Un jugement du TGI de Caen rappelle opportunément la nécessité d’être vigilant s’agissant de la mise en œuvre de dispositifs d’alerte professionnelle notamment au regard des risques de délations.

Par un jugement du 15 septembre 2014, le tribunal de grande instance de Caen confirme l’illicéité d’un dispositif d’«alerte professionnelle» de nature à organiser un système de délation – fondée notamment sur des informations relevant de la vie privée ou de simples rumeurs – compte tenu d’un défaut de délimitation précise du domaine de l’alerte et d’une incitation à l’utilisation anonyme de ce dispositif.

Ce jugement remarquablement motivé s’inscrit dans le cadre d’une saga judiciaire ayant déjà donné lieu à une procédure de référé au terme de laquelle la mise en œuvre du dispositif en question avait été suspendue (ord. de référé du TGI de Caen du 5 novembre 2009 ; CA de Caen 23 septembre 2011).

Son analyse apparaît riche d’enseignements quant aux conditions de licéité des dispositifs d’«alerte professionnelle». Sans revenir sur l’ensemble de celles-ci, le jugement du tribunal de grande instance de Caen rappelle en particulier certains garde-fous contre les risques de délations ou de dénonciations calomnieuses – inhérents à la mise en Å“uvre des dispositifs d’alerte.

Retour liminaire sur les dispositifs d’alerte professionnelle et leur contrôle préalable par la CNIL

Pour rappel, les dispositifs d’«alerte professionnelle» visent à inciter les salariés à signaler –le plus souvent via une ligne téléphonique, un site Internet, voire une adresse électronique dédiée- des actes ou comportements qu’ils estiment contraires aux règles applicables, pour organiser la vérification de l’alerte ainsi recueillie au sein de l’entreprise. Leur utilisation peut conduire au prononcé de mesures disciplinaires à l’encontre des personnes dénoncées.

Le dispositif d’alerte –qui prend la forme d’un traitement automatisé de données à caractère personnel- doit être autorisé par la Commission nationale de l’informatique et des libertés (CNIL), préalablement à sa mise en Å“uvre.

L’étendue de l’intervention de la CNIL à cet égard varie selon les caractéristiques du dispositif, et notamment suivant le domaine de l’alerte. En effet, la CNIL a adopté le 8 décembre 2005 une décision dite d’autorisation unique (AU-004), permettant aux entreprises de mettre en place un dispositif d’«alerte professionnelle» après une simple déclaration de conformité dès lors qu’il respecte les conditions définies par cette décision. Le champ des dispositifs susceptibles d’entrer dans le champ de la simple déclaration de conformité était initialement restreint aux domaines financiers, comptables, bancaires et de lutte contre la corruption. Il a été étendu aux pratiques anticoncurrentielles en 2010 puis plus récemment, en 2014, à la lutte contre les discriminations et le harcèlement au travail, la protection de la santé, de l’hygiène et de la sécurité au travail, et l’environnement (Cf. «Alertes professionnelles : la CNIL étend le champ d’application de l’autorisation unique » de Caroline Froger-Michon et Anne-Laure Villedieu).

À défaut de respecter les conditions fixées par la décision d’autorisation unique précitée, le dispositif doit faire l’objet d’une demande d’autorisation « normale » et donc d’une étude approfondie par la CNIL.

En tout état de cause, le juge judiciaire a le pouvoir d’apprécier la licéité d’un dispositif d’alerte professionnelle, nonobstant l’existence d’une autorisation précitée de la CNIL.

Quelques garde-fous rappelés par le juge

Au cas particulier, la filiale française d’une société américaine avait mis en place, en application de la loi américaine «Sarbannes Oxley», un dispositif d’alerte permettant à toute personne de dénoncer n’importe quel salarié français de la société, par le moyen d’une ligne d’assistance téléphonique ou par voie électronique.

Au plan des principes, ce dispositif était limité aux domaines comptables, financiers et de lutte contre la corruption. Dans la pratique, aucune limite n’était en réalité fixée quant aux domaines des alertes : en particulier, le site Internet mis à disposition des salariés pour procéder aux alertes permettait de «rapporter de manière anonyme à la société tout mauvais comportement soupçonné ou d’autres problèmes» – ces derniers ne correspondant pas nécessairement aux domaines autorisés précités (et pouvant concerner par exemple l’abus de stupéfiants voire de consommation de médicaments sur ordonnance médicale, etc.).

En contrôlant ce dispositif, le juge du fond de Caen rappelle certains garde-fous.

• La nécessité d’un champ précis et restreint de l’alerte professionnelle

C’est essentiellement –semble-t-il- le défaut de précision concernant les limites du domaine de l’alerte professionnelle qui a sonné le glas du dispositif en question. A cet égard, le Tribunal de grande instance relève en effet d’une façon très motivée que :

– « Les types de problèmes qui peuvent être dénoncés sont variés et permettent en définitive toute dénonciation objective ou non, nominative ou non, fondée ou non, prouvée ou non» ;
– «Le système proposé ne pose pas de critères clairs quant aux révélations qui peuvent être faites en ligne lesquelles peuvent tout autant constituer de véritables alertes que des délations insupportables susceptibles de donner lieu, notamment sur la base d’informations relevant de la vie privée, à des rumeurs, des modifications de comportement dans le travail tant de la hiérarchie que des collègues, des enquêtes internes, des mesures disciplinaires à l’égard des salariés voire à des licenciements préjudiciables aux salariés et sans lien avec le but recherché».

Après avoir relevé ces deux points, le Tribunal conclut que le dispositif «tel que mis en place au sein de la société est, de par sa configuration, son fonctionnement, sa permissivité, son absence de contrôle externe, de nature à dévoyer la recherche louable d’éthique économique au profit de l’expression des faiblesses humaines».

Si les dispositifs d’alertes ne sont actuellement pas réglementés en tant que tels par le Code du travail, le garde-fou rappelé par le jugement de Caen apparait identifié à la lumière des principes régissant les droits et libertés des salariés dans l’entreprise. A cet égard, l’article L.1121-1 du Code du travail dispose pour rappel que l’employeur «ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché».

•  Le contrôle du traitement des alertes anonymes

Comme le relève la CNIL, il va de soi que la possibilité d’effectuer une alerte anonyme ne peut que renforcer le risque de délation ou de dénonciation calomnieuse. Inversement, l’identification de l’auteur de l’alerte est de nature à responsabiliser les utilisateurs du dispositif et à limiter ainsi ce risque – ce d’autant qu’une protection apparait assurée aux auteurs d’alerte de bonne foi quand bien même les faits dénoncés s’avèrent ensuite inexacts (document d’orientation CNIL du 10 novembre 2005 ; voir également article L.1161-1 du Code du travail).

Dans ce contexte, l’anonymat des auteurs d’alerte a été un des principaux éléments retenu par le tribunal de grande instance de Caen pour suspendre l’application du dispositif d’alerte litigieux, dans le cadre de la procédure de référé. Cela étant, cette donnée n’apparaît qu’ «en creux» dans le jugement au fond du 15 septembre 2014.

Il est vrai que le recueil des alertes anonymes apparait toléré par l’Administration et la CNIL – à la condition que leur traitement fasse l’objet de précautions particulières et que la gravité des faits soit établie et détaillée.

Il demeure acquis qu’il ne doit pas y avoir d’incitation à l’utilisation anonyme du dispositif d’alerte.

En définitive, le jugement du 15 septembre 2014 mérite d’être salué dès lors qu’il rappelle la nécessité d’être extrêmement vigilant s’agissant de la mise en œuvre des dispositifs d’alerte professionnelle, et spécialement au regard des risques de délations ou de dénonciations calomnieuses.

Cette vigilance apparaît d’autant plus importante après l’extension du régime de la déclaration simplifiée auprès de la CNIL – et partant de l’absence de contrôle préalable particulier des dispositifs d’alerte.

Caroline Froger-Michon, avocat associé en droit social.

Benoît Masnou, avocat en droit social.