Contexte 

• Avec la multiplication des obligations imposées aux entreprises en matière de transparence financière, la CNIL avait publié le 8 décembre 2005 une autorisation unique (n°AU-004) permettant de mettre en place un dispositif d'alerte professionnelle sur simple engagement de conformité à une autorisation unique.
• Plus de 1600 entreprises ont bénéficié de cette procédure simplifiée. 
• En principe, ces dispositifs ne devaient couvrir que les alertes relatives aux domaines financier, comptable, bancaire, et à la lutte contre la corruption (article 1er). 
• La CNIL laissait néanmoins une certaine marge de manœuvre aux organismes en acceptant qu'elles puissent recueillir et réorienter les alertes relatives à d'autres domaines "lorsque l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés est en jeu" (article 3). 
• Par un arrêt du 8 décembre 2009, la Cour de cassation a censuré cette tolérance en imposant aux entreprises de rester dans le périmètre de l'article 1er.

Le nouveau périmètre de l'autorisation unique

Prenant acte de la décision de la Cour de Cassation et de l'expérience tirée des années passées, la CNIL a modifié son autorisation unique (délibération n°2010-369 du 14 octobre 2010, publiée au Journal Officiel le 8 décembre 2010). Elle précise ainsi les domaines pouvant faire l'objet d'une alerte professionnelle et les modalités d'archivage des alertes.

• Extension de l'autorisation unique au domaine de la concurrence

La CNIL ajoute à la liste des domaines visés dans son autorisation unique n°AU-004 la lutte contre les pratiques anticoncurrentielles. Ainsi, seuls les traitements répondant à une obligation législative ou règlementaire relative au contrôle interne dans les domaines financier, comptable, bancaire, en matière de lutte contre la corruption et, dorénavant, en matière de lutte contre les pratiques anticoncurrentielles, peuvent bénéficier de l'autorisation unique.
L'extension de l'autorisation au domaine des pratiques anticoncurrentielles était une demande de nombreuses entreprises et le résultat d'une réflexion menée par l'Autorité de la Concurrence (1).

• Extension de l'autorisation unique aux obligations issues de la Japanese Sox

Par ailleurs, la CNIL précise que l'obligation de mettre en place un système d'alerte peut découler non seulement de la loi française et de la loi américaine dite "Sarbanes Oxley" du 31 juillet 2002, mais aussi dorénavant de la loi japonaise "Financial Instrument and exchange Act" du 6 juin 2006 dite "Japanese Sox".

• Suppression de la marge de manœuvre de l'article 3

L'article 3 est modifié pour tenir compte de l'arrêt de la Cour de Cassation.

Dorénavant, les alertes relatives à des faits qui mettent en jeu l'intérêt vital de la société ou l'intégrité physique ou morale des employés devront passer pas les voies hiérarchiques habituelles, les ressources humaines ou encore les représentants syndicaux.

• Les précisions de la CNIL en matière de durée de conservation

La CNIL profite également de cette occasion pour préciser les modalités d'archivage des données : le responsable du traitement doit détruire ou archiver les données relatives à une alerte dans un délai de deux mois lorsque celle-ci n'est pas suivie d'une procédure disciplinaire ou judiciaire, y compris dorénavant lorsque certaines données n'ont pas fait l'objet de vérifications.

Quelles conséquences pour les entreprises ?

• Dois-je procéder à une nouvelle déclaration de conformité ?

Il n'est pas nécessaire de procéder à nouveau à une déclaration de conformité.
Les entreprises concernées doivent en revanche mettre leur traitement en conformité avant le 8 juin 2011.

• Comment mettre le dispositif de whistleblowing en conformité ?

Les sociétés concernées doivent procéder à :
- la modification des règles applicables dans l'entreprise (par exemple : code d'éthique définissant le champ d'application du dispositif à l'intention des salariés, avenant au règlement intérieur, et/ou à la charte informatique) ;
 - la destruction sans délai des données déjà collectées n'entrant pas dans le champ du dispositif, c'est-à-dire lorsqu'elles sont relatives à des faits mettant en jeu l'intérêt vital de l'entreprise ou l'intégrité physique ou morale des salariés ;
- une mise-à-jour (le cas échéant) du système informatique afin que les domaines hors-champs ne puissent plus être traités ou que les alertes soient filtrées, et de manière à prendre en compte le nouveau champ des pratiques anticoncurrentielles ;
- l'intégration des nouvelles règles relatives à la conservation des données
- Dois-je informer à nouveau les employés et mon comité  d'entreprise ?

Dans le cas d'une mise à jour, il s'agira :

- d'informer les salariés sur le nouveau champ d'application en leur rappelant qu'ils doivent privilégier le recours aux voies classiques pour les domaines ne relevant pas de l'autorisation unique (voie hiérarchique, information des représentants syndicaux ou des services RH) ;
- de consulter les instances représentatives du personnel, et le cas échéant le comité d'hygiène de sécurité et des conditions de travail sur les nouvelles règles.
- Quid des prestataires externes ?

Dans le cas où le traitement a été confié à un prestataire externe, il conviendra de l'informer de cette mise-à-jour, de s'assurer que celui-ci respecte les nouvelles règles applicables et d'obtenir une garantie sur la conformité de ses services à ces règles.

Olivier Menant, Avocat du cabinet Herbert Smith