L’autorisation unique permettant aux entreprises situées en France de procéder au traitement automatisé de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (« whistleblowing ») a été récemment élargie à d’autres domaines.

Les employeurs en France peuvent déclarer leur conformité aux exigences posées par la Commission nationale de l’informatique et des libertés (« CNIL ») en matière de dispositifs d’alerte professionnelle par le biais d’une autorisation unique (AU-004) adoptée par la CNIL le 8 décembre 2005, à la suite de l’adoption de la loi Sarbanes-Oxley aux Etats-Unis. S’ils ne respectent pas toutes ces exigences, une demande d’autorisation individuelle doit être adressée à la CNIL; il s’agit là d’une procédure bien plus contraignante dont l’issue est incertaine.

L’autorisation unique de 2005 a récemment été modifiée par une délibération de la CNIL en date du 30 janvier 2014 venant élargir son champ d’application.

En réaction à la loi Sarbanes-Oxley, le champ d’application des dispositifs d’alerte professionnelle en France était à l’origine limité aux seuls domaines de la comptabilité, de l’audit financier, et de la lutte contre la corruption. En 2010, le champ d’application a été élargi aux pratiques anticoncurrentielles.

Selon la décision en date du 30 janvier 2014, l’étendue de la déclaration de conformité inclut désormais de nouveaux domaines d’application: la lutte contre les discriminations et le harcèlement au travail; la santé, l’hygiène et la sécurité au travail; la protection de l’environnement. Dans la mesure où la plupart des codes de conduite, notamment des groupes américains, prévoyaient ces domaines dans leurs dispositions, la modification du champ d’application de l’autorisation unique peut être perçue comme une évolution logique et bienvenue.

De plus, la délibération clarifie les modalités de recueil des alertes professionnelles. L’obligation faite à l’auteur de l’alerte de s’identifier reste inchangée et les entreprises doivent toujours veiller

.au traitement confidentiel des données et ne pas inciter à l’utilisation anonyme du dispositif. A cet égard, la position de la CNIL se démarque de celle de la loi Sarbanes-Oxley qui prévoit que les salariés d'une entreprise faisant part de leurs inquiétudes quant à une comptabilité ou un audit douteux doivent être assurés du bénéfice de l’anonymat. La délibération de la CNIL pose des conditions strictes permettant, par exception, le traitement anonyme d’une alerte: (i) si la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés, et (ii) si le traitement de l’alerte est entouré de précautions particulières (telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif).

Bien que les employeurs s’étant déjà déclarés en conformité avec l’autorisation unique ne doivent pas adresser à la CNIL une nouvelle déclaration de conformité s’ils décident d’appliquer l’extension du champ d’application des alertes professionnelles, l’information préalable des salariés est toutefois nécessaire à sa mise en œuvre.

En application de l’article L.2323-32 du Code du travail, le comité d’entreprise doit également être informé et consulté avant l’introduction des nouvelles mesures, celles-ci permettant un contrôle de l’activité des salariés. Si l’extension du dispositif implique une modification du code de conduite ou de la charte éthique, il conviendra d’appliquer par ailleurs la procédure relative aux modifications du règlement intérieur (à savoir la consultation du comité d’entreprise et du comité d’hygiène, de sécurité et des conditions de travail (CHSCT) et le dépôt au greffe du conseil de prud'hommes et à l’inspecteur du travail).