Type de juridiction : Cour de cassation
Juridiction : Cour de cassation
Thématique : Incompatibilité du Code of Business Conduct de Dassault avec le Code du travail et la CNIL
→ RésuméLa Cour de cassation a jugé que le Code of Business Conduct de Dassault, qui impose une autorisation préalable pour la divulgation d’informations internes, contrevient au Code du travail. Les informations concernées n’étant pas clairement définies, la restriction à la liberté d’expression des salariés n’était pas justifiée. De plus, le dispositif d’alerte professionnelle mis en place ne respectait pas les normes de la CNIL, s’étendant à des situations non couvertes par la délibération. Enfin, aucune mesure d’information et de protection des personnes n’était prévue, en violation de la loi du 6 janvier 1978 sur les données personnelles.
|
Saisie de la compatibilité du Code of Business Conduct élaboré par la société Dassault (adopté à la suite de la loi américaine dite « Sarbanes-Oxley »), la Cour de cassation a jugé que les informations à usage interne dont la divulgation était soumise à autorisation préalable de la direction était contraire au Code du travail (articles L. 1121-1 et L. 2281-1).
En effet, ces données ne faisaient pas l’objet d’une définition précise, de sorte qu’il était impossible de vérifier que cette restriction à la liberté d’expression des salariés était justifiée par la nature de la tâche à accomplir et proportionnées au but recherché. L’exercice du droit d’expression directe et collective des salariés peut impliquer l’utilisation de certaines de ces informations.
Par ailleurs, le dispositif d’alerte professionnelle mis en place par le Code of Business Conduct n’était pas conforme au régime simplifié d’autorisation unique dont bénéficient les sociétés auprès de la CNIL. La société Dassault avait étendu le dispositif d’alerte à des situations non prévues par la délibération de la CNIL (limitée aux procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption).
Par cette décision a également été rappelé que les mesures d’information prévues par la loi du 6 janvier 1978 (droit d’accès et de modification des personnes dont les données sont collectées) doivent être énoncées dans l’acte instituant la procédure d’alerte (le Code of Business Conduct).
Le dispositif d’alerte professionnelle de la société Dassault systèmes ne prévoyait aucune mesure d’information et de protection des personnes répondant aux exigences de la loi du 6 janvier 1978.
Mots clés : données personnelles
Thème : Données nominatives
A propos de cette jurisprudence : juridiction : Cour de cassation, ch. soc. | Date : 8 decembre 2009 | Pays : France
Laisser un commentaire