Conseil constitutionnel.
(3) Loi n°2013-316 du 16 avril 2013 relative à l’indépendance de l’expertise en matière de santé et d’environnement et à la protection des lanceurs, a institué une Commission nationale de la déontologie et des alertes en matière de santé publique et d’environnement chargée de veiller aux règles déontologiques s’appliquant à l’expertise scientifique et technique et aux procédures d’enregistrement des alertes en matière de santé publique et d’environnement.
(4) Conseil d’état, « Le droit d’alerte : signaler, traiter, protéger », (Les études du Conseil d’état), La Documentation française, étude adoptée le 25-2-2016 par l’assemblée générale plénière du Conseil d’état p. 58
(5) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
(6) Défenseur des droits, site internet accessible à : http://www.defenseurdesdroits.fr/ .
(7) Loi organique n°2011-333 du 29 mars 2011 relative au Défenseur des droits (version consolidée).
(8) Décret n°2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat
(9) CNIL, autorisation unique n°AU-004 – Délibération n° 2005-305 du 8 décembre 2005 n°AU-004 relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (modifiée).
(10) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




L’inconstitutionnalité du reporting fiscal de la loi Sapin 2

L’inconstitutionnalité du reporting fiscal de la loi Sapin 2Par décision en date du 8 décembre 2016, le Conseil constitutionnel a censuré le reporting prévu dans la loi Sapin 2.

La Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin 2 » (1), prévoyait initialement, en son article 137, l’obligation d’établir, pour certaines multinationales, un reporting fiscal, pays par pays.

Précisément, les sociétés, ayant un chiffre d’affaires supérieur à 750 millions d’euros, devaient être tenues de diffuser au public les informations suivantes :

  • le nombre de salariés ;
  • le chiffre d’affaires ;
  • le résultat avant impôt sur les bénéfices ;
  • l’impôt sur les bénéfices dû pour l’exercice en cours ;
  • l’impôt sur les bénéfices acquittés.

Ce dispositif, qui devait être consacré à l’article L. 225-102-4 du Code de commerce, devait progressivement s’étendre à des sociétés plus petites, jusqu’à descendre à un chiffre d’affaires supérieur à 250 millions d’euros.

Plusieurs organisations non gouvernementales réclamaient, depuis quelques années, cette obligation, pour les multinationales, de déclarer un certain nombre d’indicateurs économiques et fiscaux, dans chacun des pays où elles exercent une activité, afin de lutter contre la fraude et l’évasion fiscales, mais également de permettre à la France de « rattraper son retard » en matière de lutte anticorruption.

Le syndicat du patronat (Medef), quant à lui, s’est ému d’un tel dispositif, aux motifs qu’imposer à certaines sociétés de publier, en libre accès, des informations financières clés, pour chaque État membre de l’Union européenne dans lequel elles sont implantées (chiffre d’affaires, filiales, effectifs, bénéfice, impôts payés, etc.), était une « aberration économique » en ce qu’il consistait à révéler des informations stratégiques aux concurrents.

In fine, le Conseil constitutionnel a donné gain de cause à l’organisation patronale et aux détracteurs de ce dispositif, en déclarant cette mesure phare de la loi Sapin 2 inconstitutionnelle (1).

Les Sages de la rue Montpensier ont ainsi considéré que l’obligation faite à certaines sociétés de rendre publics des indicateurs économiques et fiscaux correspondant à leur activité, pays par pays, était de nature à permettre à l’ensemble des opérateurs intervenant sur les marchés où s’exercent ces activités, et en particulier à leurs concurrents, d’identifier des éléments essentiels de leur stratégie industrielle et commerciale.

Ils en ont conclu qu’une telle obligation portait, dès lors, une atteinte manifestement disproportionnée à la liberté d’entreprendre, au regard de l’objectif poursuivi, et qu’elle était ,par conséquent, contraire à la Constitution.

Cette décision a fait l’objet de critiques de la part des promoteurs de ce dispositif, considérant qu’elle fermait la porte à une véritable transparence fiscale et rappelant que la liberté d’entreprendre n’étant ni générale, ni absolue, pouvait souffrir de limitations liées à des exigences constitutionnelles ou justifiées par l’intérêt général, ce à quoi correspond la lutte contre l’évasion fiscale, qui permet de garantir l’égalité devant l’impôt et de s’assurer ainsi que chacun des contribuables paie sa juste part.

A l’heure où nos démocraties libérales réclament davantage de transparence, il y a fort à parier que ces droits et libertés fondamentaux, que sont la liberté d’entreprendre et l’égalité devant l’impôt, auront encore certainement des occasions de se confronter dans les années à venir.

Pierre-Yves Fagot
Maxime Guinot
Lexing Droit Entreprise

(1) Conseil constitutionnel, Décision 2016-741 DC du 8-12-2016




Commande publique et loi Sapin 2 : quelles incidences ?

 

Commande publique et loi Sapin II : quelles incidences ?

Commande publique et loi Sapin 2 : la loi apporte certains ajustements à cette réforme des marchés publics.

La loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite Loi Sapin 2 (1), a été publiée au Journal officiel du 10 décembre 2016.

Ce nouveau texte comporte des dispositions visant les contrats publics modifiant quelque peu les textes issus de la réforme de la commande publique.

Commande publique et loi Sapin 2 : une ratification attendue de l’ordonnance relative aux marchés publics

La loi Sapin 2 finalise la réforme de la commande publique, issue des directives n°2014/24/UE (2) et n°2014/25/UE du 26 février 2014 (3), en ratifiant l’ordonnance n°2015-899 du 23 juillet 2015 relative aux marchés publics (4) et l’ordonnance n°2016-65 du 29 janvier 2016 relative aux contrats de concession (5) transposant en droit interne les textes européens.

L’article 38 de la loi Sapin 2 autorise également le gouvernement à procéder par voie d’ordonnance à l’adoption de la partie législative du futur Code de la commande publique dans un délai de 24 mois à compter de sa promulgation.

Cette ratification des ordonnances « marchés publics » et « concessions » est assortie de quelques amendements concernant les dispositions de l’ordonnance du 23 juillet 2015.

Commande publique et loi Sapin 2 : les modifications apportées à l’ordonnance du 23 juillet 2015

Les aménagements apportés à la version initiale de l’ordonnance du 23 juillet 2015 sont les suivants :

  • la suppression de la possibilité, qui était prévue à l’article 32 de l’ordonnance, pour les candidats à un marché public, de présenter des offres variables selon le nombre de lots susceptibles d’être obtenus ;
  • la suppression de l’évaluation préalable du mode de réalisation du projet, prévue à l’article 40 de l’ordonnance, que l’acheteur public était tenu de réaliser, avant le lancement de la procédure de passation, pour les marchés d’un montant supérieur à 100 millions d’euros HT ;
  • la suppression de l’obligation, figurant à l’article 45 de l’ordonnance, pour les candidats, de produire des extraits de casier judiciaire, pour justifier de l’absence d’une interdiction de soumissionner et le remplacement de cette obligation par la transmission d’une simple attestation sur l’honneur ;
  • le renforcement, à l’article 52 de l’ordonnance, de la possibilité d’évaluer les offres des candidats sur la base d’un critère unique, déjà prévu par l’article 62 II du décret du 25 mars 2016. Les conditions du recours à ce critère unique seront traitées par voie réglementaire ;
  • l’insertion, à l’article 53 de l’ordonnance, de l’obligation, pour les acheteurs publics, de détecter et d’écarter les offres anormalement basses ;
  • la suppression de l’obligation relative au versement, à titre d’avances, d’acomptes, de règlements partiels définitifs ou de solde prévue à l’article 59 de l’ordonnance, pour les marchés passés par les offices publics d’habitat ;
  • l’insertion, à l’article 69 de l’ordonnance, de l’obligation d’identifier une équipe de maîtrise d’œuvre, dans les marchés de partenariat, pour la conception des ouvrages et le suivi de leur réalisation ;
  • l’encadrement de l’indemnisation du titulaire d’un marché de partenariat, prévue à l’article 89 de l’ordonnance, en cas d’annulation, de résolution ou de résiliation du contrat par le juge, faisant suite au recours d’un tiers.

Les modifications des dispositions de l’ordonnance du 23 juillet 2015 s’appliquent aux marchés pour lesquels une consultation est engagée ou un avis d’appel à la concurrence est envoyé à la publication postérieurement à la publication de la loi.

Commande publique et loi Sapin 2 : les nouveautés apportées aux contrats conclus par les personnes publiques

La loi Sapin 2 est également intervenue en matière de gestion domaniale, afin d’introduire plus de transparence dans les autorisations d’occupation du domaine public et les ventes de terrains par les établissements publics nationaux, et autorise le gouvernement, par voie d’ordonnance, à mettre en place des obligations de publicité et de mise en concurrence, dans un délai de 12 mois à compter de sa promulgation.

L’article 35 de la loi Sapin 2 a également modifié l’article L. 2141-2 du Code général de la propriété des personnes publiques en en étendant aux collectivités territoriales, à leur groupement et aux établissements publics, la possibilité, déjà offerte à l’Etat, de déclasser, de façon anticipée, un bien, c’est-à-dire, de pouvoir procéder à la vente d’un bien encore affecté à un service public ou à l’usage du public.

Enfin, la loi Sapin 2 crée l’Agence française anticorruption qui a pour objet « d’aider les autorités compétentes et les personnes qui y sont confrontées à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme ».

Dans le cadre de la commande publique, la création de cette agence s’inscrit dans un objectif de renforcement des contrôles des acheteurs publics, afin de garantir la transparence des procédures et le respect des principes de liberté d’accès et d’égalité de traitement des candidats.

Lexing Alain Bensoussan Avocats
Lexing Droit Marchés publics

1. L. 2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite Loi Sapin 2.
2. Dir. 2014/24/UE du Parlement européen et du Conseil du 26-2-2014 sur la passation des marchés publics
3. Dir. 2014/25/UE du Parlement européen et du Conseil du 26-2-2014 relative à la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux
4. Ord. 2015-899 du 23-7-2015 relative aux marchés publics.
5. Ord. 2016-65 du 29-1-2016 relative aux contrats de concession.




Loi Sapin 2 : une meilleure protection des consommateurs

Loi Sapin 2 : une meilleure protection des consommateursLe projet de loi dit « Sapin 2 » a été adopté par l’Assemblée nationale en première lecture (1). Actuellement à l’état de

projet, ce texte a notamment pour ambition de participer à la modernisation de la vie économique et, grâce, entre autres mesures, à des initiatives en matière de protection des consommateurs et des épargnants (2).

Campagnes publicitaires pour des instruments financiers

A cette fin, le projet de loi Sapin 2 prévoit différentes mesures dont l’interdiction faite aux plateformes internet de réaliser des campagnes publicitaires qui proposent des instruments financiers potentiellement très risqués pour les particuliers. Cette mesure s’illustre comme l’un des aspects clé de mise en œuvre de cette ambition.

Cette mesure se justifie par les nombreuses plaintes déposées ces dernières années auprès de l’AMF de la part d’épargnants ayant réalisé des investissements sur des plateformes internet proposant des instruments financiers hautement spéculatifs, qui ont engendré pour 90% d’entre eux, des pertes d’argent significatives.

Les explications de l’AMF

L’AMF a mis en avant deux explications à cette situation que la loi Sapin 2 tente de maîtriser.

Tout d’abord, elle a révélé que plus de 9 clients sur 10 étaient perdants avec une perte moyenne de 10 000 euros sur 4 ans. En outre, l’impression selon laquelle les produits proposés étaient trop complexes pour des investisseurs non professionnels se confirme puisque les épargnants n’ont pas acquis, au fil des années, des connaissances leur permettant d’appréhender ces produits, et éviter alors les pertes d’argent (3).

Les services de l’AMF ont par ailleurs constaté une forte présence des communications à caractère promotionnel sur internet pour ces instruments financiers, et les plaintes des particuliers mettent souvent en avant le rôle de ces communications à caractère promotionnel dans leur premier contact avec les plateformes distribuant ces instruments financiers.

La loi Sapin 2 à la recherche d’un autre mécanisme

Compte tenu des lacunes du dispositif légal actuel ne permettant pas d’éviter des pertes répétées et importantes aux clients non-professionnels, la loi Sapin 2 cherche un autre mécanisme destiné à limiter l’exposition de ces clients à ces produits, d’autant plus que la directive 2014-65-UE (4) autorise les États membres à prendre des mesures additionnelles de protection des investisseurs en cas de circonstances exceptionnelles faisant porter des risques sur les investisseurs.

Dès lors, l’interdiction de toute information à caractère promotionnel pour des instruments financiers à risque s’est imposée au regard de l’ampleur des plaintes enregistrées par l’AMF et leur forte progression.

Définition du démarchage

Rappelons que l’article L.341-1 du Code monétaire et financier définit la notion de démarchage comme « toute prise de contact non sollicitée, par quelque moyen que ce soit, avec une personne physique ou une personne morale déterminée, en vue d’obtenir, de sa part, un accord ».

Par ailleurs, l’article L.341-10 du Code monétaire et financier dispose que le démarchage est interdit pour « les produits dont le risque maximum n’est pas au moment de la souscription ou pour lesquels le risque de perte est supérieur au montant de l’apport financier initial ».

Interdire la promotion d’instruments financiers

Il est donc cohérent d’interdire la promotion d’instruments financiers hautement spéculatifs qui font déjà l’objet d’interdiction de démarchage.

En conséquence, le projet de loi Sapin 2 aménage l’article L.533-12-1 du Code monétaire et financier en ces termes :

« Les prestataires de services d’investissement ne peuvent adresser directement ou indirectement, par voie électronique, des communications à caractère promotionnel à des clients non-professionnels, notamment des clients potentiels, relatives à la fourniture de services d’investissement portant sur des contrats financiers qui ne sont pas admis aux négociations sur un marché réglementé ou un système multilatéral de négociation, relevant de l’une des catégories de contrats définies par le règlement général de l’Autorité des marchés financiers et présentant l’une des caractéristiques suivantes :

  • le risque maximum n’est pas connu au moment de la souscription ;
  • le risque de perte est supérieur au montant de l’apport financier initial ;
  • le risque de perte rapporté aux avantages éventuels correspondants n’est pas raisonnablement compréhensible au regard de la nature particulière du contrat financier proposé ».
Interdiction contrôlé par deux autorités administratives

Le respect de cette interdiction sera contrôlé par deux autorités administratives qui réguleront chacune le domaine qui lui est propre. Ainsi, la régulation sera assurée conjointement par l’Autorité des marchés financiers qui a été désignée comme l’autorité de mise en œuvre de la mesure et l’Autorité de régulation des professionnels de la publicité qui veillera, dans le cadre de ses missions, au bon respect de la mise en œuvre de cette interdiction par les régies publicitaires.

Le Conseil d’état a validé ce mécanisme puisqu’il a estimé que « ces dispositions, certes susceptibles d’affecter le principe constitutionnel de liberté d’entreprendre et, le cas échéant, de porter atteinte, dans son exercice, au droit de propriété, n’instituaient pas une interdiction générale et absolue, dès lors que leur champ d’application était nettement circonscrit » (5).

Les dispositions envisagées devront néanmoins faire l’objet d’une notification auprès de la Commission européenne, conformément à l’article 24, paragraphe 12, de la directive 2014-65-UE. De surcroît, au niveau européen, la directive sur les marchés d’instruments financiers applicable à compter du 3 janvier 2018 permettra à chaque superviseur national d’interdire sur son territoire la commercialisation de produits financiers qu’il juge dangereux (6).

Réduction de la durée de validité du chèque

Parallèlement, le projet de loi Sapin 2 participe également à la protection des consommateurs et des investisseurs en réduisant la durée de validité du chèque à 6 mois (7).

Ce dispositif de protection du consommateur est justifié par la volonté de réduire, notamment l’incertitude liée au délai d’encaissement du chèque.

En effet, la conséquence juridique de l’émission d’un chèque est de transférer immédiatement la provision de l’émetteur au porteur. Dès lors, l’émetteur du chèque doit provisionner son compte à hauteur au moins du montant du chèque émis, au risque d’être sanctionné pénalement pour défaut de provision (8).

Cette mesure résulte des recommandations formulées dans le cadre de la consultation conduite en 2015 qui a permis l’expression des représentants des utilisateurs.

Entrée en vigueur

Le projet de loi Sapin 2 devrait entrer en vigueur le 1er juillet 2017.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) Projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. AN, Dossier législatif.
(2) Discours de Michel Sapin devant la commission des lois, des finances, et des affaires économiques le 21-6-2016.
(3) Rapport de l’AMF.
(4) Directive 2014-65-UE concernant les marchés d’instruments financiers du 15-6-2014, art. 24 paragraphe 12.
(5) Avis du Conseil d’état sur un projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
(6) Directive MIFID II 2016-65-CE.
(7) Modification de l’article L.131-59 du Code monétaire et financier.
(8) Article L.131-78 du Code monétaire et financier, article L.163-2 du Code monétaire et financier.




Alertes professionnelles : nouveau champ d’application de l’AU-004

Alertes professionnelles : nouveau champ d’application de l’AU-004Alertes professionnelles – La Cnil vient de modifier son autorisation unique  relative aux dispositifs d’alertes professionnelles. Egalement désignés sous le terme de dispositifs de « whistleblowing », ce sont des dispositifs mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme,

à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

Ces dispositifs prennent généralement la forme de traitements de données à caractère personnel, et sont donc soumis aux dispositions applicables en matière de protection des données à caractère personnel. En outre, ces traitements, en ce qu’ils sont susceptibles d’exclure une personne d’un droit, d’un contrat ou d’une prestation (par exemple, contrat de travail), sont soumis à un régime d’autorisation préalable de la Cnil pour pouvoir être mis en œuvre.

Dans la mesure où ces dispositifs sont imposés par certains textes, la Cnil a élaboré, dès 2005, une autorisation unique pour ce type de traitements à l’attention des organismes publics ou privés mettant en œuvre un tel dispositif d’alertes professionnelles et répondant à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation visait notamment à encadrer les traitements d’alertes professionnelles mis en œuvre par les entreprises françaises soumises la section 301 de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002.

Elle a ensuite été modifiée en 2010 pour inclure dans son champ d’application les dispositifs d’alertes professionnelles visant à lutter contre les pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ».

Cette autorisation unique vient à nouveau d’être modifiée afin de tenir compte des pratiques des entreprises visant à utiliser les dispositifs d’alertes professionnelles dans des domaines de plus en plus étendus (Délib. 2014-042 du 30-1-2014). L’autorisation unique est donc désormais applicable aux domaines suivants :

  • la lutte contre les discriminations et le harcèlement au travail ;
  • la santé, l’hygiène et la sécurité au travail ;
  • la protection de l’environnement.

Par ailleurs, cette nouvelle autorisation unique ne vise plus uniquement les dispositifs d’alertes professionnelles mis en œuvre pour répondre à une obligation légale mais également ceux déployés pour répondre à un intérêt légitime.

En outre, si la Cnil a toujours précisé de manière expresse que les organismes ne devaient pas inciter les alertes anonymes, elle vient par cette nouvelle délibération ajouter une condition à la prise en compte de telles alertes. En effet, outre le fait que le traitement des alertes anonymes doit s’entourer de précautions particulières, telles qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif, la Cnil ajoute dans sa dernière délibération qu’une telle alerte ne peut être traitée qu’à condition que la gravité des faits soit établie et que les éléments factuels soient suffisamment détaillées.

Les autres dispositions de cette autorisation unique, notamment s’agissant des données pouvant être traitées, des destinataires des données ou encore des durées de conservation mais également de l’information des personnes concernées (à savoir information des utilisateurs du dispositif mais aussi des personnes faisant l’objet d’une alerte professionnelle), demeurent inchangées.

En tout état de cause, cette nouvelle autorisation « alertes professionnelles » doit être l’occasion pour les organismes mettant en œuvre ce type de dispositifs d’effectuer un audit de leurs pratiques en la matière afin de vérifier s’ils se conforment à cette autorisation unique. Dans l’affirmative, il conviendra de s’assurer qu’un engagement de conformité à l’AU-004 a bien été effectué et de régulariser la situation si tel n’est pas le cas. A défaut d’une stricte conformité avec cette autorisation unique, une demande d’autorisation normale devra être effectuée auprès de la Cnil, étant rappelé que le manquement à l’obligation d’effectuer des formalités adéquates auprès de la Cnil préalablement à la mise en œuvre d’un traitement est pénalement sanctionné.

Céline Avignon
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés




Suspension judiciaire d’un dispositif d’alerte professionnelle

dispositif d’alerte professionnellePar arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle.

La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite.

Les limitations d’un dispositif d’alerte professionnelle

Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance.

Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version.

Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français.

L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle

A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles.

Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale.

Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés.

Un dispositif d’alerte professionnelle pas assez encadré

Cependant, en l’espèce, et alors même que :

  • le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ;
  • des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ;
  • les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ;
  • le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ;

les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement.

La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante.

Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée.

CA Caen 23-09-2011 n° 09-00287




La Cnil met à jour la délibération sur les dispositifs d’alertes professionnelles

La Cnil vient de modifier le champ d’application de l’autorisation unique n°AU-004 relative aux dispositifs d’alertes professionnelles, afin de tenir compte de la décision de la Cour de Cassation du 8 décembre 2009, qui avait mis en lumière les difficultés d’interprétation de certains articles de l’autorisation unique. Rappelons qu’à la suite de la réglementation américaine Sarbanes-Oxley, de nombreuses sociétés internationales opérant au sein de l’Union européenne ont souhaité mettre en placeun système de collecte d’informations nominatives relatives à des comportements anormaux (« whistleblowing »).

De telles lignes sont organisées selon des schémas différents, desquels il ressort néanmoins les invariants comme un numéro de téléphone ou une adresse mél, un interlocuteur unique (directeur éthique, déontologue, contrôleur général), un processus de fichage manuel ou automatique selon la taille de l’organisme et la centralisation retenue et une procédure d’enquête associée à un code de bonne conduite ou à une charte.

Les dispositifs d’alertes professionnelles mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toute disposition législative ou réglementaire. Dès lors, la Cnil considère que de tels dispositifs constituent des traitements relevant de l’article 25, I-4o de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la Cnil. Elle a, par délibération du 8 décembre 2005, adopté l’autorisation unique n° 004 relative aux dispositifs d’alertes professionnelles qui vise notamment « les domaines financier, comptable, bancaire et de lutte contre la corruption ».

L’article 3 de l’autorisation unique n° AU-004 du 8 décembre 2005 prévoyait que « Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l’organisme concerné lorsque l’intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu ». Une majorité d’entreprises pensait s’être mise en conformité en ayant adhéré à l’autorisation unique n° 4 qui englobe dans le champ d’application les cas de mise en jeu de l’intérêt vital de l’entreprise ou de l’intégrité physique ou morale de ses employés, que les remontées puissent être faites de manière anonyme ou non (art. 3).

La Cour de cassation est venue affirmer, le 8 décembre 2009, que « le champ d’application de l’autorisation unique ne peut avoir une autre finalité que celle définie à son article 1 que les dispositions de l’article 3 n’ont pas pour objet de modifier ». A cette occasion, la Cour de cassation a rappelé que la mise en œuvre d’un dispositif d’alertes professionnelles, faisant l’objet d’un engagement de conformité à l’autorisation unique, devait se limiter aux seuls domaines comptable, financier et de lutte contre la corruption définis à l’article 1er et que l’article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d’alertes, tels que prévus par l’autorisation unique.

Cet arrêt ayant mis en lumière les difficultés d’interprétation de certains articles de la AU 004, a conduit la Cnil, après avoir auditionné les principaux acteurs concernés par les dispositifs d’alertes (organisations syndicales, institutions publiques, groupes internationaux, etc.), à modifier son autorisation unique. La Cnil, dans sa nouvelle rédaction de l’autorisation unique du 14 octobre 2010, clarifie l’article 3 et fait preuve d’une interprétation restrictive de l’arrêt de la Cour de cassation en :

  • élargissant l’ancien article 1er de l’autorisation unique à la loi japonaise dite « Japanese SOX » et aux traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné ;
  • supprimant du champs d’application de l’autorisation unique les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés.

Par ailleurs, la Cnil donne aux responsables de traitements un délai de 6 mois (soit jusqu’au 8 juin 2011) pour mettre en conformité leurs dispositifs d’alertes professionnelles à la réglementation Informatique et libertés. Les dispositifs qui n’entrent pas dans le champs d’application de la nouvelle AU 004, tels que ceux qui couvrent les domaines de la discrimination notamment, devront donc faire l’objet d’une demande d’autorisation normale auprès de la Cnil. Il est conseillé d’accompagner cette demande d’autorisation d’un dossier présentant de manière détaillée les fondamentaux techniques, juridiques et sécuritaires à l’appui de la demande d’autorisation.

Cnil, Délibération 2010-369 du 14 10 2010

Cass. soc. 8 décembre 2009 n°08-17191

Chloé Torres, L’Usine nouvelle, 13 février 2011




Les dispositifs d’alerte professionnelle modifiés

La Cnil modifie le champ d’application de l’autorisation unique N°AU-004, afin de tenir compte de la décision de la Cour de Cassation du 8 décembre 2009 qui avait mis en lumière les difficultés d’interprétation de certains articles de l’autorisation unique. Dans sa nouvelle rédaction du 14 octobre 2010, la Cnil supprime de son champs d’application, les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés. Les responsables de traitements ont un délai de 6 mois (soit jusqu’au 14 avril 2011) pour mettre en conformité leurs dispositifs d’alertes professionnelles à la réglementation Informatique et libertés.

« Par un arrêt n° 2524 du 8 décembre 2009, la chambre sociale de la Cour de cassation a mis en lumière les difficultés d’interprétation de certaines dispositions de l’autorisation unique n° AU-004, en particulier ses articles 1er et 3… A cette occasion, la Cour de cassation a rappelé que la mise en œuvre d’un dispositif d’alerte professionnelle, faisant l’objet d’un engagement de conformité à l’autorisation unique, devait se limiter aux seuls domaines comptables, financiers et de lutte contre la corruption définis à l’article 1er et que l’article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d’alerte tels que prévus par l’autorisation unique… Par ailleurs, depuis 2005, la commission a eu l’occasion d’autoriser à de nombreuses reprises, dans le cadre du régime d’autorisation spécifique, des dispositifs d’alerte élargis aux pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise dite « Japanese SOX »… Dans ce contexte, il est apparu nécessaire à la commission de clarifier son autorisation unique.. »

« Conformément à l’article 7 (5°) de la loi du 6 janvier 1978 modifiée, entrent également dans le champ de la présente décision :

? les traitements mis en œuvre dans les domaines précités par les entreprises concernées par la section 301 (4) de la loi américaine dite « Sarbanes-Oxley” du 31 juillet 2002, ainsi que par la loi japonaise « Financial Instrument and Exchange Act” du 6 juin 2006 dite « Japanese SOX” ;

? les traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné. »

Délibération n° 2010-369 de la Cnil du 14 octobre 2010 modifiant l’autorisation unique n° 2005-305 du 8 décembre 2005 n° AU-004
(JORF n°0284 du 8 décembre 2010 texte n° 95)

Autorisation unique n° AU-004 relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle
(modifiée)

Cass. soc. 08-12-2009 pourvoi n° 08-17.191 Fédération des travailleurs de la métallurgie c/ Dassault systèmes – Dispositifs d’alerte professionnelle

Loi américaine du 31 juillet 2002 : Sarbanes-Oxley Act of 2002 (107th Congress Public Law No 107-204).

Loi japonaise « Financial Instrument and Exchange Act” du 6 juin 2006.




L'annulation d’un dispositif d’alerte professionnelle

Droit social
Chartes d’éthique

Annulation d’un dispositif d’alerte professionnelle pour non conformité

En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ».

Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites.

TGI Nanterre, 19/10/2007 RG n°06/06460

(Mise en ligne Octobre 2007)




Alerte professionnelle:la Cnil circonscrit l’autorisation unique

Informatique et libertés

Ligne éthique

Alerte professionnelle : la Cnil va restreindre l’autorisation unique

Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel.

La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4.

La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil.

Cnil, Communiqué du 27 01 2010




Alerte professionnelle : la Cnil limite l’autorisation unique

Actualité

Alerte professionnelle : la Cnil va restreindre l’autorisation unique

Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel.

La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4.

La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil.

Cnil, Communiqué du 27 01 2010

(Mise en ligne Février 2010)

Chloé Torrès

Avocate, Directrice du département Informatique & libertés




dispositif d’alerte professionnelle non conforme

Informatique et libertés

Ligne éthique

Annulation d’un dispositif d’alerte professionnelle pour non conformité

En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ».

Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites.

TGI Nanterre, 19 octobre 2007 RG n°06/06460

(Mise en ligne Octobre 2007)