La Commission nationale de l'informatique et des libertés (Cnil) va bientôt autoriser les entreprises à mettre en place, de façon simplifiée, des systèmes d'alerte éthique pour les salariés. Ces dispositifs doivent leur permettre de signaler à leur direction des comportements « supposés fautifs » constatés sur le lieu de travail. Mais ils sont assortis de certaines restrictions. C'est ce qu'explique la Cnil dans un document d'orientation adopté le 10 novembre et rendu public ce mardi 15 novembre.

Le 26 mai dernier, elle recalait purement et simplement les demandes de deux entreprises - McDonald's et la Compagnie européenne d'accumulateurs (CEAC) - de mettre en place des « lignes éthiques ».

Il s'agissait de dispositifs d'alerte interne pour permettre aux salariés de signaler (par mail ou par téléphone notamment) des comportements douteux chez leurs collègues de travail (en anglais, whistleblowing). La Cnil avait estimé qu'il y avait là un risque d'aboutir à « un système organisé de délation professionnelle ».

Aujourd'hui, la Commission a donc revu sa position en la matière et va mettre en place, à partir de début 2006, un régime d'autorisation en ligne pour simplifier les démarches des entreprises. Cette évolution s'avérait inévitable puisqu'une loi américaine, dite « Sarbanes-Oxley », impose aux sociétés françaises cotées aux Etats-Unis, ainsi qu'aux filiales d'entreprises américaines également cotées outre-Atlantique (au NYSE ou au Nasdaq) de mettre en place des procédures d'alerte concernant des dysfonctionnements en matière comptable.

Cette loi a vu le jour en 2002, après le célèbre scandale financier Enron*. De fait, des entreprises comme la CEAC se retrouvaient coincées entre deux législations incompatibles.

Concrètement, la « ligne éthique » ne devra couvrir que le domaine comptable, le contrôle des comptes et la lutte contre la corruption. Au-delà de ce cadre très précis, et encadré par la Cnil, tout dispositif éthique à visée générale - qui porterait, par exemple, sur le respect du règlement intérieur ou de la loi - sera étudié au cas par cas par la Cnil. Qui se réservera donc le droit de refuser, comme elle l'a déjà fait en mai dernier.

Pour être conforme, un dispositif d'alerte éthique devra respecter d'autres conditions. Ainsi, les messages devront être recueillis et traités par une organisation spécifique au sein de l'entreprise et la circulation des données devra être aussi limitée que possible.

Par ailleurs, la personne visée par une alerte devra être informée dès l'enregistrement de l'alerte, afin qu'elle puisse demander à exercer ses droits d'opposition, d'accès et de rectification, comme l'exige la loi Informatique et libertés de 1978, modifiée en 2004.

Pour la Cnil, il conviendra aussi que les émetteurs d'alerte s'identifient, ce afin d'éviter tout « dérapage vers la délation et la dénonciation calomnieuse ». Consciente cependant que « l'existence d'alertes anonymes est une réalité qu'il est difficile pour les responsables de l'entreprise de ne pas prendre en compte », la Commission demande que le traitement de telles alertes s'entoure « de précautions particulières », notamment « en ce qui concerne leur diffusion ». En tout état de cause, la Cnil indique qu'il ne doit pas y avoir d'incitation « à l'utilisation anonyme de la procédure ».

* L'Union européenne a elle aussi pris des initiatives en la matière, via une récente recommandation de la Commission en février dernier.