Tout a commencé avec les affaires Enron et WorldCom. Ces scandales financiers, par leur ampleur, ont conduit l'administration américaine à promulguer, en juillet 2002, la loi Sarbanes-Oxley (dit «Sox»), qui institutionnalise la pratique du whistleblowing (littéralement «coup de sifflet»), c'est-à-dire l'obligation d'alerter en cas de pratiques frauduleuses. Le but étant de protéger les investisseurs, en assurant l'accès à une information financière et comptable fiable et transparente. A cette fin, l'obligation est faite aux sociétés de mettre en place un dispositif d'alerte professionnelle, par lequel les salariés peuvent, anonymement, faire part de leurs inquiétudes concernant des pratiques d'audit ou comptables contestables (lire article p. 23). L'outil le plus couramment utilisé est une hotline (mail ou téléphone) aboutissant au siège de l'entreprise, accessible 24 h/24 et 7 jours sur 7.

Mais force est de contester que de nombreuses alertes se sont éloignées de leur thème initial. Aujourd'hui, tout y passe : malversation, détournement, mais aussi consommation d'alcool, sexualité... Ainsi, Harry Stonecipher, ex-Pdg de Boeing, a été contraint de démissionner après que sa liaison avec une collaboratrice, jugée contraire au code éthique, a été dénoncée.

La France n'y échappe pas, car la «Sox» s'impose aux filiales américaines à l'étranger. Il est à noter, par ailleurs, que le système d'alerte existe déjà pour les fonctionnaires. Ces derniers ont, en effet, un devoir de dénonciation selon l'article 40 du Code de procédure pénale. Mais, en France, la délation a mauvaise presse, passé collaborationniste oblige. McDonald's France et la Compagnie européenne d'accumulateurs l'ont appris à leurs dépens lorsqu'elles ont demandé, en mai dernier, l'autorisation à la Cnil d'installer des lignes éthiques pour des alertes respectant l'anonymat. L'institution le leur a refusé, considérant que ces dispositifs étaient, dans leur principe, contraires à la loi informatique et libertés de 1978. Pire, selon la Cnil, ils conduisaient à « un système organisé de délation professionnelle ». En outre, ils étaient considérés comme disproportionnés au regard des objectifs poursuivis.

Autre institution, même décision : celle concernant la société BSN-Glasspack (filiale du groupe américain Oxens Illinois), basée en Gironde, qui a mis en place un numéro vert éthique et informé son personnel, au printemps 2005, par la voie de deux notes de service affichées dans les locaux de l'usine. Le CE et le syndicat CGT ont alors saisi le juge des référés qui a ordonné le retrait de ces notes.

Plus tard, le 15 septembre 2005, le TGI de Libourne a entériné cette décision au motif de « la seule existence d'un dommage potentiel imminent pour les libertés individuelles de salariés victimes de dénonciations anonymes, recueillies par le biais d'un dispositif privé échappant à tout contrôle, sans que l'intérêt de l'entreprise permette sérieusement de le justifier ». On peut, en effet, s'interroger sur la justification de ces lignes réservées aux ouvriers, rarement dépositaires des données financières d'une entreprise.

Pour autant, les entreprises en France sont entre deux feux avec, d'un côté, la loi Sox, qui, si elle n'est pas appliquée, les menace d'être retirées de la cote aux Etats-Unis, et, de l'autre, la législation nationale. Heureusement pour elles, la Cnil a assoupli sa position dans sa délibération du 8 décembre 2005, publiée au Journal officiel le 4 janvier dernier (lire encadré p. 22).

Reste ce vide juridique à l'égard de la protection des déclencheurs d'alerte, qui interpelle les syndicats. On est loin du Public Interest Disclosure Act, promulgué en 1999 en Grande-Bretagne, qui garantit des dommages et intérêts d'un montant illimité aux dénonciateurs victimes de leur action. Selon l'ONG Public Concern at Work, les indemnités moyennes obtenues en 2003 se sont élevées à plus de 155 000 euros.

Pour l'heure, des voix s'élèvent pour réclamer des droits d'alerte assortis de garanties de protection, à l'instar des déclarations de la CFDT, signataire du «Manifeste pour la responsabilité sociale des cadres», aux côtés, entre autres, de l'Ugict-CGT et du Centre des jeunes dirigeants. « Certes, l'alerte est un acte de responsabilité, mais que faire si c'est son hiérarchique qui est impliqué ou lorsque la direction exige de vous que vous commettiez des actes contraires à la déontologie ? Une solution : la clause de conscience, qui permettrait à un salarié de quitter son poste sans que cela soit assimilé à une démission », revendique François Fayolle, secrétaire de la CFDT Cadres. Aujourd'hui, selon la jurisprudence (CA Metz du 4 janvier 1994), la seule absence de dénonciation d'un fait délictuel dont le salarié a connaissance n'est pas de nature à fonder son licenciement.

« Certes, on ne peut pas obliger un salarié à dénoncer s'il n'en a pas envie, commente Richard Lanaud, président du comité d'éthique de Total. Pour autant, il est important que les salariés jugent crédibles les dispositifs de code de conduite. A mon sens, la protection des lanceurs d'alerte est intrinsèque au système. L'alerte renforce l'entreprise. Il faut donc conserver cette chance qu'a l'entreprise de se corriger. » Et puis, un code de conduite sans alerte ne permet pas de noter les écarts, selon Yves Medina, déontologue, vice-président de l'Orse (Observatoire de la responsabilité sociétale des entreprises) et associé de PricewaterhouseCoopers France : « Le code est de l'ordre du discours, l'alerte est un des moyens de passer de l'objectif théorique à une pratique. » Pour Marie-Laure Gauvrit-Renault, senior manager avocate en droit social chez Ernst & Young, ce problème pourrait être résolu par une disposition légale : « Elle limiterait les risques en prévoyant la nullité du licenciement «rétorsion» du donneur d'alerte. »

Autre parade pour limiter les risques : élaborer un dispositif en faisant participer les partenaires sociaux. C'est ainsi que le groupe Shell a fonctionné lorsqu'en 2003, a été engagée une réflexion sur un système d'alerte. Un groupe de travail avait été créé, auquel ont été associées les cinq organisations syndicales. Un exemple unique en France.

Les questionnements sur le sujet ne s'arrêtent pas là. Florence Raynal, manager chez Ernst & Young, spécialiste de la protection des données personnelles, note que « la Cnil reconnaît que la loi Sox peut être une justification pour la mise en place d'un système d'alerte. Il y a alors un intérêt légitime. Ce principe va-t-il être utilisé pour d'autres dispositions nous arrivant des Etats-Unis » ?

Autre revendication émanant de nombreux observateurs : l'élargissement du champ de l'alerte. La Cnil la limite aux problématiques comptables et financières. François Fayolle, par exemple, aurait aimé que l'on y intègre la protection des salariés ou le respect des normes. C'est également l'avis du Cercle d'éthique des affaires, qui parle, pour sa part, d'alertes en matière de harcèlement ou en matière sanitaire.

Autant de questions qui trouveront peut-être une réponse en mars prochain, date de la remise d'un rapport sur les chartes éthiques et les alertes professionnelles, commandé par le ministère de l'Emploi à Paul-Henri Antonmattéi, doyen de la faculté de droit de Montpellier et directeur du Laboratoire de droit social, et à Philippe Vivien, DRH du groupe Areva. « Nous allons, pour cela, recueillir le maximum d'informations et de pratiques auprès des praticiens et des partenaires sociaux, explique Paul-Henri Antonmattéi. Cela devrait nous permettre de réaliser une analyse complète des dispositifs afin d'élaborer des propositions pour lever les problèmes juridiques qui leur sont associés. » C. L.

L'alerte est limitée aux champs financier, comptable, bancaire et à la lutte contre la corruption.

L'utilisation par les salariés d'un dispositif d'alerte ne peut revêtir qu'un caractère non obligatoire.

Le non-anonymat : les auteurs d'alertes mettant en cause des comportements attribués à des personnes désignées doivent s'identifier.

Un dispositif d'alerte suppose une information préalable claire et complète des utilisateurs potentiels, réalisée par tout moyen approprié.

Le recueil et le traitement des alertes professionnelles doivent être confiés à une organisation spécifique mise en place au sein de l'entreprise, composée de professionnels avisés.

La circulation des informations doit être aussi limitée que possible.

Le recueil des alertes peut reposer sur tous moyens, informatisés ou non, à condition qu'ils soient dédiés, afin d'écarter tout risque de détournement de finalité.

La personne visée par une alerte doit être informée dès l'enregistrement de celle-ci, afin qu'elle puisse demander à exercer ses droits d'opposition.

La personne mise en cause peut accéder aux données la concernant et en demander, le cas échéant, la rectification ou la suppression.

Les données relatives aux alertes ayant nécessité une vérification ne doivent pas être conservées au-delà des délais de procédure contentieuse. S'il n'y a eu ni procédure disciplinaire, ni procédure judiciaire, ces données seront détruites ou archivées dans un délai de deux mois à compter de la clôture des opérations de vérification.

Les données à caractère personnel enregistrées admises sont l'identité, les fonctions et les coordonnées de l'émetteur de l'alerte et de la personne faisant l'objet de l'alerte ; les faits signalés ; les éléments recueillis dans le cadre de la vérification ; le compte rendu des opérations de vérification et les suites données à l'alerte.