COMPLIANCE VS PROTECTION DES DONNEES



Documents pareils
Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Directive cadre du groupe. Protection des données des clients et des partenaires.

Extension de garantie Protection juridique

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

TABLE DES MATIÈRES CHAPITRE

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

CONDITIONS GENERALES

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

DROIT SOCIAL MISE A DISPOSITION DE PERSONNEL INTRA-GROUPE : ATTENTION AUX DELITS DE PRET ILLICITE DE MAIN D ŒUVRE ET DE MARCHANDAGE

Les données à caractère personnel

Code approuvé par l Assemblée Générale Ordinaire annuelle du 30 mai 2005

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

Décrets, arrêtés, circulaires

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

LEGAL FLASH I BUREAU DE PARIS

CHARTE D UTILISATION DU SITE

REGLEMENT GENERAL DU CONCOURS. Session 2015

Extension de garantie Protection juridique

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Partie 1 Identification. Partie 2 Déclaration. Section I Déclaration. Contrats publics DÉCLARATION Personne physique de niveau 2

PROGRAMME DE DROIT CPGE Économique et commerciale, option technologique (ECT)

L EVALUATION PROFESSIONNELLE

POLITIQUE DE DANAHER CORPORATION EN MATIERE DE LUTTE CONTRE LA CORRUPTION

Conditions d'utilisation de la plateforme Défi papiers

GROUPE DE RÉDACTION SUR LES DROITS DE L HOMME ET LES ENTREPRISES (CDDH-CORP)

Décision du Défenseur des droits n MLD

SYNERGIE Société Anonyme au capital de euros 11 Avenue du Colonel Bonnet PARIS RCS PARIS

1 - PREAMBULE - OBJET

Livret Matmut CONDITIONS D OUVERTURE ET DE FONCTIONNEMENT SOMMAIRE DISPOSITIONS PROPRES AU LIVRET MATMUT... 2

Deuxième Cycle d Evaluation. Addendum au Rapport de Conformité sur la Hongrie

POLITIQUE SUR LE SIGNALEMENT

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE

PRIX DE L INITIATIVE NUMERIQUE CULTURE, COMMUNICATION, MEDIAS.

«Marketing /site web et la protection des données à caractère personnel»

Conditions Générales d Utilisation de la plateforme ze-questionnaire.com

Camping-car Park est un concept novateur de gestion d aires d étapes de camping-cars en France et à l Etranger, ouvertes 24 H/24, toute l année.

GUIDE PRATIQUE. Droit d accès

LA DEONTOLOGIE FRANCAISE DU CONFLIT D INTERET

CONTRAT D ASSURANCE PROSPECTION PREMIERS PAS (A3P)

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

PROGRAMME DE DROIT CPGE Économique et commerciale, option technologique (ECT)

TABLE DE CONCORDANCE Code Sportif International de la FIA

FIN-NET. La résolution extrajudiciaire des litiges transfrontaliers dans le domaine des services financiers. Guide du consommateur

CHARTE ETHIQUE DE WENDEL

La protection des associés en droit congolais et en droit OHADA

Art. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :

Loi modifiant la Loi sur l Autorité des marchés financiers et d autres dispositions législatives

CONDITIONS GENERALES DE VENTE

CONTRAT COLLECTIF D ASSURANCE DE PROTECTION JURIDIQUE

CONSIDÉRATIONS SUR LA MISE EN ŒUVRE DES DÉCISIONS DE LA COUR CONSTITUTIONNELLE

LETTRE CIRCULAIRE N

La Faculté de Droit Virtuelle est la plate-forme pédagogique de la Faculté de Droit de Lyon

Directive de la Direction. Directive No 6.9 Fichiers informatiques et protection des données personnelles ou sensibles.

TABLE DES MATIÈRES Volume I TABLES LOI SUR LA FAILLITE ET L INSOLVABILITÉ (PARTIES I À V) NOTIONS GÉNÉRALES

Assurance prospection premiers pas (A3P)

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

NOTICE D INFORMATION

Commande publique. 1. Une question délicate : la détermination du champ d application de l article 2.I. de la loi «MURCEF»

Vitam Règlement Jeu Concours «Instants gagnants 2014»

Code à l intention des partenaires commerciaux

Situation:

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

REUTILISATION D'INFORMATIONS PUBLIQUES DETENUES PAR LES ARCHIVES DEPARTEMENTALES DE LA LOIRE REGLEMENT GENERAL

CONVENTION DE COMPTE

CONDITIONS D UTILISATION E-CLUB

RÈGLEMENT DU JEU ORGANISE PAR LA SOCIÉTÉ NOCIBÉ France «LE GRAND JEU DU WEEK-END LANCÔME Hypnôse Mascara Volume à Porter» LES 5, 6 et 7 juin 2015

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

Conclusions de Madame l avocat général Gervaise TAFFALEAU

Décrets, arrêtés, circulaires

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Commentaire. Décision n /178 QPC du 29 septembre 2011 M. Michael C. et autre

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Banque européenne d investissement. Politique de signalement

Conditions Générales d'utilisation du site «BIVI»

Responsabilité pénale de l association

COMPTE EPARGNE LOGEMENT. Une épargne constructive. Conditions Générales

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

LIVRET DE DÉVELOPPEMENT DURABLE CONDITIONS GÉNÉRALES

CONDITIONS GENERALES D UTILISATION DE L APPLICATION L@GOON Version Mai 2015

TD 1 Marque vs Nom de Domaine

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Règlement d INTERPOL sur le traitement des données

CONDITIONS GENERALES D UTILISATION DE L AGENCE EN LIGNE

Le Parlement de la République et Canton du Jura, vu les articles 42, alinéa 2, et 68 de la Constitution cantonale 1),

Conditions générales de vente e-commerce.

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

ACTUALITES FISCALES. Loi de finances 2014 : les censures du Conseil Constitutionnel

Livret Matmut. 1 re étape > Remplir, dater et signer le formulaire d ouverture

LOI n du 14 juin 2013 relative à la sécurisation de l emploi (1) Version consolidée au 4 avril 2015

Protocole n 15 portant amendement à la Convention de sauvegarde des Droits de l'homme et des Libertés fondamentales (STCE n 213) Rapport explicatif

Le Traitement des Données Personnelles au sein d une Association

Conditions Générales de vente - Service AUDIT MY APPS (les «CGV»)

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

REGLEMENT DES JEUX CHAT SMS 4040

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Transcription:

COMPLIANCE VS PROTECTION DES DONNEES WHISTLEBLOWING A LA FRANCAISE : UN DISPOSITIF D INSPIRATION Liliana CORREIA Novembre 2010 Suite aux scandales comptables retentissants dévoilés par les affaires ENRON et WORLDCOM, le Congrès américain a adopté en 2002 la loi Sarbanes-Oxley («Loi SOX») aux termes de laquelle toute entreprise cotée aux Etats-Unis a l obligation d instaurer un dispositif d alerte professionnelle permettant à ses salariés de signaler tout manquement en matière comptable, de procédure de contrôle interne et de vérification des comptes. Cette obligation s applique également tant aux filiales françaises de sociétés américaines cotées qu aux sociétés françaises dont les titres sont admis à la cote d un marché américain. Selon la définition de la Commission nationale de l informatique et des libertés («CNIL»), un dispositif d alerte professionnelle désigne un système mis en place par un organisme privé ou public pour inciter ses employés à signaler des problèmes pouvant sérieusement affecter son activité ou engager gravement sa responsabilité. Il ne se substitue pas aux autres canaux d alerte existants (auprès de la hiérarchie, des représentants du personnel, du commissaire aux comptes, d une autorité publique ) qui ne sont pas concernés par les travaux de la CNIL ; il en est complémentaire» 1. Le dispositif d alerte professionnelle peut, par exemple, prendre la forme d un numéro de téléphone ou d une adresse électronique particulière. La mise en œuvre de ces dispositifs est mieux perçue aux Etats-Unis qu en France où elle semble présenter plus d inconvénients que d avantages. Ces dispositifs sont en effet considérés comme allant à l encontre des mœurs et des principes historiques français, notamment en raison des stigmates attachés à la notion de dénonciation anonyme dans l hexagone. 1 «Document d Orientation» adopté par la CNIL le 10 novembre 2005 pour la mise en œuvre de dispositifs d alerte professionnelle conformes à la loi du 6 janvier 1978, modifiée en août 2004, relative à l informatique, aux fichiers et aux libertés. 1

En mai 2005, la CNIL a refusé d autoriser deux systèmes d alerte de lignes éthiques mis en place par McDonald s France 2 et La Compagnie européenne des accumulateurs (CEAC / Exide Technologies) 3 au motif que ces dispositifs contrevenaient aux dispositions légales applicables en matière de protection des données à caractère personnel 4. Plus précisément, les salariés mis en cause dans le cadre des alertes ne disposaient d aucun moyen d accéder et de répondre aux accusations portées à leur encontre, ni de se défendre ou de s opposer au traitement de données dont certaines pouvaient concerner des faits susceptibles d être constitutifs d infractions pénales. Aux yeux de la CNIL, les dispositifs mis en place étaient manifestement disproportionnés au regard des objectifs poursuivis. Afin de trouver un compromis entre le respect des dispositions légales applicables en France en matière de protection des données d une part, et la nécessité de se conformer aux exigences de la Loi SOX d autre part, la CNIL a publié en novembre 2005 un document d orientation, suivi en décembre 2005 d une décision d autorisation unique des dispositifs conformes aux orientations retenues 5. Au travers de ces deux documents, la CNIL a clarifié sa position en matière de dispositifs d alerte professionnelle. La CNIL s est toujours attachée à s assurer que les droits des personnes mises en cause directement ou indirectement soient garantis, parmi lesquels figurent notamment le droit à ce que les informations soient recueillies de manière loyale, le droit à être informé du traitement de ces informations, le droit de s opposer à un traitement si un motif légitime est susceptible d être invoqué, le droit de rectifier les informations inexactes, incomplètes, équivoques ou périmées. 2 McDonald s, Decision CNIL No. 2005-110, 26 mai 2005. 3 CEAC/Exide Technologies, Decision CNIL No. 2005-111, 26 mai 2005. 4 Parmi les réserves évoquées par la CNIL figuraient notamment: (i) le fait que les salariés puissent réaliser des alertes anonymes et donc un risque accru de dénonciation calomnieuse, (ii) le fait que les salariés mis en cause ne soient pas informés de manière adéquate et opportune, et (iii) le fait que la collecte et le traitement des informations à caractère personnel des salariés français soient disproportionnés aux objectifs poursuivis. 5 Autorisation unique no. AU-004 Décision no. 2005-305, 8 décembre 2005. 2

Pour autant, la CNIL n a pas d opposition de principe à la mise en place de dispositifs d alerte professionnelle dans la mesure où ceux-ci remplissent un certain nombre de critères, à savoir : (i) un champ restreint, ii) un caractère complémentaire, (iii) un usage facultatif, (iv) une définition des catégories de personnes concernées, (v) un traitement restrictif des alertes anonymes, (vi) la diffusion d une information claire et complète sur le dispositif d alerte, (vii) un recueil des alertes par des moyens dédiés, (viii) des données d alerte pertinentes, adéquates et non-excessives, (ix) une gestion interne des alertes réservées à des spécialistes, dans un cadre confidentiel, (x) la possibilité de rapports d évaluation du dispositif (sous réserve que ces rapports ne permettent pas l identification directe ou indirecte des personnes concernées par les alertes), (xi) une conservation limitée des données à caractère personnel, (xii) une information précise de la personne mise en cause, (xiii) le respect d un droit d accès aux données par la personne concernée, (xiv) sur demande de la personne concernée, la rectification ou, le cas-échéant, la suppression des données. Le champ d application du dispositif d alerte professionnelle doit être défini conformément à l article 1 de l autorisation unique et satisfaire aux conditions énumérées ci-dessus. Seules des informations se rapportant aux domaines comptable, financier, bancaire et en matière de lutte contre la corruption (tels qu un dysfonctionnement dans le cadre de la vérification des comptes, l évasion fiscale, la corruption d agents publics ou le blanchiment d argent) peuvent être collectées et archivées par l organisation ou le service interne à la société ou extérieur à celle-ci en charge du traitement des alertes. L article 3 de l autorisation unique prévoit que des faits qui ne se rapportent pas à ces domaines (c est-à-dire financier, comptable, bancaire et lutte contre la corruption) peuvent toutefois être signalés dans le cadre d un dispositif d alerte professionnelle en raison de leur «gravité», notamment lorsque l intérêt vital de la société ou l intégrité physique ou morale de ses employés sont menacés. De tels dispositifs sont alors examinés au cas par cas par la CNIL. 3

La question de la légalité des dispositifs d alerte professionnelle avait déjà été examinée en 2009 mais c est la Cour de cassation elle-même qui, dans l affaire Dassault Systèmes, était cette fois amenée à statuer et, par là-même, à orienter l interprétation des juridictions inférieures. La Haute Juridiction a considéré que le champ d application du dispositif d alerte professionnelle mis en place par Dassault Systèmes 6 excédait le cadre défini par la CNIL. Dassault Systèmes avait mis en place un code de conduite des affaires afin de se conformer aux exigences de la Loi SOX, lequel énumérait les règles que les salariés devaient s engager à respecter et instaurait un dispositif d alerte professionnelle permettant aux salariés de signaler tout manquement juridique et/ou éthique via une adresse électronique dédiée (une modalité courante de mise en œuvre de l Article 301(4) de la Loi SOX). Préalablement à la mise en place du dispositif, Dassault avait effectué une déclaration auprès de la CNIL conformément à l article 1 de l autorisation unique. Après avoir rappelé que le champ d application des dispositifs d alerte professionnelle doit être limité, la Cour de cassation a indiqué que l article 3 de l autorisation unique ne devait pas être interprété comme permettant l élargissement de la finalité des dispositifs d alerte, tels que prévus par la CNIL. La Haute Juridiction a également souligné la nécessité pour les entreprises d informer les personnes concernées, conformément aux dispositions de la loi Informatique et Libertés 7. Cette décision ne remet pas en cause l existence même des dispositifs d alerte professionnelle mais clarifie l interprétation à laquelle doivent se livrer les tribunaux français en la matière. Suite à l arrêt Dassault Systèmes, la CNIL a modifié son autorisation unique, notamment en ses articles 1 et 3. Une nouvelle version devrait être disponible début décembre dont nous ne manquerons pas de vous informer dans notre prochaine e-newsletter. 6 Cass. soc. no. 2524, 8 décembre 2009. 7 Loi du 6 janvier 1978, modifiée en août 2004, relative à l informatique, aux fichiers et aux libertés. 4

Les dispositifs d alerte professionnelle américains et français souffrent de deux différences majeures: le caractère obligatoire du dispositif et l anonymat de l auteur de l alerte. Contrairement aux dispositifs américains, le recours aux dispositifs français est facultatif. Le Ministre du Travail et des Affaires Sociales n avait d ailleurs pas manqué de souligner dans une lettre adressée à la CNIL que le signalement devait être encouragé mais en aucun cas obligatoire. Par ailleurs, aux Etats-Unis, la mise à disposition d un dispositif d alerte anonyme figure au cœur des exigences de la Loi SOX. Les salariés doivent impérativement être protégés contre toute mesure de représailles. Cette exigence est toutefois interprétée quelque peu différemment en France puisque même si la confidentialité est assurée, le salarié doit s identifier au moment du signalement. En d autres termes, l identité de l émetteur de l alerte ne sera pas divulguée à la personne mise en cause ni à ses supérieurs hiérarchiques, sauf si cela s avère nécessaire au cours de l enquête, et ce afin de pouvoir protéger l auteur de l alerte contre toutes éventuelles représailles. Toutefois, si un salarié tient à tout prix à rester anonyme, l alerte sera traitée comme tel. En conclusion, les sociétés françaises cotées aux Etats-Unis et les filiales françaises de sociétés américaines doivent relever le défi de mettre en place un dispositif d alerte professionnelle qui, tout en répondant aux exigences posées par la Loi SOX, respecte les dispositions françaises applicables en matière de protection des données à caractère personnel. 5

Cliquez ici pour consulter la E-newsletter Vous pouvez aussi copier le lien: http://79.141.9.44/newsletter/index.php5?id_lettre=5072 Sommaire de la e-newsletter Soulier du mois de Novembre 2010 Droit des Sociétés : Suite et fin du feuilleton des délégations de pouvoir dans les SAS par Jean-Luc SOULIER Droit des Affaires : Rupture brutale de relations commerciales établies et arbitrage international : poursuite du débat autour de la qualification de la responsabilité fondée sur l article L. 442-6, I, 5e du Code de commerce par Stéphanie YAVORDIOS Propriété Industrielle : Marque communautaire tridimensionnelle : pas de cadeau pour LEGO par Yvan GUILLOTTE Protection des données à caractère personnel / Privacy : Whistleblowing à la française : un dispositif d inspiration américaine qui peine à s adapter aux spécificités hexagonales par Liliana CORREIA Perspective Internationale : Social Media in Civil Litigation contribution de Joel Patrick SCHROEDER et Leita WALKERN Retrouvez toutes nos e-newsletters sur le site www.soulier-avocats.com E-mail info@soulieravocats.com 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back