Newsflash Sapin II: « Last call » pour les dispositifs d’alerte professionnelle pour 2018

Tout organisme privé d‘au moins cinquante salariés et certains organismes publics doivent mettre en place un dispositif d’alerte professionnelle d’ici le 1er janvier 2018 conformément à la loi n° 2016-1691 du 9 décembre 2016 (loi « Sapin II ») et au Décret n°2017-564 du 19 avril 2017. Très simple dans son principe, ce dispositif doit cependant répondre à de nombreuses exigences.

Les exigences de l’Autorisation Unique de la Commission nationale de l’Informatique et des Libertés (« CNIL ») ayant été modifiées pour prendre en compte les termes de la Loi Sapin II1, plus rien ne s’oppose à ce que les dispositifs d’alerte soient mis en place au sein de ces entités.

Quelles sont les exigences en matière de traitement des données ?

La loi encadre les données pouvant faire l’objet d’un traitement, et les conditions de ce traitement.

De manière générale, seules les données formulées de manière objective et qui sont nécessaires au traitement de l’alerte sont traitées. Celles-ci sont énumérées dans l’Autorisation Unique de la CNIL. L’Autorisation Unique précise également les durées de conservation des données applicables, selon les cas de figure.

Le maître mot du dispositif d’alerte doit être la confidentialité. Ainsi, les procédures internes de réception et de traitement de l’alerte doivent être strictement encadrées.

En outre, l’identité d’une personne émettant ou faisant l’objet de l’alerte ne peut être divulguée que dans des conditions très restrictives.

Si une société met en place un système d’alerte qui n’est pas strictement conforme aux termes de l’Autorisation Unique de la CNIL, alors elle ne pourra pas utiliser la procédure de déclaration simplifiée prévue par cette dernière, et devra procéder à une demande d’autorisation spécifique, qui est un processus beaucoup plus complexe et long en pratique.

Enfin, l’Autorisation Unique couvre également les conditions applicables au transfert de données à caractère personnel hors de l'Union européenne.

L’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018 ne devrait pas sensiblement modifier l’organisation des systèmes d’alerte. Il est cependant probable que les traitements mis en œuvre dans le cadre de systèmes d’alerte soient considérés comme étant à risque élevé pour les droits et libertés des personnes physiques, entrant, de ce fait, dans le champ des analyses d’impact prévues à l’article 35 du Règlement Général.

Quelles sont les contraintes organisationnelles ?

Plusieurs schémas peuvent être retenus afin de mettre en place un dispositif d’alerte interne.

Le signalement d’une alerte est porté à la connaissance du supérieur hiérarchique, direct ou indirect, de l’employeur ou d’un référent désigné par celui-ci. Il est de toute façon nécessaire d’identifier un référent destinataire des alertes. Ce référent peut être un tiers, qui aura soit un simple rôle de réception de l’alerte, soit un rôle plus élaboré de traitement de l’alerte.

D’autre part, il est utile d’organiser l’examen et le traitement de l’alerte. En effet, si celle-ci doit donner lieu à une enquête interne, les rôles doivent être pensés en amont, de la manière la plus conforme au fonctionnement de la société. Il est alors éventuellement nécessaire de faire appel à des conseils externes.

Enfin, les salariés eux-mêmes ainsi que les collaborateurs extérieurs et occasionnels, doivent être informés de manière collective et individuelle du dispositif mis en place.

Cette information peut intervenir a posteriori pour une personne qui n’aurait pas eu connaissance du dispositif (article 9).

En outre, le comité d’entreprise (prochainement « comité social et économique ») doit être consulté et informé préalablement à la mise en place du dispositif.

Toute personne qui correspond à la définition de lanceur d’alerte bénéficie d’un statut protecteur au sein de l’entreprise.

Quel sont les risques de ne pas mettre en place un tel dispositif ?

La loi Sapin II ne prévoit pas de sanction précise si une procédure d’alerte n’est pas mise en œuvre, ou si la procédure n’est pas conforme aux exigences légales.

Cependant, si une procédure d’alerte non conforme à la loi (n° 2016-1691 du 9 décembre 2016) et au décret (n° 2017-564 du 19 avril 2017) est mise en place, une société pourrait être condamnée pour :

  • délit d’obstable à l’alerte (article 13 de la loi), réprimé par un an d'emprisonnement et 15 000 € d'amende
  • absence de confidentialité (article 9 de la loi), réprimé par deux ans d'emprisonnement et 30 000 € d'amende, et
  • absence de procédure d’alerte en matière de corruption (uniquement si l’entreprise compte plus de 500 employés et plus de 100 millions d’euros de chiffre d’affaire, article 17 de la loi) : l’Agence Française Anticorruption peut mettre en demeure l’entreprise de se mettre en conformité, émettre un avertissement, enfin la commission des sanctions de l’Agence peut infliger une sanction pécuniaire (200 000 euros pour les personnes physiques, 1 000 000 euros pour les personnes morales).

L’Agence Française Anticorruption fait figurer dans son questionnaire d’autoévaluation mis en ligne en octobre 2017 le dispositif d’alerte professionnelle comme étant un élément permettant de lutter contre la corruption.

De manière générale, si une société ne met pas en place de procédure d’alerte, le risque est que le lanceur d’alerte s’adresse directement aux autorités administratives ou judiciaires, ou enfin rende l’alerte publique.

En outre, si une société retient un système d’alerte qui, concernant le traitement des données, n’est pas conforme à l’Autorisation Unique de la CNIL et qu’elle n’a pas obtenu d’autorisation spécifique de mettre en place un tel système, alors elle pourrait encourir une condamnation pour atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques prévue à l’article 226-16 du Code pénal, et réprimé par cinq ans d'emprisonnement et 300 000 euros d'amende pour une personne physique, qui peut être portée au quintuple pour une personne morale.


1 Délibération n° 2017-191 du 22 juin 2017 portant modification de la Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004), publiée le 25 juillet 2017.

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.