Cassation partielle
Demandeur(s)
: La Fédération des travailleurs de la métallurgie CGT)
Défendeur(s) : La
société Dassault systèmes
Attendu, selon l’arrêt
attaqué, qu’en 2004, puis 2007 la société Dassault
systèmes, société mère du groupe Dassault, a, à la suite
de la loi américaine dite “Sarbanes Oxley”, élaboré un
code de conduite des affaires applicable dans le groupe,
dénommé “ Code of Business Conduct” ; que ce code
définissait, d’abord , les règles applicables à la
diffusion des “informations confidentielles” et des
informations à “usage interne” dont les salariés peuvent
avoir connaissance dans le cadre de leur contrat de
travail, dans les termes suivants s’agissant de ces
dernières : ”est considérée comme information à usage
interne toute donnée relative ou appartenant à une
personne ou une société, qui n’a pas vocation à être
diffusée largement et qui est protégée ou non en vertu
du droit de la propriété intellectuelle ou du secret
industriel applicable (...) Avant toute utilisation
d’information à usage interne (...) nous recueillons
l’autorisation expresse de son propriétaire et nous nous
assurons que son utilisation est conforme aux modalités
de cette autorisation (exemples d’informations à usage
interne : notes de service, information envoyée aux
collaborateurs, organigrammes, objectifs et données se
rapportant aux équipes, caractéristiques techniques,
formules, dessins et modèles, inventions)” ; qu’il
organisait, ensuite, un système d’alerte professionnelle
ainsi défini : “l’utilisation du dispositif d’alerte
professionnelle n’est ni obligatoire, ni exclusive. Si
elle l’estime justifié, toute personne ayant
connaissance d’un manquement sérieux aux principes
décrits par le Code of Business conduct, en matière
comptable, financière ou de lutte contre la corruption,
peut signaler ce manquement aux personnes compétentes du
groupe DS. Ce dispositif ne peut être utilisé hors du
champ indiqué ci dessus. Néanmoins, il s’applique
également en cas de manquements graves aux principes
décrits par le code lorsqu’il met en jeu l’intérêt vital
du groupe DS ou l’intégrité physique ou morale d’une
personne (notamment en cas d’atteinte au droit de la
propriété intellectuelle, de divulgation d’informations
strictement confidentielles, de conflits d’intérêts, de
délits d’initié, de discrimination, de harcèlement moral
ou sexuel)“ ; que la version de 2007 de ce code a fait
l’objet le 30 mai 2007 d’un engagement de conformité à
l’autorisation unique n° 2005 305 du 8 décembre 2005
prise en application de l’article 25 II de la loi
Informatique et liberté du 6 janvier 1978 ; qu’estimant
que son contenu portait atteinte aux libertés
fondamentales des salariés et que le dispositif d’alerte
n’était pas conforme à cette autorisation unique et
aurait dû faire l’objet d’une autorisation en
application de l’article 25 I de la loi précitée, la
fédération des travailleurs de la métallurgie CGT a
saisi le tribunal de grande instance d’une demande
d’annulation de ce code ;
Sur le premier
moyen :
Attendu qu’il n’y a
pas lieu de statuer sur ce moyen qui ne serait pas de
nature à permettre l’admission du pourvoi ;
Mais sur le
deuxième moyen :
Vu les articles L.
1121 1 et L. 2281 1 du code du travail ;
Attendu que pour
déclarer licites les dispositions du code de conduite
des affaires version 2007 relatives aux informations à
usage interne, l’arrêt retient que l’article L. 2281 1
du code du travail concerne le droit d’expression qui
s’exerce collectivement et non la liberté d’expression
protégée par l’article L. 1121 1 du même code et que
comme l’invoque à bon droit la société, les informations
“à usage interne” sont définies et des exemples précis
sont donnés ;
Attendu cependant,
d’abord, que les salariés jouissent, dans l’entreprise
et en dehors de celle ci, de leur
liberté d’expression à laquelle seules des
restrictions justifiées par la nature de la tâche à
accomplir et proportionnées au but recherché peuvent
être apportées ;
Attendu ensuite que le
droit d’expression directe et collective des salariés
sur le contenu, les conditions d’exercice et
l’organisation de leur travail s’exerce dans les
conditions prévues par les articles L. 2281 1 à L. 2281
12 du code du travail et que l’utilisation
d’informations dans le cadre de l’exercice de ce droit
ne peut être en principe soumise à une autorisation
préalable ;
Qu’en statuant comme
elle a fait alors, d’une part, que les informations à
usage interne dont la divulgation est soumise à
autorisation préalable par le code de conduite de la
société Dassault systèmes ne faisaient pas l’objet d’une
définition précise, de sorte qu’il était impossible de
vérifier que cette restriction à la liberté d’expression
était justifiée par la nature de la tâche à accomplir et
proportionnées au but recherché et, d’autre part, que
l’exercice du droit d’expression directe et collective
des salariés pouvait impliquer l’utilisation de
certaines de ces informations, la cour d’appel a violé
les textes susvisés ;
Et sur le
troisième moyen, pris en sa première branche :
Vu l’article 25 de la
loi du 6 janvier 1978 et les articles 1 et 3 de la
délibération, portant autorisation unique de traitement
automatisés de données à caractère personnel mis en
oeuvre dans le cadre de dispositifs d’alerte
professionnelle, n° 2005 305 du 8 décembre 2005 de la
Commission nationale de l’informatique et des libertés
(CNIL) ;
Attendu que pour
déclarer licites les dispositions du code de conduite
des affaires version 2007 relatives à l’alerte
professionnelle, la cour d’appel retient que ce
dispositif est conforme au régime simplifié
d’autorisation unique défini par la CNIL dans sa
délibération du 8 décembre 2005, dispensant les
responsables de traitement automatisé de données à
caractère personnel du régime normal de l’autorisation
lorsque le traitement mis en oeuvre répond à une
obligation législative ou réglementaire visant à
l’établissement de procédures de contrôle interne dans
les domaines financier, comptable, bancaire et de la
lutte contre la corruption (article 1) ; que l’article 3
de cette autorisation prévoit que des faits qui ne se
rapportent pas à ces domaines peuvent toutefois être
communiqués aux personnes compétentes de l’organisme
lorsque l’intérêt vital de celui ci ou l’intégrité
physique ou morale de ses employés est en jeu ; qu’il ne
saurait être reproché à la société d’avoir étendu le
dispositif d’alerte à des situations non prévues par la
délibération de la CNIL et à des cas de mise en jeu de
l’intérêt vital des personnes expressément prévue par
cet article 3, qu’il ne peut donc être reproché à la
société de ne pas avoir sollicité l’autorisation de la
CNIL ;
Attendu, cependant,
que l’autorisation unique susvisée, en son article Ier
relatif à la finalité des traitements dispose que :
“Seuls peuvent faire l’objet d’un engagement de
conformité par référence à la présente décision unique
les traitements mis en oeuvre par les organismes publics
ou privés dans le cadre d’une alerte professionnelle
répondant à une obligation législative et réglementaire
de droit français visant à l’établissement de procédures
de contrôle interne dans les domaines financier,
comptable bancaire et de lutte contre la corruption.
Conformément à l’article 7-5 de la loi du 6 janvier 1978
modifiée, les traitements mis en oeuvre dans les
domaines comptable et d’audit par les entreprises
concernées par la section 301(4) de la loi américaine
dite “ Sarbanes Oxley” de juillet 2002 entrent également
dans le champ de la présente décision” ; que son article
3 relatif aux catégories de données à caractère
personnel enregistrées prévoit limitativement ces
catégories de données en précisant que “Les faits
recueillis sont strictement limités aux domaines
concernés par le dispositif d’alerte. Des faits qui ne
se rapportent pas à ces domaines peuvent toutefois être
communiqués aux personnes compétentes de l’organisme
concerné lorsque l’intérêt vital de cet organisme et
l’intégrité physique ou morale de ses employés est en
jeu“ ; qu’il en résulte qu’un dispositif d’alerte
professionnelle faisant l’objet d’un engagement de
conformité à l’autorisation unique ne peut avoir une
autre finalité que celle définie à son article 1er que
les dispositions de l’article 3 n’ont pas pour objet de
modifier ;
Qu’en statuant comme
elle a fait, la cour d’appel a violé les textes susvisés
;
Et sur le
troisième moyen, pris en ses troisième et quatrième
branches :
Vu les articles 6, 32,
39 et 40 de la loi du 6 janvier 1978 informatique et
libertés modifiée et les articles 9 et 10 de la
délibération portant autorisation unique de traitement
automatisés de données à caractère personnel mis en
oeuvre dans le cadre de dispositifs d’alerte
professionnelle, n° 2005 305 du 8 décembre 2005 ;
Attendu que débouter
le syndicat de sa demande d’annulation du code de
conduite version 2007, la cour d’appel retient que dès
lors que la déclaration du système d’alerte a été faite
auprès de la CNIL, la société n’était pas tenue de
rappeler dans le paragraphe concerné du code de conduite
des affaires les dix articles de la délibération du 8
décembre 2005, et notamment ses articles 9 et 10
concernant l’information de la personne faisant l’objet
de l’alerte professionnelle et le respect des droits
d’accès et de rectification et qu’il suffisait de
rappeler comme l’a fait la société les points principaux
de cette délibération ;
Attendu cependant, que
les mesures d’information prévues par la loi du 6
janvier 1978 reprises par la décision d’autorisation
unique de cette commission pour assurer la protection
des droits des personnes concernées doivent être
énoncées dans l’acte instituant la procédure d’alerte ;
Qu’en statuant comme
elle a fait alors que le dispositif d’alerte
professionnelle de la société Dassault systèmes ne
prévoyait aucune mesure d’information et de protection
des personnes répondant aux exigences de la loi du 6
janvier 1978 et de la délibération du 8 décembre 2005
portant autorisation unique, la cour d’appel a violé les
textes susvisés ;
Et sur le
quatrième moyen :
Vu l’article 624 du
code de procédure civile ;
Attendu que la
cassation à intervenir sur les deuxième et troisième
moyens entraîne par voie de conséquence la cassation de
l’arrêt en ce qu’il déboute la fédération des
travailleurs de la métallurgie de sa demande en dommages
intérêts ;
PAR CES MOTIFS
:
CASSE ET ANNULE, mais
uniquement en ce qu’il a déclaré licites les
dispositions du code de conduite des affaires de la
société Dassault systèmes version 2007 relatives aux
“informations à usage internes” et au dispositif
d’alerte professionnelle et débouté la Fédération des
travailleurs de la métallurgie de ses demandes
correspondantes et de sa demande de dommages intérêts,
l'arrêt rendu le 17 avril 2008, entre les parties, par
la cour d'appel de Versailles ; remet, en conséquence,
sur ces points, la cause et les parties dans l'état où
elles se trouvaient avant ledit arrêt et, pour être fait
droit, les renvoie devant la cour d’appel de Paris ;
Président :
Mme Collomp
Rapporteur :
Mme Morin, conseiller
Avocat général
: M. Aldigé
Avocat(s) :
SCP Masse-Dessen et Thouvenin ; SCP Gatineau et
Fattaccini