Communiqué relatif à l’arrêt n° 2524 de la Chambre sociale du 8 décembre 2009

Contrat de travail, exécution

Contrat de travail, exécution


Communiqué

Dans un arrêt du 8 décembre 2009, la chambre sociale de la Cour de cassation se prononce sur la validité du code interne de conduite des affaires élaboré par la société Dassault Systèmes.

Afin de se conformer aux exigences de la loi Américaine dite “Sarbanes Oxley” fixant les règles de transparence, d’alerte et de contrôle des sociétés américaines cotées, la société Dassault Systèmes, cotée à la bourse de New-York, a élaboré, en 2004 et 2007, un “ code de conduite des affaires” destiné à promouvoir les orientations fondamentales de l’entreprise relevant de sa responsabilité sociale, à préciser diverses règles en matière de conflit d’intérêt et de délit d’initié, à fixer les règles applicables à la diffusion des informations de l’entreprise et à instaurer un dispositif d’alerte professionnelle.

Ce code exige en particulier des salariés qu’ils requièrent une autorisation préalable pour utiliser toute information dont ils pourraient avoir connaissance à l’occasion de l’exécution de leur contrat de travail, non seulement les informations confidentielles, mais aussi celles dites “à usage interne” ( par exemple : notes de service, information envoyée aux collaborateurs, organigrammes, objectifs et données se rapportant aux équipes, caractéristiques techniques, formules, dessins et modèles, inventions).

Ce code met en place par ailleurs un dispositif d’alerte en cas de manquements aux principes qu’il énonce en matière comptable, financière ou de lutte contre la corruption, ainsi qu’à tout autre principe lorsqu’est mis en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne (notamment en cas d’atteinte aux droits de propriété intellectuelle, de divulgation d’information confidentielle, de conflit d’intérêt de délit d’initié, de discrimination, de harcèlement moral ou sexuel).

Saisie par la fédération des travailleurs de la métallurgie, la chambre sociale de la Cour de cassation s’est prononcée sur la légalité de ce code par un arrêt rendu le 8 décembre 2009.

Dans cette décision, elle rappelle d’abord que les salariés jouissent, dans l’entreprise et en dehors de celle-ci, de leur liberté d’expression, laquelle ne peut être limitée que par des restrictions justifiées par la nature de la tâche à accomplir et proportionnées au but recherché. Leur droit d’expression collective sur le contenu, les conditions d’exercice et l’organisation de leur travail ne peut, quant à lui, être soumis à une quelconque autorisation préalable.

Elle observe ensuite que les informations à usage interne visées par le code ne font pas l’objet d’une définition précise, de sorte qu’il est impossible de vérifier si cette restriction à la liberté d’expression est justifiée par la nature de la tâche à accomplir et proportionnée au but recherché.

Elle relève enfin que l’exercice du droit d’expression directe et collective des salariés peut impliquer l’utilisation de certaines de ces informations.

Elle en déduit que les restrictions mises en place pour la diffusion des informations à usage interne ne sont pas licites et casse l’arrêt de la Cour d’appel de Versailles qui avait jugé le contraire.

Selon la loi du 6 janvier 1978, tout traitement de données à caractère personnel doit, selon les cas, faire l’objet d’une déclaration auprès de la Commission nationale informatique et liberté ou d’une autorisation délivrée par cet organisme. A cet effet, l’article 25 II de la loi du 10 janvier 1978 permet à la CNIL d’autoriser par une décision unique tous les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires. Les dispositifs de traitement de données qui ne répondent pas à ces conditions doivent faire l’objet d’une autorisation individuelle accordée au cas par cas par la CNIL.

C’est dans ces conditions qu’après avoir considéré, dans une délibération du 10 novembre 2005, que les dispositifs d’alerte professionnelle étaient soumis au régime de l’autorisation lorsqu’ils peuvent conduire à l’exclusion de personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire, la CNIL les a autorisés par une décision unique le 8 décembre 2005 à condition qu’ils respectent un certain nombre de règles relatives au recueil des informations, au droit des personnes d’être informées de l’existence du traitement, à leur droit de s’y opposer pour motif légitime, de rectification ou de suppression des informations inexactes ou incomplètes.

La chambre sociale rappelle d’abord que, selon l’article 1 er de la délibération du 8 décembre 2005, cette autorisation unique répond à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. Elle précise ensuite que, même si l’article 3 de cette même délibération prévoit que des faits ne se rapportant pas

à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l’organisme lorsque l‘intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu, ce dernier texte n’a pas eu pour effet de modifier ou d’étendre l’objet d’un traitement automatisé de données à caractère personnel mis en place sous le régime de l’autorisation unique.

La chambre sociale en déduit qu’un dispositif d’alerte professionnelle ne peut avoir d’autre finalité que celle définie par l’article 1. Or, en l’espèce, le dispositif mis en place par Dassault Systèmes avait un objet plus large puisqu’il prévoyait la possibilité d’une alerte professionnelle pour manquement aux règles du code de conduite, étrangères aux finalités de ce dernier texte. Il ne pouvait donc bénéficier du dispositif d’autorisation unique.

L’arrêt de la cour d’appel de Versailles qui avait jugé le dispositif licite est encore cassé sur ce point.

Ce faisant, la chambre sociale reconnaît au juge judiciaire la liberté d’apprécier la licéité d’un dispositif d’alerte professionnel même si celui-ci entre dans le champ d’application de la délibération portant autorisation unique délivrée par la CNIL.

Enfin la chambre sociale juge que le dispositif d’alerte professionnelle de la société Dassault Systèmes n’énonçant aucune mesure destinée à assurer l’information des personnes concernées et d’y rappeler leur droit d’accès et de rectification, il n’était pas conforme en ce domaine aux exigences de la loi informatique et liberté du 6 janvier 1978.

L’arrêt de la chambre sociale a été rendu sur avis conforme de l’avocat général.