La loi Sarbanes-Oxley de 2002, adoptée en réaction aux scandales financiers, a un impact significatif sur les entreprises européennes. La raison est simple : des centaines de sociétés ayant leur siège européen dually figurent sur deux places boursières, un en Europe et l'autre aux États-Unis. 470 sociétés non-américaines sont répertoriées à la bourse avec une capitalisation boursière combinée de $3,8 billions, 30 pour cent de la valeur totale de la capitalisation des sociétés cotées à la bourse de New York.
Directive de Protection des données de l'UE
Ce qui est des données à caractère personnel (selon UE) ? Données à caractère personnel peuvent être toute information concernant une personne physique identifiée ou identifiable (directement ou indirectement): nom, numéro de téléphone, photos. Données propres à son identité physique, physiologique, mentale, économique, culturelle ou sociale. Ce qui est du traitement des données à caractère personnel ? Toute opération effectuée sur les données à caractère personnel ou non par des moyens automatiques
Les contrôleurs de données doivent respecter les règles suivantes : les données doivent être pertinentes et non excessives au regard de la finalité pour laquelle elles sont traitées. Données doivent être exactes.
Responsables du traitement sont tenus de fournir des mesures raisonnables pour les personnes concernées rectifier les effacer ou bloquer les données incorrectes à leur sujet. La directive interdit le transfert de renseignements personnels vers les pays extérieurs à l'UE, qui sont dépourvus d'une protection adéquate de la vie privée.
Loi Sarbanes Oxley
Section 301. Les comités de vérification de sociétés ouvertes : chaque comité de vérification établit des procédures pour :
(A) la réception, la rétention et le traitement des plaintes reçues par l'émetteur au sujet des contrôles comptables internes comptables ou de vérification ; et
(B) la soumission confidentielle et anonyme par les employés de l'émetteur de préoccupations au sujet de la comptabilité ou de vérification douteuse
Le défi
Comment une entreprise américaine avec des bureaux dans toute l'UE peut respecter les principes avis et choix des lois de Protection de données de l'UE tout en même temps compatible avec les exigences de dénonciateurs Sarbanes Oxley ?
Comment peut-on avoir les deux :
1. Une hotline de Sarbanes Oxley reporting services pour les employés d'utiliser anonymement, et
2. Un contrôle de la Protection des données : personnes concernées doivent apprendre, rectifier, effacer ou bloquer les données incorrectes à leur sujet.
Les problèmes
Le 14 juin 2005 l'autorité française de Protection des données a refusé d'autoriser l'utilisation de lignes directes dénonciateur anonyme. De l'administration française estimait que ces permanences téléphoniques sont « disproportionnées pour les objectifs recherchés et les risques de dénonciations calomnieuses et la stigmatisation des employés qui ont fait l'objet d'une alerte éthique. »
Dans une décision similaire, un tribunal allemand a décidé que parties d'un code d'employé de conduite invitants employés de signaler la faute à une hotline de dénonciateurs enfreint le droit du travail allemand.
Premières indications de l'Office de commissaires informations UK (OCA) sont qu'ils baisseraient de suivre l'approche française et allemande. Contrairement aux décisions françaises et allemandes, l'OIC estime que l'utilisation de ce service d'assistance par les organisations ne déclenchera pas, en principe, les questions relatives la protection des données.
Toutefois, lorsque les organisations abusent de ces permanences anonymes à des fins de collecte de renseignements inappropriés il peut y avoir implications de protection des données.
Recommandations
Les entreprises qui sont cotées en bourse aux États-Unis et ont aussi des opérations dans l'Union européenne doivent être très prudents avec les dispositions de dénonciateur de l'US Sarbanes-Oxley de 2002.
Tout d'abord, avant d'implémenter la hotline Sarbanes Oxley, reporting services, les entreprises devront demander la permission de l'autorité locale de Protection des données.
Plaintes doivent être traitées à l'intérieur de l'Union européenne. Entreprises doivent établir des procédures d'enquête. Le suspect aurait la possibilité de se prononcer dans les deux jours. Dans le cas où l'enquête montre que les allégations étaient sans fondement, les données doivent être supprimées dans les deux jours de la fermeture de dossier. Si les allégations sont fondées, alors le fichier demeurerait pour un à cinq ans après que l'affaire avait été classée (selon le niveau de gestion).
Peut EU vraiment protéger les employés contre les dispositions de dénonciation ?
No Si la société publique américaine répertorie sur son site Internet ou intranet site qu'elle a une adresse de courriel ou de numéro de téléphone où les plaintes anonymes peuvent être reçus, même si ce site n'est pas adressé à ou publicisé dans Union européenne, un employé en Europe peut toujours aller sur le site et déposer une plainte anonyme.
No comments:
Post a Comment