La loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin II », introduit un régime général pour les dispositifs d’alerte professionnelle et la protection des lanceurs d’alerte.

Rappelons qu’une alerte professionnelle ou whistleblowing est un ensemble d’ « outils mis à la disposition des salariés leur permettant de signaler des problèmes pouvant sérieusement affecter l’activité d’une entreprise ou engager gravement sa responsabilité » (définition de la Commission nationale de l’informatique et des libertés). La loi dite « Sapin II » a une définition plus large des dispositifs d’alertes professionnelles dans la mesure où les personnes extérieures à l’organisme peuvent également signaler un dysfonctionnement ou une violation.

L’article 6 de la loi dite « Sapin II » définit le lanceur d’alerte comme «  une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ». Ainsi, les personnes morales ne peuvent être des lanceurs d’alerte et la loi impose une obligation de bonne foi.

Mathias Avocats revient sur les dispositions relatives à l’alerte professionnelle et son articulation avec les dispositions relatives au traitement des données à caractère personnel.

Les différents dispositifs d’alerte professionnelle

La loi dite « Sapin II » introduit trois dispositifs indépendants d’alerte professionnelle :

  • Article 8 relatif à la protection des lanceurs d’alerte. Les personnes morales de droit public ou de droit privé d’au moins 50 salariés, y compris les communes de plus de 10 000 habitants, les administrations de l’Etat, les établissements publics de coopération intercommunale à fiscalité propre, les départements et les régions doivent mettre en place un dispositif d’alerte professionnelle pour les membres de leur personnel et les collaborateurs extérieurs et occasionnels. Ce dispositif doit « inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à ce dernier des comportements
    [estimés] contraires aux règles applicables » et organiser la vérification de l’alerte ainsi recueillie. Un tel dispositif doit être mis en place au plus tard le 1er janvier 2018.
  • Article 16 relatif au signalement des manquements professionnels aux autorités de contrôle compétentes et protection des lanceurs d’alerte. L’Autorité des marchés financiers et l’Autorité de contrôle prudentiel et de résolution sont tenues de mettre en place des procédures internes d’alerte permettant qu’il leur soit signalé tout manquement aux obligations définies par les règlements européens et par le présent code ou le règlement général de l’Autorité des marchés financiers. Les procédures internes devront également être mises en place le plus tard le 1er janvier 2018.
  • Article 17 relatif aux autres mesures de lutte contre la corruption et divers manquements à la probité. Il impose aux dirigeants d’entreprise du secteur privé et du secteur public employant « au moins cinq cents salariés ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins cinq cents salariés, et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros » de mettre en place un programme de conformité anti-corruption et anti-trafic d’influence. Les employés doivent pouvoir signaler tout fait de corruption ou de trafic d’influence. L’article 17 est entré en vigueur le 1er juin 2017 et les établissements et personnes concernées aurait déjà dû mettre en place les procédures nécessaires. Cette alerte s’inscrit au sein d’une série de mesures allant de l’élaboration d’un code de conduite, à la cartographie des risques avec la mise en place de procédures de contrôle et d’évaluations interne des mesures mises en œuvre, aux dispositifs de formation destinés aux cadres et aux personnels les plus exposés aux risques de corruption et de trafic d’influence.

En vertu de l’article 9 de la loi dite « Sapin II », le dispositif d’alerte professionnelle doit assurer une stricte confidentialité de l’identité des émetteurs du signalement, des personnes qu’il vise et des informations recueillies à cette occasion. Le non-respect de ce principe de confidentialité est puni de 2 ans d’emprisonnement et de 30 000 euros d’amende. Toutefois, l’émetteur du signalement doit être identifiable afin d’éviter les dénonciations calomnieuses.

En outre, le dispositif d’alerte professionnelle doit être complémentaire des procédures internes déjà existantes au sein de l’organisme. L’utilisation de ce dispositif d’alerte demeurant facultative.

Il convient de souligner que dans le cadre du dispositif d’alerte professionnelle, un traitement de données à caractère personnel est mis en oeuvre.  A ce titre, le traitement d’une alerte professionnelle doit être conforme à la réglementation relative à la protection des données.

Formalités préalables auprès de la Cnil : l’autorisation unique modifiée

Les dispositifs d’alerte professionnelle font l’objet d’une autorisation unique issue de la délibération n°2005-305 du 8 décembre 2005 de la Cnil. Elle vient d’être récemment modifiée par la délibération n°2017-191 du 22 juin 2017.

La Cnil a étendu le périmètre de l’AU-004, prenant en compte la loi « Sapin II ». Désormais, les finalités de traitement des données sont largement définies (signalement du crime, d’un délit, d’une violation grave et manifeste d’un engagement international…). Elle ne fait aucune distinction entre les trois dispositifs indépendants introduits par la loi dite « Sapin II » et ne se limite plus aux salariés ou membre du personnel interne à l’organisme.

Cependant, tout signalement de faits couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client est exclu.

L’identité de l’émetteur du signalement et les informations recueillies lors de ce dernier doivent être tenues confidentielles. Les éléments de nature à identifier l’émetteur de l’alerte pourront être divulgués à l’autorité judiciaire avec son consentement.

Les catégories de données qui peuvent être traitées dans le cadre de l’AU-004 sont toujours limitées aux données suivantes :

  • l’identité les fonctions et les coordonnées de l’émetteur de l’alerte professionnelle ;
  • l’identité les fonctions et les coordonnées de la personne faisant l’objet d’une alerte ;
  • l’identité les fonctions et les coordonnées des personnes innervant dans le recueil ou le traitement de l’alerte ;
  • les faits signalés et les éléments recueillis dans le cadre de la vérification de ces faits ;
  • compte rendu des opérations de vérification ;
  • suites données à l’alerte professionnelle.

La délibération n°2017-191 de la Cnil n’a pas étendu le champ des destinataires des données à caractère personnel. Les signalements doivent être adressés au supérieur hiérarchique direct ou indirect, à l’employeur ou à son référant.

Que retenir ?

L’engagement de conformité à l’AU-004 modifiée ne suffit pas pour garantir la conformité du traitement mis en oeuvre. En effet, dans la perspective de l’application du Règlement général sur la protection des données, il conviendra de démontrer l’effectivité de la procédure mise en place et sa conformité en matière de protection des données (respect de la confidentialité, mesures de sécurité, respect des droits des personnes…).