Attendues pour le mois d'octobre, c'est, finalement, le 15 novembre que la Cnil a défini, dans un document d'orientation adopté le 10 novembre 2005, les conditions pour qu'un dispositif d'alerte professionnelle, ou d'alerte éthique, soit conforme à la nouvelle loi informatique et libertés. Ce document intervient après la promulgation de la loi américaine Sarbanes-Oxley du 30 juillet 2002* et après l'annulation, en mai dernier, des chartes éthiques de McDonald's France et de la Compagnie européenne d'accumulateurs (lire encadré ci-contre).

Si la Cnil annonce ne pas avoir d'opposition de principe à des dispositifs de procédures d'alerte, baptisées outre-Atlantique whistleblowing (littéralement «coup de sifflet»), elle les soumet néanmoins à une décision d'autorisation unique, dépendante du respect de certaines règles.

Quelles sont ces règles ? « Nous avons souhaité, tout d'abord, limiter le recours à un champ précis : à savoir la corruption contenue dans la loi Sarbanes-Oxley », présente Alex Türk, président de la Cnil. Deuxième principe : le non-anonymat. Pour la Cnil, les auteurs d'alertes mettant en cause des comportements attribués à des personnes désignées doivent s'identifier. « Ce n'est qu'ainsi que la protection contre les représailles pourra être assurée, que l'on évitera les dérapages et que l'on disposera de tous les éléments pour mesurer la portée de l'alerte », commente ce dernier. Pour autant, ce principe n'est pas une condition intangible.

La Cnil recommande, également, que le recueil et le traitement des alertes professionnelles soient confiés à une organisation spécifique mise en place au sein de l'entreprise pour traiter ces questions et « composée de professionnels avisés ». Ainsi, la circulation des informations doit être aussi limitée que possible, compte tenu du risque de stigmatisation des personnes concernées.

Enfin, la Cnil souhaite que la personne visée par une alerte soit informée dès l'enregistrement de celle-ci, afin qu'elle puisse demander à exercer ses droits d'opposition, d'accès et de rectification.

Une entreprise disposant d'un dispositif d'alerte éthique, conforme à l'ensemble de ces prescriptions, obtiendra, alors, une autorisation unique. Elle bénéficie, de la part de la Cnil, d'une confiance a priori. « Si l'entreprise souhaite aller plus loin, autrement dit, élargir le champ de ces alertes, notamment à celui concernant des actes relevant du pénal, comme le harcèlement, par exemple, et/ou à tout ce qui touche à la conduite des uns et des autres dans l'entreprise, l'autorisation est dite express, signale le président de la Cnil. Elle s'étudiera, en séance plénière et au cas par cas. »

* La loi Sarbanes-Oxley, née après les affaires Enron et WorldCom, impose aux entreprises américaines cotées et à leurs filiales étrangères de mettre à disposition des salariés une procédure d'alerte pour dénoncer les actes frauduleux dont ils ont connaissance.

Dans deux délibérations du 26 mai 2005, rendues publiques le 14 juin dernier, la Cnil s'est opposée à la mise en place de dispositifs d'alertes éthiques au sein de McDonald's France et de la Compagnie européenne d'accumulateurs.

Dans le premier cas, le système, désigné comme dispositif «d'intégrité professionnelle», prévoyait, dans le cadre du «code éthique» du groupe, que les collaborateurs des filiales françaises (environ 1 000 personnes) puissent alerter par courrier postal ou par télécopie la société mère aux Etats-Unis sur les comportements de leurs collègues de travail « supposés contraires aux règles légales françaises ainsi qu'au code éthique ».

Dans le second cas, le dispositif de «ligne éthique» permettait aux 1 500 salariés de l'entreprise de communiquer avec le comité de surveillance comptable du conseil d'administration d'Exide (la société mère), via une hot line, sur des sujets tels que les inexactitudes ou les irrégularités comptables qui pourraient être commises.

Pour ces deux dossiers, la Cnil a considéré, tout d'abord, que ces dispositifs étaient disproportionnés. De plus, ces derniers organisaient le recueil de données personnelles concernant des faits contraires aux règles de l'entreprise ou à la loi, imputables à leurs collègues, conduisant à un système organisé de délation professionnelle.