Loi Sapin 2 : une meilleure protection des consommateurs

Loi Sapin 2 : une meilleure protection des consommateursLe projet de loi dit « Sapin 2 » a été adopté par l’Assemblée nationale en première lecture (1). Actuellement à l’état de

projet, ce texte a notamment pour ambition de participer à la modernisation de la vie économique et, grâce, entre autres mesures, à des initiatives en matière de protection des consommateurs et des épargnants (2).

Campagnes publicitaires pour des instruments financiers

A cette fin, le projet de loi Sapin 2 prévoit différentes mesures dont l’interdiction faite aux plateformes internet de réaliser des campagnes publicitaires qui proposent des instruments financiers potentiellement très risqués pour les particuliers. Cette mesure s’illustre comme l’un des aspects clé de mise en œuvre de cette ambition.

Cette mesure se justifie par les nombreuses plaintes déposées ces dernières années auprès de l’AMF de la part d’épargnants ayant réalisé des investissements sur des plateformes internet proposant des instruments financiers hautement spéculatifs, qui ont engendré pour 90% d’entre eux, des pertes d’argent significatives.

Les explications de l’AMF

L’AMF a mis en avant deux explications à cette situation que la loi Sapin 2 tente de maîtriser.

Tout d’abord, elle a révélé que plus de 9 clients sur 10 étaient perdants avec une perte moyenne de 10 000 euros sur 4 ans. En outre, l’impression selon laquelle les produits proposés étaient trop complexes pour des investisseurs non professionnels se confirme puisque les épargnants n’ont pas acquis, au fil des années, des connaissances leur permettant d’appréhender ces produits, et éviter alors les pertes d’argent (3).

Les services de l’AMF ont par ailleurs constaté une forte présence des communications à caractère promotionnel sur internet pour ces instruments financiers, et les plaintes des particuliers mettent souvent en avant le rôle de ces communications à caractère promotionnel dans leur premier contact avec les plateformes distribuant ces instruments financiers.

La loi Sapin 2 à la recherche d’un autre mécanisme

Compte tenu des lacunes du dispositif légal actuel ne permettant pas d’éviter des pertes répétées et importantes aux clients non-professionnels, la loi Sapin 2 cherche un autre mécanisme destiné à limiter l’exposition de ces clients à ces produits, d’autant plus que la directive 2014-65-UE (4) autorise les États membres à prendre des mesures additionnelles de protection des investisseurs en cas de circonstances exceptionnelles faisant porter des risques sur les investisseurs.

Dès lors, l’interdiction de toute information à caractère promotionnel pour des instruments financiers à risque s’est imposée au regard de l’ampleur des plaintes enregistrées par l’AMF et leur forte progression.

Définition du démarchage

Rappelons que l’article L.341-1 du Code monétaire et financier définit la notion de démarchage comme « toute prise de contact non sollicitée, par quelque moyen que ce soit, avec une personne physique ou une personne morale déterminée, en vue d’obtenir, de sa part, un accord ».

Par ailleurs, l’article L.341-10 du Code monétaire et financier dispose que le démarchage est interdit pour « les produits dont le risque maximum n’est pas au moment de la souscription ou pour lesquels le risque de perte est supérieur au montant de l’apport financier initial ».

Interdire la promotion d’instruments financiers

Il est donc cohérent d’interdire la promotion d’instruments financiers hautement spéculatifs qui font déjà l’objet d’interdiction de démarchage.

En conséquence, le projet de loi Sapin 2 aménage l’article L.533-12-1 du Code monétaire et financier en ces termes :

« Les prestataires de services d’investissement ne peuvent adresser directement ou indirectement, par voie électronique, des communications à caractère promotionnel à des clients non-professionnels, notamment des clients potentiels, relatives à la fourniture de services d’investissement portant sur des contrats financiers qui ne sont pas admis aux négociations sur un marché réglementé ou un système multilatéral de négociation, relevant de l’une des catégories de contrats définies par le règlement général de l’Autorité des marchés financiers et présentant l’une des caractéristiques suivantes :

  • le risque maximum n’est pas connu au moment de la souscription ;
  • le risque de perte est supérieur au montant de l’apport financier initial ;
  • le risque de perte rapporté aux avantages éventuels correspondants n’est pas raisonnablement compréhensible au regard de la nature particulière du contrat financier proposé ».
Interdiction contrôlé par deux autorités administratives

Le respect de cette interdiction sera contrôlé par deux autorités administratives qui réguleront chacune le domaine qui lui est propre. Ainsi, la régulation sera assurée conjointement par l’Autorité des marchés financiers qui a été désignée comme l’autorité de mise en œuvre de la mesure et l’Autorité de régulation des professionnels de la publicité qui veillera, dans le cadre de ses missions, au bon respect de la mise en œuvre de cette interdiction par les régies publicitaires.

Le Conseil d’état a validé ce mécanisme puisqu’il a estimé que « ces dispositions, certes susceptibles d’affecter le principe constitutionnel de liberté d’entreprendre et, le cas échéant, de porter atteinte, dans son exercice, au droit de propriété, n’instituaient pas une interdiction générale et absolue, dès lors que leur champ d’application était nettement circonscrit » (5).

Les dispositions envisagées devront néanmoins faire l’objet d’une notification auprès de la Commission européenne, conformément à l’article 24, paragraphe 12, de la directive 2014-65-UE. De surcroît, au niveau européen, la directive sur les marchés d’instruments financiers applicable à compter du 3 janvier 2018 permettra à chaque superviseur national d’interdire sur son territoire la commercialisation de produits financiers qu’il juge dangereux (6).

Réduction de la durée de validité du chèque

Parallèlement, le projet de loi Sapin 2 participe également à la protection des consommateurs et des investisseurs en réduisant la durée de validité du chèque à 6 mois (7).

Ce dispositif de protection du consommateur est justifié par la volonté de réduire, notamment l’incertitude liée au délai d’encaissement du chèque.

En effet, la conséquence juridique de l’émission d’un chèque est de transférer immédiatement la provision de l’émetteur au porteur. Dès lors, l’émetteur du chèque doit provisionner son compte à hauteur au moins du montant du chèque émis, au risque d’être sanctionné pénalement pour défaut de provision (8).

Cette mesure résulte des recommandations formulées dans le cadre de la consultation conduite en 2015 qui a permis l’expression des représentants des utilisateurs.

Entrée en vigueur

Le projet de loi Sapin 2 devrait entrer en vigueur le 1er juillet 2017.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) Projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. AN, Dossier législatif.
(2) Discours de Michel Sapin devant la commission des lois, des finances, et des affaires économiques le 21-6-2016.
(3) Rapport de l’AMF.
(4) Directive 2014-65-UE concernant les marchés d’instruments financiers du 15-6-2014, art. 24 paragraphe 12.
(5) Avis du Conseil d’état sur un projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
(6) Directive MIFID II 2016-65-CE.
(7) Modification de l’article L.131-59 du Code monétaire et financier.
(8) Article L.131-78 du Code monétaire et financier, article L.163-2 du Code monétaire et financier.




Alertes professionnelles : nouveau champ d’application de l’AU-004

Alertes professionnelles : nouveau champ d’application de l’AU-004Alertes professionnelles – La Cnil vient de modifier son autorisation unique  relative aux dispositifs d’alertes professionnelles. Egalement désignés sous le terme de dispositifs de « whistleblowing », ce sont des dispositifs mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme,

à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

Ces dispositifs prennent généralement la forme de traitements de données à caractère personnel, et sont donc soumis aux dispositions applicables en matière de protection des données à caractère personnel. En outre, ces traitements, en ce qu’ils sont susceptibles d’exclure une personne d’un droit, d’un contrat ou d’une prestation (par exemple, contrat de travail), sont soumis à un régime d’autorisation préalable de la Cnil pour pouvoir être mis en œuvre.

Dans la mesure où ces dispositifs sont imposés par certains textes, la Cnil a élaboré, dès 2005, une autorisation unique pour ce type de traitements à l’attention des organismes publics ou privés mettant en œuvre un tel dispositif d’alertes professionnelles et répondant à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation visait notamment à encadrer les traitements d’alertes professionnelles mis en œuvre par les entreprises françaises soumises la section 301 de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002.

Elle a ensuite été modifiée en 2010 pour inclure dans son champ d’application les dispositifs d’alertes professionnelles visant à lutter contre les pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ».

Cette autorisation unique vient à nouveau d’être modifiée afin de tenir compte des pratiques des entreprises visant à utiliser les dispositifs d’alertes professionnelles dans des domaines de plus en plus étendus (Délib. 2014-042 du 30-1-2014). L’autorisation unique est donc désormais applicable aux domaines suivants :

  • la lutte contre les discriminations et le harcèlement au travail ;
  • la santé, l’hygiène et la sécurité au travail ;
  • la protection de l’environnement.

Par ailleurs, cette nouvelle autorisation unique ne vise plus uniquement les dispositifs d’alertes professionnelles mis en œuvre pour répondre à une obligation légale mais également ceux déployés pour répondre à un intérêt légitime.

En outre, si la Cnil a toujours précisé de manière expresse que les organismes ne devaient pas inciter les alertes anonymes, elle vient par cette nouvelle délibération ajouter une condition à la prise en compte de telles alertes. En effet, outre le fait que le traitement des alertes anonymes doit s’entourer de précautions particulières, telles qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif, la Cnil ajoute dans sa dernière délibération qu’une telle alerte ne peut être traitée qu’à condition que la gravité des faits soit établie et que les éléments factuels soient suffisamment détaillées.

Les autres dispositions de cette autorisation unique, notamment s’agissant des données pouvant être traitées, des destinataires des données ou encore des durées de conservation mais également de l’information des personnes concernées (à savoir information des utilisateurs du dispositif mais aussi des personnes faisant l’objet d’une alerte professionnelle), demeurent inchangées.

En tout état de cause, cette nouvelle autorisation « alertes professionnelles » doit être l’occasion pour les organismes mettant en œuvre ce type de dispositifs d’effectuer un audit de leurs pratiques en la matière afin de vérifier s’ils se conforment à cette autorisation unique. Dans l’affirmative, il conviendra de s’assurer qu’un engagement de conformité à l’AU-004 a bien été effectué et de régulariser la situation si tel n’est pas le cas. A défaut d’une stricte conformité avec cette autorisation unique, une demande d’autorisation normale devra être effectuée auprès de la Cnil, étant rappelé que le manquement à l’obligation d’effectuer des formalités adéquates auprès de la Cnil préalablement à la mise en œuvre d’un traitement est pénalement sanctionné.

Céline Avignon
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés




Suspension judiciaire d’un dispositif d’alerte professionnelle

dispositif d’alerte professionnellePar arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle.

La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite.

Les limitations d’un dispositif d’alerte professionnelle

Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance.

Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version.

Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français.

L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle

A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles.

Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale.

Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés.

Un dispositif d’alerte professionnelle pas assez encadré

Cependant, en l’espèce, et alors même que :

  • le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ;
  • des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ;
  • les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ;
  • le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ;

les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement.

La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante.

Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée.

CA Caen 23-09-2011 n° 09-00287




La Cnil met à jour la délibération sur les dispositifs d’alertes professionnelles

La Cnil vient de modifier le champ d’application de l’autorisation unique n°AU-004 relative aux dispositifs d’alertes professionnelles, afin de tenir compte de la décision de la Cour de Cassation du 8 décembre 2009, qui avait mis en lumière les difficultés d’interprétation de certains articles de l’autorisation unique. Rappelons qu’à la suite de la réglementation américaine Sarbanes-Oxley, de nombreuses sociétés internationales opérant au sein de l’Union européenne ont souhaité mettre en placeun système de collecte d’informations nominatives relatives à des comportements anormaux (« whistleblowing »).

De telles lignes sont organisées selon des schémas différents, desquels il ressort néanmoins les invariants comme un numéro de téléphone ou une adresse mél, un interlocuteur unique (directeur éthique, déontologue, contrôleur général), un processus de fichage manuel ou automatique selon la taille de l’organisme et la centralisation retenue et une procédure d’enquête associée à un code de bonne conduite ou à une charte.

Les dispositifs d’alertes professionnelles mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toute disposition législative ou réglementaire. Dès lors, la Cnil considère que de tels dispositifs constituent des traitements relevant de l’article 25, I-4o de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la Cnil. Elle a, par délibération du 8 décembre 2005, adopté l’autorisation unique n° 004 relative aux dispositifs d’alertes professionnelles qui vise notamment « les domaines financier, comptable, bancaire et de lutte contre la corruption ».

L’article 3 de l’autorisation unique n° AU-004 du 8 décembre 2005 prévoyait que « Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l’organisme concerné lorsque l’intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu ». Une majorité d’entreprises pensait s’être mise en conformité en ayant adhéré à l’autorisation unique n° 4 qui englobe dans le champ d’application les cas de mise en jeu de l’intérêt vital de l’entreprise ou de l’intégrité physique ou morale de ses employés, que les remontées puissent être faites de manière anonyme ou non (art. 3).

La Cour de cassation est venue affirmer, le 8 décembre 2009, que « le champ d’application de l’autorisation unique ne peut avoir une autre finalité que celle définie à son article 1 que les dispositions de l’article 3 n’ont pas pour objet de modifier ». A cette occasion, la Cour de cassation a rappelé que la mise en œuvre d’un dispositif d’alertes professionnelles, faisant l’objet d’un engagement de conformité à l’autorisation unique, devait se limiter aux seuls domaines comptable, financier et de lutte contre la corruption définis à l’article 1er et que l’article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d’alertes, tels que prévus par l’autorisation unique.

Cet arrêt ayant mis en lumière les difficultés d’interprétation de certains articles de la AU 004, a conduit la Cnil, après avoir auditionné les principaux acteurs concernés par les dispositifs d’alertes (organisations syndicales, institutions publiques, groupes internationaux, etc.), à modifier son autorisation unique. La Cnil, dans sa nouvelle rédaction de l’autorisation unique du 14 octobre 2010, clarifie l’article 3 et fait preuve d’une interprétation restrictive de l’arrêt de la Cour de cassation en :

  • élargissant l’ancien article 1er de l’autorisation unique à la loi japonaise dite « Japanese SOX » et aux traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné ;
  • supprimant du champs d’application de l’autorisation unique les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés.

Par ailleurs, la Cnil donne aux responsables de traitements un délai de 6 mois (soit jusqu’au 8 juin 2011) pour mettre en conformité leurs dispositifs d’alertes professionnelles à la réglementation Informatique et libertés. Les dispositifs qui n’entrent pas dans le champs d’application de la nouvelle AU 004, tels que ceux qui couvrent les domaines de la discrimination notamment, devront donc faire l’objet d’une demande d’autorisation normale auprès de la Cnil. Il est conseillé d’accompagner cette demande d’autorisation d’un dossier présentant de manière détaillée les fondamentaux techniques, juridiques et sécuritaires à l’appui de la demande d’autorisation.

Cnil, Délibération 2010-369 du 14 10 2010

Cass. soc. 8 décembre 2009 n°08-17191

Chloé Torres, L’Usine nouvelle, 13 février 2011




Les dispositifs d’alerte professionnelle modifiés

La Cnil modifie le champ d’application de l’autorisation unique N°AU-004, afin de tenir compte de la décision de la Cour de Cassation du 8 décembre 2009 qui avait mis en lumière les difficultés d’interprétation de certains articles de l’autorisation unique. Dans sa nouvelle rédaction du 14 octobre 2010, la Cnil supprime de son champs d’application, les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés. Les responsables de traitements ont un délai de 6 mois (soit jusqu’au 14 avril 2011) pour mettre en conformité leurs dispositifs d’alertes professionnelles à la réglementation Informatique et libertés.

« Par un arrêt n° 2524 du 8 décembre 2009, la chambre sociale de la Cour de cassation a mis en lumière les difficultés d’interprétation de certaines dispositions de l’autorisation unique n° AU-004, en particulier ses articles 1er et 3… A cette occasion, la Cour de cassation a rappelé que la mise en œuvre d’un dispositif d’alerte professionnelle, faisant l’objet d’un engagement de conformité à l’autorisation unique, devait se limiter aux seuls domaines comptables, financiers et de lutte contre la corruption définis à l’article 1er et que l’article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d’alerte tels que prévus par l’autorisation unique… Par ailleurs, depuis 2005, la commission a eu l’occasion d’autoriser à de nombreuses reprises, dans le cadre du régime d’autorisation spécifique, des dispositifs d’alerte élargis aux pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise dite « Japanese SOX »… Dans ce contexte, il est apparu nécessaire à la commission de clarifier son autorisation unique.. »

« Conformément à l’article 7 (5°) de la loi du 6 janvier 1978 modifiée, entrent également dans le champ de la présente décision :

? les traitements mis en œuvre dans les domaines précités par les entreprises concernées par la section 301 (4) de la loi américaine dite « Sarbanes-Oxley” du 31 juillet 2002, ainsi que par la loi japonaise « Financial Instrument and Exchange Act” du 6 juin 2006 dite « Japanese SOX” ;

? les traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné. »

Délibération n° 2010-369 de la Cnil du 14 octobre 2010 modifiant l’autorisation unique n° 2005-305 du 8 décembre 2005 n° AU-004
(JORF n°0284 du 8 décembre 2010 texte n° 95)

Autorisation unique n° AU-004 relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle
(modifiée)

Cass. soc. 08-12-2009 pourvoi n° 08-17.191 Fédération des travailleurs de la métallurgie c/ Dassault systèmes – Dispositifs d’alerte professionnelle

Loi américaine du 31 juillet 2002 : Sarbanes-Oxley Act of 2002 (107th Congress Public Law No 107-204).

Loi japonaise « Financial Instrument and Exchange Act” du 6 juin 2006.




L'annulation d’un dispositif d’alerte professionnelle

Droit social
Chartes d’éthique

Annulation d’un dispositif d’alerte professionnelle pour non conformité

En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ».

Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites.

TGI Nanterre, 19/10/2007 RG n°06/06460

(Mise en ligne Octobre 2007)




Alerte professionnelle:la Cnil circonscrit l’autorisation unique

Informatique et libertés

Ligne éthique

Alerte professionnelle : la Cnil va restreindre l’autorisation unique

Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel.

La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4.

La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil.

Cnil, Communiqué du 27 01 2010




Alerte professionnelle : la Cnil limite l’autorisation unique

Actualité

Alerte professionnelle : la Cnil va restreindre l’autorisation unique

Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel.

La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4.

La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil.

Cnil, Communiqué du 27 01 2010

(Mise en ligne Février 2010)

Chloé Torrès

Avocate, Directrice du département Informatique & libertés




dispositif d’alerte professionnelle non conforme

Informatique et libertés

Ligne éthique

Annulation d’un dispositif d’alerte professionnelle pour non conformité

En octobre 2007, le tribunal de grande instance de Nanterre a annulé un dispositif d’alerte professionnelle implémenté au sein d’un grand groupe en 2004, en faisant partiellement droit aux contestations de la fédération CGT de la métallurgie. Le tribunal a jugé que le dispositif d’alerte instauré n’était pas conforme aux dispositions des articles 6, 7, 32, 34 et 36 de la loi du 6 janvier 1978 et qu’il devait en conséquence être annulé. Il s’agissait de permettre à toute personne ayant connaissance d’un manquement sérieux aux principes décrits par le Code de bonne conduite du groupe en matière comptable, financière ou de lutte contre la corruption de signaler ce manquement aux personnes compétentes du groupe lorsqu’était mis en jeux « l’intérêt vital du groupe ou l’intégrité physique ou moral d’une personne ».

Le tribunal a considéré qu’en l’espèce, la notion de manquement grave lorsqu’est « mis en jeux l’intérêt vital du groupe » ou « l’intégrité physique ou moral d’une personne » apparaissait trop vaste. Rappelons qu’il résulte de l’article 7 de la loi Informatique et libertés que les dispositifs d’alerte ne peuvent être considérés comme légitimes que du fait de l’existence d’une obligation législative ou réglementaire imposant la mise en place de tels dispositifs ou du fait de l’intérêt légitime du responsable du traitement dès lors que celui-ci est établi et sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Les juges ont également considéré que le code de bonne conduite du groupe ne prévoyait ni une formation spéciale, ni une obligation renforcée de confidentialité des personnes chargées de recueillir et de traiter des alertes professionnelles pour préserver la sécurité des données recueillies. En outre, selon les articles 6 et 32 de la loi Informatique et libertés, la personne qui fait l’objet d’une alerte doit être informée par le responsable du dispositif, dès l’enregistrement de données la concernant afin de lui permettre de s’opposer au traitement de ces données, ce qui n’était pas prévu par le présent dispositif d’alerte. En conséquence, les données recueillies dans le cadre du dispositif d’alerte l’ont été illégalement et ont donc du être détruites.

TGI Nanterre, 19 octobre 2007 RG n°06/06460

(Mise en ligne Octobre 2007)