Communiqué
Dans un arrêt du 8
décembre 2009, la chambre sociale de la Cour de
cassation se prononce sur la validité du code interne de
conduite des affaires élaboré par la société Dassault
Systèmes.
Afin de se conformer
aux exigences de la loi Américaine dite “Sarbanes Oxley”
fixant les règles de transparence, d’alerte et de
contrôle des sociétés américaines cotées, la société
Dassault Systèmes, cotée à la bourse de New-York, a
élaboré, en 2004 et 2007, un “ code de conduite des
affaires” destiné à promouvoir les orientations
fondamentales de l’entreprise relevant de sa
responsabilité sociale, à préciser diverses règles en
matière de conflit d’intérêt et de délit d’initié, à
fixer les règles applicables à la diffusion des
informations de l’entreprise et à instaurer un
dispositif d’alerte professionnelle.
Ce code exige en
particulier des salariés qu’ils requièrent une
autorisation préalable pour utiliser toute information
dont ils pourraient avoir connaissance à l’occasion de
l’exécution de leur contrat de travail, non seulement
les informations confidentielles, mais aussi celles
dites “à usage interne” ( par exemple: notes de service,
information envoyée aux collaborateurs, organigrammes,
objectifs et données se rapportant aux équipes,
caractéristiques techniques, formules, dessins et
modèles, inventions).
Ce code met en place
par ailleurs un dispositif d’alerte en cas de
manquements aux principes qu’il énonce en matière
comptable, financière ou de lutte contre la corruption,
ainsi qu’à tout autre principe lorsqu’est mis en jeu
l’intérêt vital du groupe ou l’intégrité physique ou
morale d’une personne (notamment en cas d’atteinte aux
droits de propriété intellectuelle, de divulgation
d’information confidentielle, de conflit d’intérêt de
délit d’initié, de discrimination, de harcèlement moral
ou sexuel).
Saisie par la
fédération des travailleurs de la métallurgie, la
chambre sociale de la Cour de cassation s’est prononcée
sur la légalité de ce code par un arrêt rendu le 8
décembre 2009.
Dans cette décision,
elle rappelle d’abord que les salariés jouissent, dans
l’entreprise et en dehors de celle-ci, de leur liberté
d’expression, laquelle ne peut être limitée que par des
restrictions justifiées par la nature de la tâche à
accomplir et proportionnées au but recherché. Leur droit
d’expression collective sur le contenu, les conditions
d’exercice et l’organisation de leur travail ne peut,
quant à lui, être soumis à une quelconque autorisation
préalable.
Elle observe ensuite
que les informations à usage interne visées par le code
ne font pas l’objet d’une définition précise, de sorte
qu’il est impossible de vérifier si cette restriction à
la liberté d’expression est justifiée par la nature de
la tâche à accomplir et proportionnée au but recherché.
Elle relève enfin que
l’exercice du droit d’expression directe et collective
des salariés peut impliquer l’utilisation de certaines
de ces informations.
Elle en déduit que les
restrictions mises en place pour la diffusion des
informations à usage interne ne sont pas licites et
casse l’arrêt de la Cour d’appel de Versailles qui avait
jugé le contraire.
Selon la loi du 6
janvier 1978, tout traitement de données à caractère
personnel doit, selon les cas, faire l’objet d’une
déclaration auprès de la Commission nationale
informatique et liberté ou d’une autorisation délivrée
par cet organisme. A cet effet, l’article 25 II de la
loi du 10 janvier 1978 permet à la CNIL d’autoriser par
une décision unique tous les traitements qui répondent à
une même finalité, portent sur des catégories de données
identiques et ont les mêmes destinataires ou catégories
de destinataires. Les dispositifs de traitement de
données qui ne répondent pas à ces conditions doivent
faire l’objet d’une autorisation individuelle accordée
au cas par cas par la CNIL.
C’est dans ces
conditions qu’après avoir considéré, dans une
délibération du 10 novembre 2005, que les dispositifs
d’alerte professionnelle étaient soumis au régime de
l’autorisation lorsqu’ils peuvent conduire à l’exclusion
de personnes du bénéfice d’un droit, d’une prestation ou
d’un contrat en l’absence de toute disposition
législative ou réglementaire, la CNIL les a autorisés
par une décision unique le 8 décembre 2005 à condition
qu’ils respectent un certain nombre de règles relatives
au recueil des informations, au droit des personnes
d’être informées de l’existence du traitement, à leur
droit de s’y opposer pour motif légitime, de
rectification ou de suppression des informations
inexactes ou incomplètes.
La chambre sociale
rappelle d’abord que, selon l’article 1 er de la
délibération du 8 décembre 2005, cette autorisation
unique répond à une obligation législative ou
réglementaire visant à l’établissement de procédures de
contrôle interne dans les domaines financier, comptable,
bancaire et de lutte contre la corruption. Elle précise
ensuite que, même si l’article 3 de cette même
délibération prévoit que des faits ne se rapportant pas
à ces domaines peuvent
toutefois être communiqués aux personnes compétentes de
l’organisme lorsque l‘intérêt vital de cet organisme ou
l’intégrité physique ou morale de ses employés est en
jeu, ce dernier texte n’a pas eu pour effet de modifier
ou d’étendre l’objet d’un traitement automatisé de
données à caractère personnel mis en place sous le
régime de l’autorisation unique.
La chambre sociale en
déduit qu’un dispositif d’alerte professionnelle ne peut
avoir d’autre finalité que celle définie par l’article
1. Or, en l’espèce, le dispositif mis en place par
Dassault Systèmes avait un objet plus large puisqu’il
prévoyait la possibilité d’une alerte professionnelle
pour manquement aux règles du code de conduite,
étrangères aux finalités de ce dernier texte. Il ne
pouvait donc bénéficier du dispositif d’autorisation
unique.
L’arrêt de la cour
d’appel de Versailles qui avait jugé le dispositif
licite est encore cassé sur ce point.
Ce faisant, la chambre
sociale reconnaît au juge judiciaire la liberté
d'apprécier la licéité d'un dispositif d'alerte
professionnel même si celui-ci entre dans le champ
d’application de la délibération portant autorisation
unique délivrée par la CNIL.
Enfin la chambre
sociale juge que le dispositif d’alerte professionnelle
de la société Dassault Systèmes n’énonçant aucune mesure
destinée à assurer l’information des personnes
concernées et d’y rappeler leur droit d’accès et de
rectification, il n’était pas conforme en ce domaine aux
exigences de la loi informatique et liberté du 6 janvier
1978.
L’arrêt de la chambre
sociale a été rendu sur avis conforme de l’avocat
général.