Contrôle des salariés

Informatique et libertés

Nouvelles précisions sur les alertes professionnelles

Autorisation de la CNIL

Autorisation préalable. - L'employeur qui souhaite mettre en place un dispositif d'alertes, dans le cadre d'un traitement automatisé, doit le soumettre à l'autorisation préalable de la CNIL (voir RF Social, Revue d'actualité 50, p. 33 ; FAQ sur les dispositifs d'alertes professionnelles, www.cnil.fr).

Dispositifs non autorisés. - Les dispositifs d'alertes à portée générale et indifférenciée, comme par exemple ceux destinés à garantir à la fois le respect des règles légales, du règlement intérieur et des règles internes de conduite professionnelle, ne sont pas autorisés par la CNIL. Ces systèmes peuvent en effet entraîner des mises en cause abusives ou disproportionnées de l'intégrité professionnelle, voire personnelle des salariés concernés.

Respect de la loi informatique et libertés

Pour tous les fichiers. - Si les alertes sont gérées de manière non automatisée, les garanties relatives au traitement des données personnelles, prévues par la loi informatique et libertés, s'appliquent quand même (ex. : obligation d'assurer la confidentialité des données). Peu importe donc que les alertes soient traitées via des fichiers informatisés ou des fichiers papier. Une différence notable toutefois : c'est seulement pour les systèmes d'alerte traités de façon automatisée que l'autorisation préalable de la CNIL est requise.

Pour les alertes collectées à l'étranger. - La mise en place d'alertes peut être imposée par la maison-mère du groupe établie à l'étranger. Pour la CNIL, une organisation de la collecte des alertes à l'étranger n'exclut pas l'application de la loi informatique et libertés pour la société implantée en France. C'est elle qui est considérée comme le responsable du traitement en cause. Il lui appartient donc, par exemple, d'organiser le traitement des données lors de la vérification des faits réalisée en son sein.

Conditions de mise en œuvre

Ne pas imposer les alertes. - L'employeur ne peut pas imposer à ses salariés l'utilisation du dispositif d'alerte. Il ne peut que les y inciter.

Informer les salariés. - L'employeur doit informer les utilisateurs potentiels sur les modalités du dispositif d'alerte (nom du responsable, destinataires des données, etc.). Il doit aussi leur faire connaître le champ des alertes.

La CNIL propose la rédaction suivante : « le dispositif d'alerte est ouvert aux employés qui souhaitent faire part, au-delà des conditions habituelles de remontée d'informations (ex : voie hiérarchique, représentants du personnel), de faits susceptibles d'être contraires aux règles applicables en matière financière, de contrôle des comptes et de lutte contre la corruption. Si l'intérêt vital de l'entreprise est menacé dans d'autres domaines ou si l'intégrité physique ou morale de ses employés est en jeu, les faits pourront être, compte tenu de leur gravité, réorientés vers les personnes compétentes au sein de l'entreprise. Aucun autre type d'alerte ne peut être réalisé par ce dispositif ».

Définir le champ des alertes. - En principe, seuls des faits se rapportant à des risques sérieux pour l'entreprise dans les domaines comptable, d'audit financier, de lutte contre la corruption ou bancaire peuvent être recueillis et enregistrés (ex. : dysfonctionnements comptables et de contrôle des comptes, fraude fiscale, emplois fictifs). Toutefois, des faits ne relevant pas de ce champ peuvent aussi être pris en compte en fonction de leur particulière gravité. Les faits mettant en jeu l'intérêt vital de l'entreprise ou l'intégrité physique ou morale de ses employés sont considérés comme graves (ex. : mise en danger d'un autre employé, harcèlement moral et/ou sexuel, discriminations, atteinte grave à l'environnement ou à la santé publique, divulgation d'un secret de fabrique, risque grave pour la sécurité informatique de l'entreprise).

Fonctionnement

Recourir à un prestataire. - L'entreprise peut faire appel à un prestataire extérieur pour recueillir les alertes dans la mesure où ce prestataire s'engage notamment à respecter les règles de protection des données. Il n'est pas nécessaire que l'employeur informe les salariés qu'il a sous-traité la gestion des alertes.

Communiquer les alertes à une autre société. - Les alertes peuvent être communiquées à une autre société du groupe auquel appartient l'entreprise française concernée. Toutefois, cette communication n'est légitime que si elle est nécessaire à la vérification de l'alerte ou si elle résulte de l'organisation même du groupe.

Une communication est nécessaire à la vérification de l'alerte si celle-ci met en cause un organe de direction de l'entreprise concernée ou encore si les faits rapportés sont d'une gravité telle que, s'ils s'avèrent fondés, ils pourraient avoir des conséquences sur la société-mère comme dans le cas d'un scandale financier.

Traiter une alerte anonyme. - En principe, l'entreprise doit favoriser les alertes identifiées. Exceptionnellement, les alertes anonymes peuvent quand même être recueillies si elles sont ensuite traitées avec des précautions particulières (ex. : faire apparaître clairement lors de la transmission de l'alerte son caractère anonyme, identifier les faits plutôt que la personne mise en cause).

Gérer les droits d'accès. - L'employeur doit, sauf demandes manifestement abusives (ex. : en raison de leur nombre), fournir au salarié qui fait jouer son droit d'accès une copie des documents sur lesquels apparaissent les données à caractère personnel le concernant (une simple retranscription de ces données suffit). Il ne peut faire cette communication qu'une fois que la décision est prise de poursuivre ou non la personne mise en cause par l'alerte.