A propos de l'alerte éthique française inspirée du "whistleblowing" américain, par Coraline Damien
La loi Sarbanes-Oxley impose aux sociétés cotées d’établir des procédures permettant aux employés de signaler des fraudes ou malversations comptables ou financières. Dans un souci d’efficacité, la loi comprend un mécanisme de protection des whistleblowers. Un dispositif similaire existe dans la réglementation bancaire et financière française mais le droit français n’envisageait pas jusqu’à la loi relative à la corruption du 13 novembre 2007 la protection de l’auteur de la dénonciation.
Votée après la série de scandales financiers américains retentissants, la loi Sarbanes-Oxley (SOX) du 31 juillet 2002 a eu pour objectif premier de restaurer la confiance des investisseurs dans les marchés financiers en plaçant la transparence au cœur du fonctionnement des entreprises cotées. Parmi l’arsenal de mesures mises en place pour atteindre cet objectif, la loi SOX a introduit l’obligation pour les sociétés cotées de se doter de comités d’audit lesquels doivent établir des procédures permettant aux employés de signaler des fraudes ou malversations comptables ou financières dont ils auraient connaissance. Tirant les leçons de l’affaire Enron, le Congrès a donné une portée étendue à cette loi en y intégrant un mécanisme de protection des whistleblowers (auteurs de dénonciation). Sherron Watkins, employée d’Enron avait fait l’objet de représailles après avoir averti son PDG des irrégularités comptables qu’elle avait constatées. S’étant imposée naturellement aux Etats-Unis comme une réponse efficace à la prévention des malversations commises dans l’entreprise, la perspective de l’introduction en France du whistleblowing a suscité des réactions épidermiques sur lesquelles nous ne reviendrons pas. Le mécanisme qualifié en France "d’alerte éthique" a été finalement introduit par l’arrêté du 31 mai 2005 lequel a ainsi inséré à l’article 11-2 alinéa 2 du règlement CRBF n°97-02 – relatif au contrôle interne applicable aux établissements de crédit et aux entreprises d’investissement autres que les sociétés de gestion de portefeuille – une procédure d’alerte des disfonctionnements relatifs au mécanisme de contrôle interne. Récemment, l’arrêté du 9 mars 2006 a inséré au sein du règlement général de l’AMF un nouvel article 321-23 imposant aux prestataires de services d’investissement un mécanisme d’alerte sensiblement similaire à celui du règlement CRBF n°97-02. Contrairement au législateur américain qui a placé la protection de l’auteur de la dénonciation au cœur du mécanisme américain, le droit français n’envisageait pas jusqu’à très récemment le mécanisme en tant que seule procédure de mise à jour de malversations dans l’entreprise. Or, l’adoption le 13 novembre 2007 de la loi relative à la corruption a semble-t-il, rapproché le droit français du droit américain en introduisant dans le Code du travail, un mécanisme de protection des salariés à l’origine d’une dénonciation d’un acte de corruption. Dès lors, il convient d’examiner l’étendue de ce rapprochement.
I. La mise en place de dispositifs d’alerte professionnelle Les scandales américains d’Enron et Worldcom ont permis une prise de conscience tant aux Etats-Unis qu’en France des faiblesses structurelles des systèmes de contrôle interne et externe des sociétés opérant sur les marchés financiers ainsi que des insuffisances des arsenaux juridiques permettant d’assurer ces contrôles (Fabio Perata). Aussi, la loi SOX a-t-elle cherchée à résoudre ces insuffisances en introduisant notamment l’obligation pour les sociétés cotés de mettre en place des dispositifs d’alerte professionnelle, dont le régulateur bancaire et financier français s’est largement inspiré (a.). Cependant, le dispositif français ne saurait être une simple transposition du mécanisme américain en raison de la persistance de différences de conception dans le traitement des données à caractère personnel (b.).
a. L’obligation de mettre en place des dispositifs d’alerte L’article 301(4) de la loi SOX a imposé l’obligation à toutes les sociétés cotées aux Etats-Unis de mettre en place un comité d’audit chargé d’établir des procédures internes permettant "aux employés de signaler (…) des fraudes comptables ou financières". La France n’a à ce jour adopté aucun texte législatif particulier imposant une telle obligation mais une obligation similaire existe de façon plus discrète au sein d’un règlement du Comité de la Réglementation Bancaire et Financière. En effet, l’article 11-2 du règlement n°97-02 prévoit l’obligation de mettre en place "des procédures de centralisation des informations relatives aux éventuels dysfonctionnements dans la mise en œuvre effective des obligations de conformité". Les établissements de crédit et prestataires de service d’investissement doivent prévoir "la faculté pour tout dirigeant ou préposé de faire part d’interrogations sur ces éventuels dysfonctionnements, au responsable de la conformité de l’entité ou de la ligne de métier à laquelle ils appartiennent, ou au responsable métier mentionné à l’article 11." Les prestataires de services d’investissement sont également concernés depuis l’arrêté du 9 mars 2006 qui a imposé un mécanisme sensiblement similaire. L’obligation de mettre en place des dispositifs d’alerte existe donc mais se distingue de la loi SOX par sa portée dans la mesure où elle ne concerne par les sociétés cotés mais les seules établissements de crédit et prestataire de service d’investissement. En outre, dans la mesure où le contrôle de conformité comprend différentes procédures (article 11-1), la procédure d’alerte constitue un "simple élément du contrôle de conformité". En dehors du cadre strictement règlementaire bancaire et financier, les entreprises peuvent mettre en place des dispositions d’alerte sous réserve de se conformer à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. Or, la CNIL dans Document d’orientation pour la mise en œuvre de dispositifs d’alerte professionnelle" du 10 novembre 2005 a précisé n’admettre les dispositifs d’alerte que dans le domaine comptable et bancaire, le contrôle des comptes et la lutte contre la corruption.
b. Conflit entre le dispositif d’alerte américain et la protection des données en Europe et en France Au principe de l’anonymat des alertes retenu par la loi SOX, la CNIL n’admet les dispositifs d’alerte que sous réserve de garantie de confidentialité. L’article 301 de la SOX requiert la mise en place de procédures permettant "la réception, la conservation et le traitement des réclamations reçues par l’émetteur(…), et la transmission par les employés de l’émetteur, de façon confidentielle et anonyme, de leurs préoccupations (…)." En pratique, les employés peuvent s’exprimer anonymement sur une boîte vocale ou sur un site intranet sécurisé. Les modalités d’exercice de la procédure d’alerte telles qu’elles sont définies par la SOX ne pouvaient être reprises purement et simplement en droit français car elles s’opposent frontalement à la conception tant européenne que française du traitement des données à caractère personnel. En effet, Le groupe de l’article 29 – par référence à l’article 29 de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel qui l’a créé -, groupe qui réunit des représentant d’autorités européennes semblables à la CNIL a donné une opinion semblable à celle de la CNIL. Ainsi la CNIL dans son "Document d’orientation" du 10 novembre 2005, a précisé que les dénonciations anonymes ne doivent pas être encouragées, mais au contraire que les auteurs doivent s’identifier. L’auteur de l’alerte reçoit toutefois une protection minimale puisque son identité doit être traitée de façon confidentielle par les personnes tenues de réceptionner les données. Le refus du principe de l’anonymat retenu dans le dispositif américain au profit d’une garantie de confidentialité participe donc d’une une démarche de responsabilisation de l’auteur de l’alerte. En effet, en obligeant les auteurs de l’alerte à s’identifier, le risque de dérapage vers la dénonciation calomnieuse semble réduit. Il s’agit ainsi de privilégier la "dénonciation vertueuse"(Hubert de Vauplane). Ainsi, la CNIL ainsi que les recommandations du groupe 29 préconisent que l’anonymat des dénonciations ne soit que l’exception à la règle. Or, cette différence entre les Etats-Unis et la France n’est pas sans traduire une différence de conception dans la façon dont la protection de l’auteur de la dénonciation doit être assurée.
II. La protection de l’auteur de la dénonciation Les dispositifs d’alerte professionnelle visent à permettre la dénonciation par des salariés de malversations commises par des employés ou dirigeants, lesquelles sont susceptibles au niveau microéconomique, de porter atteinte à la pérennité de l’entreprise et au niveau macroéconomique, d’emporter des conséquences négatives sur la confiance des investisseurs dans les marchés financiers. Ils participent donc d’une démarche de moralisation de la vie des affaires. Or, la condition sinequanone à l’utilisation et à l’efficacité d’un tel mécanisme est que les auteurs de dénonciation doivent impérativement bénéficier de mécanismes de protection. Aux Etats-Unis et désormais en France, la loi prévoit l’interdiction d’exercer des mesures de représailles à l’encontre du salariés qui auraient dénoncé des malversations (a.) et en cas de violation de cette interdiction, le droit d’agir en justice contre l’employeur auteur des représailles (b.). Cependant, la protection de l’auteur de la dénonciation semble plus restreinte en France car elle n’existe que lorsque la dénonciation porte sur des faits de corruption (c.).
a. Interdiction des mesures de représailles à l’encontre de l’auteur de la dénonciation Le Congrès lorsqu’il a adopté le mécanisme du whistleblowing au sein de la loi SOX, a placé la protection des auteurs de dénonciation au cœur du dispositif. Toute mesure de représailles exercée par l’employeur à l’encontre d’un salarié qui aurait dénoncé une malversation est prohibée tant en droit américain qu’en droit français. En effet, en vertu de l’article 806 de la loi SOX, les entreprises cotées ne peuvent "décharger, démettre, suspendre de ses fonctions, menacer, harceler, ou exercer toute discrimination" à l’encontre d’une personne qui révèle une information protégée à un employé au sein de l’organisation. Ce principe d’interdiction des représailles à l’encontre des salariés est désormais repris en droit français au sein d’un article L. 1161-1 du Code du travail introduit par la loi du 13 novembre 2007 relative a la lutte contre la corruption, lequel dispose qu’ "aucun salarié ne peut être sanctionné, licencié ou faire l’objet d’une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, de formation, de reclassement, d’affectation, de qualification, de classification, de promotion professionnelle, de mutation ou de renouvellement de contrat pour avoir relaté ou témoigné, de bonne foi, soit a son employeur, soit aux autorités judiciaires ou administratives, de faits de corruption dont il aurait eu connaissance dans l’exercice de ses fonctions. Cette interdiction est entendue de façon large tant en droit américain qu’en droit français puisque l’interdiction s’applique également aux candidats en phase de recrutement. Cependant, le champ d’application rationae personae de la loi SOX demeure plus large que la loi française puisque la loi SOX envisage également la protection des employés dont le contrat de travail a cessé ainsi que les employés des contractants, sous-traitants et mandataires des sociétés cotées.
b. Protection de l’auteur de la dénonciation par le droit d’agir en justice Si malgré l’interdiction posée par les articles 806 de la SOX et L.1161-1 du Code du travail, un employé dénonciateur faisait l’objet de représailles de la part de son employeur, les deux articles aménagent une procédure spéciale de défense des salariés auteurs de dénonciation. Cette procédure est quelque peu différente cependant selon que l’on se place en droit français ou en droit américain. En effet, alors que l’article L.1161-1 du Code du travail n’envisage la protection de l’auteur qu’à travers l’action en justice, la procédure aménagée par la loi SOX commence plus prématurément par une phase d’enquête, l’action en justice n’étant que l’ultime recours. En effet, avant toute action en justice, l’employé auteur d’une dénonciation qui fait l’objet de mesures de représailles, peut déposer plainte auprès du Department of Labor (DOL) dans un délai de 90 jours suivant la mesure de représailles. Si aucune investigation n’a été entreprise dans un délai de 180 jours à partir du dépôt de la plainte, l’employé peut intenter une action en saisissant la Federal District Court compétente. Dans les 20 jours à compter de la réception de la plainte, l’employeur peut soumettre une déclaration écrite ou toute attestation ou document le disculpant et solliciter un rendez-vous afin de se défendre. En cas d’échec, un service du DOL, l’Agence de la Sécurité et de la Santé au Travail (Occupational Health and Safety Administration) ouvre une enquête. Si l’investigation conduit l’OHSA à constater que l’employeur a agit en violation de l’article 806 de la SOX, l’employeur a alors une dernière occasion pour présenter dans un délai de 10 jours, la preuve de son innocence. L’efficacité de cette procédure s’est avérée moindre en pratique du fait de sa complexité, du caractère crucial des délais et bien souvent éliminatoires. Au contraire, le dispositif français n’aménage pas de phase d’enquête préalable à l’action en justice mais le juge peut ordonner "en cas de besoin toutes les mesures d’instruction qu’il estime utile". Dès lors, on peut se demander si la protection du salarié auteur de la dénonciation ne sera pas mieux garantie en pratique en France qu’aux Etats-Unis eu égard au fait que la procédure ne dépend que du juge et n’est pas encadrée par des délais stricts.
c. Limites de la protection de l’auteur de la dénonciation L’article 806 protège le salarié qui signale un comportement qu’il croit raisonnablement être en violation des lois pénales fédérales notamment certaines infractions pénales similaires l’escroquerie, l’abus de biens sociaux ou le faux en écriture comptable, de la réglementation de la Securities and Exchange Commission ou encore, des dispositions fédérales relatives à la fraude envers les actionnaires. Or l’article L.1161-1 du Code du travail se contente de mentionner "de fait de corruption". Dans la mesure où l’autorité judiciaire a souvent été conduite à requalifier des faits de corruption en infraction voisine telle que l’abus de biens sociaux ou le recel d’abus de biens sociaux, on pourrait admettre que la protection de l’article L. 1161-1 soit étendue à la dénonciation de tels faits. Toutefois, il n’en demeure pas moins que le champ de l’article L. 1161-1 reste moins étendu que celui de l’article 806 de la loi SOX. A cet égard, on peut regretter que la proposition du rapport Antonmattei-Vivien n’ait pas été reprise. En prévoyant la protection du salarié "pour avoir utilisé de bonne foi un dispositif d’alerte professionnelle", l’adoption de cette proposition aurait permis la consécration d’un principe général de protection du salarié lanceur d’alerte.
Bibliographie : 18 U.S.C. § 1514A 18 U.S.C. 1341, 1343, 1344, 1348 29 C.F.R. § 1980.103(d) 29 CFR § 1980.101 15 U.S.C. § 78j-1(m)(2) Loi n°2007-1598 du 13 novembre 2007 relative à la lutte contre la corruption, article 9 Transparence-International France, (2005), "Déclencher l’alerte, un nouveau dispositif de prévention et de lutte contre la corruption" Fabio Perata, "Sécurité financière, contrôle des marchés et gouvernement d’entreprise : une comparaison internationale", Revue Banque, juillet-août 2005, numéro 228, p. 2 Paul-Henri Antonmattei, Philippe Vivien, Rapport au ministre délégué à l’Emploi, au Travail et à l’Insertion professionnelle des jeunes, "Chartes d’éthiques, alerte professionnelle et droit du travail français : état des lieux et perspectives.", Les rapports de la documentation française "L’alerte éthique", Actualité du droit l’information, La lettre juridique des professionnels de l’information et de la documentation, numéro 69, mai 2006 "Le Whistleblowing dans la tourmente", Revue Banque, novembre 2005, numéro 674, p. 15 Annick Masounave, "Contrôle interne, vers une éthique de la responsabilité", Revue Banque, juillet-août 2005, numéro 228, pp. 24-25 Cercle d’éthique des affaires, "Pour un Whistleblowing à la française", Revue Banque, juillet-août 2005, numéro 228, pp.25-26 Christophe Jacomin, "Des dispositions d’application parfois incertaine", Revue Banque, juillet-août 2005, numéro 228, pp.17-19 Elleta Sangrey Callahan, Terry Morehead Dworkin, David Lewis, "Australian, U.K., and U.S. Approaches to Disclosure in the Public Interest", 44 Va. J. Int’l L. 879, 2003-2004 Frank J. Cavico, "Private Sector Whistleblowing and the Employment –At-Will Doctrine: A Comparative Legal, Ethical, And Pragmatic Analysis", 45 S. Tex. L. Rev. 543 (2003-2004) Hugues Bouchetemble, "L’alerte éthique dans les établissements de crédit et les entreprises d’investissement, étude comparée franco-américaine", Banque et Droit, mai-juin 2006, numéro 107, pp. 9-16 Hubert de Vauplane, "Le whistleblowing ou la dénonciation vertueuse." Revue Banque mars 2006 numéro 678, pp. 91-95 Terry Morehead Dworkin, "Sox and Whistleblowing", 105 Mich. L. Rev. 1757, 2006-2007