En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Jurisprudence : Contenus illicites

mardi 10 novembre 2009
Facebook Viadeo Linkedin

Tribunal de grande instance de Caen Ordonnance de référé 05 novembre 2009

Comité d'Entreprise Benoist Girard et autres / Benoist Girard

anonymat - contenus illicites - dénonciation - droit d'accès - information - informatique et libertés - référé - salarié - vie privée

FAITS ET PROCEDURE

Suivant acte en date du 29 mai 2009, le Comité d’Entreprise, le Comité d’Hygiène et de sécurité (CHSCT) de la société Benoist Girard et la CFDT Métaux ont assigné en référé la société Benoist Girard pour que la suspension de l’utilisation du dispositif d’alerte professionnelle mise en place à compter du 27 juillet 2008 soit ordonnée sur le fondement de l’article 809 du Code de Procédure Civile.

Le Comité d’Entreprise et le CHSCT de la société Benoist Girard, et la CFDT Métaux exposent :

Le groupe Stryker, aux Etats-Unis, a pour activité la fabrication de matériel médical, et possède des filiales en France, dont la société Benoist Girard,

Le groupe Stryker a mis en place un dispositif d’alerte professionnelle applicable également à ses filiales,

Ce dispositif d’alerte professionnelle consiste à ce que toute personne quelle qu’elle soit puisse dénoncer n’importe quel salarié du groupe Stryker et ce par le biais d’une hotline téléphonique, par l’utilisation d’intranet au sein de l’entreprise ou plus généralement d’internet,

L’utilisation de ce système d’alerte professionnelle a fait l’objet d’un constat d’huissier en date du 17 novembre 2008,

Ce dispositif doit s’analyser en un traitement automatisé des données ou informations à caractère personnel qui entre dans le champ d’application de la loi informatique et liberté du 6 janvier 1978,

Il ressort de l’utilisation du dispositif d’alerte professionnelle que ce dernier ne répond pas aux obligations relatives aux données, ne respecte pas les modalités de traitement des données collectées,

Le droit des personnes concernées par la collecte et le traitement des données personnelles n’est pas respecté conformément aux exigences légales, notamment s’agissant de l’absence d’information de la personne concernée, de l’impossibilité pour elle de s’opposer et de faire supprimer des informations la concernant,

Enfin, aucune autorisation de la Cnil n’a été sollicitée, or ce régime est obligatoire pour toute situation considérée comme attentatoire à la vie privée et aux libertés fondamentales,

La société Benoist Girard a modifié son règlement sans information ni avis préalable du CHSCT,

Cette modification concerne une annexe supplémentaire s’agissant de documents définissant les modalités d’application de la hotline en France,

L’avis du CHSCT n’a d’ailleurs pas été recueilli préalablement à la mise en oeuvre du dispositif d’alerte professionnel,

Ils sollicitent que soit constaté le trouble manifestement illicite résultant de la mise en oeuvre du dispositif d’alerte professionnelle contrairement aux dispositions légales en la matière, et que soit ordonnée la suspension du dispositif du droit d’alerte interne sous astreinte de 3000 € par jour de retard et par salarié concerné,

Ils sollicitent que les frais de défense, en ce compris les frais de conseil, du CHSCT soient mis à la charge de la société Benoist Girard.

La société Benoist Girard réplique :

Le groupe Stryker est coté sur le marché boursier aux Etats-Unis, et doit selon les dispositions de la loi “Sarbanes Oxley” de juillet 2002 mettre en place des systèmes de contrôles internes au sein du groupe y compris leurs filiales étrangères,

Le dispositif mis en place dans le groupe Stryker est encadré par des accords de transferts et de traitements de données à caractère personnel conclus conformément à la décision de la Commission Européenne du 27 décembre 2004, par un accord de prestation de service conclu entre la société Benoist Girard et la société Ethics Point, chargé de récolter les informations,

Elle s’est engagée à ce qu’une politique spécifique soit mise en place afin de respecter le Droit européen,

Le Comité d’Entreprise a été consulté lors des réunions des 27 mars 2008 et 29 mai 2008 et a toujours émis un avis défavorable s’agissant du dispositif d’alerte professionnel,

Le CHSCT a été consulté le 7 avril 2008, et a émit également un avis défavorable s’agissant de la mise en place du dispositif d’alerte professionnelle et de la modification du règlement intérieur nécessaire,

L’annexe au règlement intérieur est entrée en vigueur dans l’entreprise le 28 juillet 2008, soit un mois après l’envoi de cette annexe à l’inspection du travail,

Le Comité d’Entreprise et le CHSCT ne sont pas recevables dans leur action puisqu’ils n’ont pas capacité pour agir, et ne peuvent représenter les intérêts collectifs, et individuels des salariés,

Le syndicat CFDT n’est, quant à lui, pas habilité par les salariés pour les représenter dans cette action civile,

Le juge des référés n’est pas compétent car l’urgence n’est pas caractérisée, de même que le trouble manifestement illicite,

Le dispositif mis en place est conforme aux dispositions légales en vigueur, notamment à la loi informatique et liberté,

Le CHSCT a été consulté s’agissant de la modification du règlement intérieur et le dispositif mis en place a fait l’objet d’une déclaration à la Cnil donc ce dispositif est licite, de même que la procédure qui l’a mis en place,

Elle avait en effet la possibilité de passer par un engagement de conformité aux lieu et place d’une autorisation puisque le système mis en place par Ethics Point tel que calibrée par la société Benoist Girard est conforme aux exigences de la Cnil,

Depuis la mise en place du dispositif d’alerte professionnelle en juillet 2008, ce dernier n’a jamais été mis en oeuvre pour un salarié de l’entreprise Benoist Girard,

Les demandes formulées s’agissant de la suspension du dispositif d’alerte dépassent les compétences de la société et cette dernière ne pourra qu’empêcher la connexion sur intranet mais pas la connexion sur le site Ethics Point,

Elle sollicite le rejet des demandes et sollicite une indemnité de 3000 € sur le fondement de l’article 700 du Code de Procédure Civile.

En réponse, le Comité d’Entreprise et le CHSCT de la société Benoist Girard et la CFDT Métaux font valoir que le dispositif d’alerte mis en place via le site internet Ethics Point est accessible de tous les pays et permet de dénoncer un salarié français et ce sans avoir besoin de sélectionner un site français,

Le site Ethics Point incite à la dénonciation anonyme, la seule restriction posée, est celle des situations d’urgence, qui ne sont pas de la compétence du site internet et du dispositif d’alerte,

Le syndicat CFDT est recevable dans son action, ayant la capacité d’agir, étant valablement représenté par son secrétaire, et ayant un intérêt à agir, pour dénoncer la violation des droits et libertés publiques, et l’atteinte à la vie privée des salariés en général,

L’action du Comité d’Entreprise est par ailleurs recevable puisqu’il a la capacité d’agir, et fonde sa demande sur le non respect de son droit d’être consulté préalablement à la mise en place d’un système d’alerte,

Enfin le CHSCT est également recevable à agir puisqu’il est doté de la personnalité morale et qu’il a intérêt à agir, puisqu’il n’a pas été consulté préalablement à la modification du règlement intérieur,

La compétence du juge des référés est justifiée au regard de l’absence d’information et de consultation du CHSCT, et également au regard du trouble manifestement illicite résultant de la mise en place d’un dispositif d’alerte contraire aux dispositions légales en vigueur,

Le problème réside dans le prestataire de service, Ethics point. En effet, d’autres entreprises ayant recours à ce site interdisent l’accès au site s’agissant de leur filiale en France, en justifiant que le site n’est pas mis en service conformément à la réglementation en vigueur,

La société Benoist Girard invoque le fait qu’elle a fait supprimer la rubrique “sujet d’inquiétude” des thèmes possibles, cependant il est toujours possible de collecter et de traiter des données sensibles interdites,

En France, le fait de ne pas utiliser les données à la finalité recherchée, est constitutif d’une infraction pénale, de même que le fait de ne pas recueillir des données exactes, rien ne garantit que des tiers non autorisés n’auraient pas accès aux données recueillies,

Le contrat conclu entre l’exportateur et l’importateur de données fourni par la société Benoist Girard n’est pas signé et de plus, il ne contient pas les clauses exigées par la Cnil,

Aucune précaution n’a été prise au regard de la nature des données collectées, d’autant plus que les informations sont susceptibles de servir à des sanctions disciplinaires,

En conséquence, ils maintiennent leur demande, notamment de suspension de la mise en oeuvre du dispositif du droit d’alerte,

DISCUSSION

Sur la recevabilité de l’action engagée par le Comité d’Entreprise et le CHSCT de la société Benoist Girard et la CFDT Métaux

Les demandeurs agissent afin que le système de droit d’alerte mis en place au sein du groupe Stryker comprenant la société Benoist Girard soit suspendu.

Le Comité d’Entreprise agit pour dénoncer les illégalités résultant de la mise en oeuvre du dispositif d’alerte et des modalités qui ont été retenues par l’employeur. Si le Comité d’Entreprise a la personnalité juridique et la capacité d’agir en justice, il doit cependant justifier d’un intérêt à agir. Or en l’espèce, soit, il se substitue au procureur de la république s’agissant de dénoncer l’illégalité d’un dispositif susceptible de porter atteinte aux salariés et il n’est pas recevable à agir en ses lieux et place, soit il agit au nom des salariés, mais dans ce cas il ne tient d’aucune disposition légale le pouvoir d’exercer une action en justice en leur nom.
L’action engagée par le Comité d’entreprise est donc irrecevable.

Au surplus, il résulte des pièces versées aux débats que le comité d’entreprise a bien été consulté sur le dispositif d’alerte professionnel et sur l’annexe destinée à être jointe au règlement intérieur et qu’il a rendu à trois reprises des avis défavorables à l’issue des réunions des 27 mars 2008, 29 mai 2008 et 26 juin 2008. Il n’a donc pas non plus intérêt à agir de ce chef.
Le CHSCT est doté de la personnalité morale. Selon l’article L.4612-8 du Code du Travail, le CHSCT doit être consulté par l’employeur avant toute décision d’aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail, et notamment avant toute transformation importante des conditions des postes de travail découlant de la modification de l’outillage, d’un changement de produit ou de l’organisation du travail, avant toute modification des cadences et des normes de productivité liées ou non à la rémunération du travail.

La société Benoist Girard a estimé devoir consulter le CHSCT sur le dispositif d’alerte professionnelle qu’elle envisageait d’installer au sein de l’entreprise, cependant il ne résulte pas des documents produits que le CHSCT ait émis un avis.

Le procès verbal dressé le 7 avril 2008 indique “qu’une nouvelle réunion sera fixée après validation des réponses obtenues” sur les remarques et les inquiétudes présentées par le Comité d’entreprise. Or il n’est pas justifié qu’une nouvelle réunion ait eu lieu.

La seule attestation du président du CHSCT affirmant qu’un avis défavorable a été rendu à la réunion du 7 avril ne saurait suppléer au silence de l’écrit et laisse de toute façon planer un doute sur l’avis qui aurait pu être recueilli après communication des éléments complémentaires dont il est fait état.

L’action du CHSCT en ce qu’elle vise à faire constater que son avis n’a pas été sollicité est donc recevable en la forme.

Le syndicat CFDT est légalement formé, conformément aux dispositions du Code du Travail. De plus, il a la capacité d’ester en justice, et a désigné pour se faire son secrétaire. En l’espèce, il fonde son action sur une violation des droits et libertés publiques mais également d’une atteinte à la vie privé des salariés. Le dispositif étant susceptible de porter atteinte à l’intérêt collectif de la profession, le syndicat CFDT a intérêt à agir et son action est recevable,

Sur la compétence du juge des référés

Les demandeurs fondent leur action sur les articles 808 et 809 du Code de Procédure Civile. Ils invoquent à ce litre, que le dispositif de droit d’alerte mis en place au sein de la société Benoist Girard n’est pas conforme aux dispositions de la loi informatique et liberté du 6 janvier 1978,

De plus, le CHSCT n’aurait pas été régulièrement consulté s’agissant de la modification du règlement intérieur résultant de l’ajout d’une annexe concernant le dispositif d’alerte interne.

Ces deux fondements à l’action justifient la compétence du juge des référés puisqu’il y a un risque d’atteinte aux droits et libertés, collectives et individuelles, ce qui peut caractériser un trouble manifestement illicite.

Sur la suspension de la mise en place du droit d’alerte professionnelle

L’article 809 du Code de Procédure Civile dispose que “le président peut toujours, même en présence d’une contestation sérieuse, prescrire en référé les mesures conservatoires ou de remise en état qui s’imposent soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite.

Il ressort des débats et des pièces produites que la société Benoist Girard, filiale du groupe Stryker, est spécialisée dans l’activité de fabrication des implants et prothèses orthopédiques.

La loi américaine “Sarbanes Oxley” de juillet 2002 impose aux sociétés américaines ainsi qu’à leurs filiales étrangères de disposer d’un processus d’alerte habilité à recevoir des informations directement des salariés concernant les fraudes ou des malversations comptables ou financières dont ils auraient connaissance à l’occasion de leurs fonctions.

Le groupe Stryker a mis en place un système d’alerte par le biais d’une ligne d’assistance téléphonique et par l’utilisation d’intranet et internet. Le groupe a eu recours à un prestataire de service, le site internet Ethics Point, qui intègre le dispositif d’alerte et guide l’utilisateur tout au long de la procédure.

Le contenu du site est mondialement accessible et tout utilisateur d’internet, même non salarié du groupe Stryker, peut y accéder.

Afin de mettre en place ce système, la société Benoist Girard a consulté le Comité d’entreprise lors de différentes réunions, ce dernier a émis des avis défavorables sur la mise en place du processus d’alerte et ce malgré les modifications apportées au processus par la direction de la société en vue de satisfaire aux réclamations du Comité d’Entreprise et aux dispositions légales applicables en France.

Par ailleurs, le 26 juin 2008 le Comité d’Entreprise a également émis un avis défavorable sur la modification du règlement intérieur comprenant l’ajout de l’annexe définissant les modalités de fonctionnement du dispositif d’alerte en France.

L’annexe est entrée en vigueur au sein de la société Benoist Girard le 28 juillet 2008, date à laquelle le dispositif d’alerte professionnelle a été activé.

En premier lieu, il convient de constater que le CHSCT n’a pas émis d’avis formellement constaté, ni qu’il ait été à nouveau saisi sur la modification apportée au règlement intérieur, ce qui aurait été logique puisqu’il avait été initialement consulté sur le principe même du dispositif. Le procès verbal de la réunion extraordinaire du 7 avril 2008 se borne à mentionner qu’une nouvelle réunion du CHSCT devrait se tenir après validation des réponses obtenues mais n’a procédé à aucun vote pour émettre un quelconque avis.

Dès lors, il est nécessaire de constater que le CHSCT n’a pas été valablement consulté sur la mise en place du dispositif d’alerte professionnelle ni sur la modification du règlement intérieur de la société Benoist Girard. Le trouble manifestement illicite est alors caractérisé,

En second lieu, le dispositif d’alerte en lui même est critiqué par le syndicat CFDT en ce qu’il ne correspondrait pas au dispositif légal applicable en la matière.
En effet, le dispositif d’alerte entre dans le champ d’application de la loi informatique et liberté en ce qu’il consiste en un traitement automatisé des données ou informations à caractère personnel.

Dès lors, le dispositif d’alerte doit répondre à plusieurs conditions telles que l’obligation de ne recueillir que des données non sensibles, s’agissant notamment de l’appartenance syndicale ou les opinions politiques ou religieuses. Par ailleurs, les personnes visées par la dénonciation doivent pouvoir être informées, et doivent avoir un droit d’accès de rectification et de suppression des données la concernant.

Or, il ressort du procès verbal de constat du 17 novembre 2008 que les thèmes susceptibles de servir à la dénonciation de problème sont différents lorsqu’une personne se connecte en choisissant un pays d’origine tel que la France ou les Etats-Unis. La configuration internationale du site Ethics Point permet de dénoncer anonymement des faits qui ne concernent pas seulement des faits de corruption ou de malversations, conformément à l’esprit de la loi américaine, mais aussi des sujets d’ordre général, regroupés par exemple sous la catégorie “Autres sujets d’inquiétude”, qui autorisent une dérive dans la délation contraire à l’article 8 de la loi du 6 janvier 1978.

Ethics Point incite par ailleurs la personne qui dénonce un incident à rester anonyme, alors que la Cnil, dans sa délibération du 8 décembre 2005, concernant le dispositif d’autorisation unique pour les dispositifs d’alerte, préconise au contraire que l’émetteur de l’alerte s’identifie même si par la suite son identité restera confidentielle.

Enfin, la personne faisant l’objet d’une alerte professionnelle est censée pouvoir être informée de cette alerte à son encontre, avoir accès aux informations et pouvoir les rectifier.

La société Benoist Girard affirme que toutes les exigences de la Cnil sont réunies dans l’annexe du règlement intérieur, et qu’elle a rendu le dispositif d’alerte conforme au droit français, ainsi qu’en fait foi l’engagement de conformité qu’elle a adressé à la Cnil au regard de la délibération du 8 décembre 2005 qui définit les modalités que doivent respecter les traitements de données mises en oeuvre dans un tel dispositif, et ce y compris dans le cadre de l’application de la loi Sarbanes Oxley. Cependant la société Benoist Girard ne prouve pas en quoi le dispositif mis en place permet de respecter la loi informatique et liberté.

Elle indique que la catégorie “sujets d’inquiétude” a été enlevée, mais seulement en France, alors qu’il est possible d’attaquer le site à partir d’un pays étranger ou toutes les catégories apparaissent de sorte que le dispositif intégral peut être aisément détourné et utilisé pour dénoncer des faits sans rapport avec les domaines de fraudes comptables et de corruption pour lesquels il a été a priori conçu. De même elle ne prouve pas que les données ne peuvent pas être divulguées à des personnes non concernées en l’absence de contrôle réel sur la société prestataire basée aux Etats-Unis, ni que l’information de la personne faisant l’objet d’une alerte professionnelle sera effectif, ni enfin que les personnes dénoncées aient accès au contenu des dénonciations et puissent exercer un droit de rectification.

La société Benoist Girard a également fait preuve d’un certain manque de transparence loyale en présentant initialement au comité d’entreprise, au CHSCT, puis à l’inspection du travail ce dispositif sous l’appellation anodine “d’une ligne d’assistance téléphonique” alors qu’il s’agit très exactement d’un dispositif d’alerte professionnel mondialement accessible par internet, et qui en raison des vastes champs de possibilités qu’il offre pour effectuer des dénonciations, présente des risques sérieux de mise en cause abusive ou disproportionnée de l’intégrité professionnelle voire personnelle des employés concernés. II apparaît en définitive tout à fait disproportionné par rapport aux objectifs de la loi américaine en ce qu’il s’applique à tous les employés de l’usine sans restriction. Ces points sont en contradiction avec le document d’orientation de la Cnil du 10 novembre 2005 qui précise que conformément au principe de proportionnalité, les catégories de personnels susceptibles de faire l’objet d’une alerte devraient être précisément définies en référence aux motifs légitimant la mise en oeuvre du dispositif d’alerte, et que la possibilité de réaliser une alerte de façon anonyme ne peut que renforcer le risque de dénonciation calomnieuse.

De même la société Benoist Girard a fait preuve d’une hâte excessive pour aboutir à tout prix à la mise en place de ce dispositif en anticipant son ouverture avant que toutes les garanties aient été apportées sur sa conformité réelle à la législation française. Les procès verbaux du Comité d’entreprise et du CHSCT font apparaître des questionnements successifs qui portent sur les mêmes inquiétudes et qui auraient mérité un véritable approfondissement autre que les simples affirmations de la conformité aux règles de la Cnil, qui au demeurant n’a pas été saisie autrement que par une déclaration de conformité à une autorisation unique, ce qui équivaut à se procurer une propre preuve.

En conséquence, sans qu’il y ait lieu dans le cadre de cette instance en référé de trancher le débat de fond quant à la compatibilité du dispositif d’alerte professionnel mis en oeuvre au sein de la société Benoist Girard via le site internet Ethics Point avec les dispositions de la loi informatique et liberté, il convient de constater que les éléments apportés sont insuffisants pour justifier de l’évidence de sa conformité.

Dès lors, le trouble manifestement illicite est caractérisé car cette non-conformité est susceptible de porter atteinte aux droits et libertés collectives et individuelles de tous les salariés de la société Benoist Girard.

En considération des troubles manifestement illicites constatés dus à la mise en place du dispositif d’alerte professionnelle, il convient de suspendre la mise en place de ce dispositif d’alerte.

Sur la demande d’application de l’article 700 du Code de Procédure Civile

La solution ainsi apportée au litige commande de faire application des dispositions de l’article 700 du Code de Procédure Civile au profit des demandeurs dont l’action a été jugée recevable.

DECISION

Par ces motifs, statuant publiquement par mise à disposition au Greffe de la juridiction, suivant ordonnance contradictoire, en matière de référé, et en premier ressort,

Vu l’article 809 du Code de Procédure Civile,

. Déclarons irrecevable le Comité d’entreprise,

. Déclarons recevables le CHSCT de la société Benoist Girard et le syndicat CFDT Métaux,

. Constatons que le CHSCT n’a pas été régulièrement consulté sur le dispositif de droit d’alerte et sur la modification du règlement intérieur de la société Benoist Girard,

. Constatons que la mise en place du dispositif d’alerte professionnelle crée un trouble manifestement illicite,

. Suspendons la mise en oeuvre du dispositif de droit d’alerte par l’intermédiaire du site Ethics Point sous astreinte de 300 € par jour et par salarié concerné à compter d’un délai d’un mois à compter de la signification de la présente ordonnance et ce jusqu’à ce qu’il soit statué au fond sur la conformité du dispositif avec la loi française.

. Condamnons la société Benoist Girard à payer au CHSCT de la société Benoist Girard et au syndicat CFDT des salariés des industries de la métallurgie Caennaise la somme de 2000 € au titre de leurs frais de conseil, et la condamnons également aux dépens de l’instance.

Le tribunal : M. Thierry Roy (président)

Avocats : Me Elise Brand, Me Maryvonne Pouchin Rebmann

Notre présentation de la décision

 
 

En complément

Maître Elise Brand est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître Maryvonne Pouchin Rebmann est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Thierry Roy est également intervenu(e) dans les 2 affaires suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.