|  Créer un compte
Identifiants oubliés
LucOlivier.com


Ethique des Affaires et procédure d’alerte : le cas Dassault Systèmes



Le code de conduite des affaires mis en place par Dassault Systèmes en 2007 a été invalidé par la Chambre Sociale de la Cour de Cassation en décembre 2009. Quels éléments ont motivé cet évènement ? Pourquoi une entreprise comme Dassault Systèmes a-t-elle mis en place un tel dispositif ?


publié Le 28 Septembre 2010


A l’origine des procédures d’alerte…

Le scandale financier d’ENRON fin 2001 aux Etats-Unis a démontré un besoin de contrôles plus rigoureux des flux financiers au sein des entreprises privées et collectivités publiques. Adopté en 2002, le « Sarbanes Oxley Act » oblige ainsi toutes les entreprises côtées à la bourse de New York à mettre en place des systèmes de contrôle interne visant à réduire les risques de fraude et de corruption, touchant ainsi des entreprises françaises à dimension internationale.

Si des agissements frauduleux ont lieu au sein d’une entreprise, on comprend aisément que celle-ci veuille en maîtriser l’identification, les conséquences éventuelles et la résolution. La pratique appelée « whistleblowing» dans le monde anglo-saxon consiste pour un individu à rendre public un agissement présumé frauduleux dont il est témoin. Le problème de la maîtrise de l’information se pose alors pour l’entreprise : vers qui un salarié se tournera-t-il en interne et/ou en externe s’il constate une fraude ? Quelle suite sera donnée par l’entreprise à ses déclarations ? En encadrant le « whistleblowing » par des dispositifs d’alerte structurés, une entreprise espère gérer et traiter en amont des informations pouvant se révéler préjudiciables pour elle.


Le cas Dassault Systèmes

Dassault Systèmes est dotée depuis 2004 d’un « Code de conduite des affaires », mis à jour en 2007. C’est cette version 2007 qui, attaquée par la CGT, a été invalidée par la Cour de Cassation tant pour des questions de fond que de procédure.

Sur le fond, le Code de conduite imposait une obligation de confidentialité jugée trop vague par la Cour de Cassation, limitant ainsi la liberté d’expression des salariés. En effet, la Cour de Cassation a retenu que l’absence de définition précise des informations à usage interne ne permettait pas de vérifier que la « restriction à la liberté d’expression était justifiée par la nature de la tâche à accomplir et proportionnée au but recherché ».

Pour ce qui concerne la procédure, deux éléments ont été mis en cause. D’une part, le dispositif d’alerte prévoyait un traitement informatisé de données personnelles qui avait fait l’objet, à ce titre, d’une déclaration simplifiée auprès de la Commission Nationale Informatique et Liberté (CNIL). Dans un tel cas, l’entreprise s’engage à respecter en tous points le cadre défini par la CNIL, en l’occurrence pour les procédures d’alerte professionnelle il convenait de se conformer à la délibération 2005-305 du 8 décembre 20052. Or le dispositif d’alerte mis en place par Dassault Systèmes dépassait ce cadre, notamment en ce qu’il ne se limitait pas aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption, mais s’étendait au harcèlement moral et sexuel ou aux atteintes à la propriété intellectuelle et à la transmission d’informations confidentielles. Dans un tel cas, l’entreprise doit présenter à la CNIL un dossier complet de demande d’autorisation des fichiers.

D’autre part, Dassault Systèmes avait omis les mentions légales obligatoires lors de la mise en place d’un tel dispositif, mentionnées à l’article 32 de la loi du 6 janvier 19783. Il s’agit notamment de l'existence d'un droit d'accès et de rectification des données personnelles, de la définition de l’objet de leur traitement informatisé et de l’indentification d’un responsable du traitement de ces données. A ce titre, on peut apprécier que la CNIL ait mis en place sur son site internet des modèles de formulations adaptées aux besoins des entreprises et collectivités4.


Quels points de vigilance pour une entreprise transnationale ?

Les pays de l’Union Européenne bénéficient d’une législation harmonisée depuis la mise en place de la Directive n°95/46/CE du 24 octobre 1995 sur le traitement des données à caractère personnel5. Cette Directive affirme en particulier le caractère confidentiel des données recueillies, l’interdiction d’un usage autre que celui énoncé, le droit d’accès et de rectification pour les personnes concernées ou encore l’identification d’un responsable de traitement de ces données. Un organisme indépendant est mis en place dans chaque pays pour assurer le respect de ces obligations (la CNIL en France).

Le transfert de données en dehors de l’Union Européenne est en principe exclu, sauf à ce que le pays justifie d’un niveau de protection des données adéquat6. Dans le cas d’une entreprise souhaitant transférer des données vers un pays ne justifiant pas du niveau de protection requis, il subsiste la possibilité de s’engager à respecter un code de conduite intitulé « Binding Corporate Rules » ou « Règles internes d'entreprise ».

L’arrêt de la Cour de Cassation invalidant le dispositif mis en place par Dassault Systèmes contribue à clarifier les droits des salariés et responsabilités des utilisateurs de données personnelles alors que la mise en place de tels systèmes est devenue incontournable pour de nombreuses entreprises.

Nicolas Mundschau est issu de la promotion 2001/2002 du Master de Management International des Ressources Humaines de l’Université d’Angers. Il a occupé différentes fonctions notamment dans le domaine de la Mobilité Internationale et des Relations Sociales. Nicolas Mundschau est actuellement Responsable de Gestion RH et Projets au sein d'une entreprise internationale en France. Il est également intervenant professionnel dans le cadre du Master 2 MIRH.


1 Arrêt n° 2524 du 8 décembre 2009 http://www.courdecassation.fr/jurisprudence_2/chambre_sociale_576/2524_8_14408.html

2 Délibération 2005-305 du 8 décembre 2005 : http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/83 et plus généralement sur le thème des alertes professionnelles : http://www.cnil.fr/dossiers/travail/fiches-pratiques/article/26/les-alertes-professionnelles-enquestions/

3 L’article 32 de la loi du 6 janvier 1978 : http://www.cnil.fr/en-savoir-plus/textes-fondateurs/loi78-17/#article32

4 Page de la CNIL sur les mentions obligatoires : http://www.cnil.fr/vos-responsabilites/informations-legales/

5 Directive n°95/46/CE du 24 octobre 1995 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML

6 Identification des niveaux de sécurité par pays http://www.cnil.fr/pied-de-page/liens/les-autorites-de-controle-dans-le-monde/.

7 BCR http://www.cnil.fr/vos-responsabilites/transferer-des-donnees-a-letranger/les-bcr/

Par Nicolas Mundschau,
Management International des Ressources Humaines,
publié dans : Droit - Communauté : Ressources Humaines

Autres contributions de cet auteur
 

Copyright © 2008-2014 - Tous droits réservés
Déclaration CNIL 1400501
CGU | Contact | A propos | Qui sommes-nous ? | Télécharger notre plaquette
RésoEco est une création de la société N-Gine Innovation, SARL au capital de 8 000 € immatriculée au R.C.S de Nîmes 498 275 544 - APE 6201Z