La loi « Sapin II » a introduit en décembre 2016 une véritable protection des lanceurs d’alerte. Cette loi, qui était entrée en vigueur en 2018, a été modifiée en 2022 en vue de transposer la « Directive européenne sur les lanceurs d’alerte ». Le décret d’application de ce texte, daté du 3 octobre 2022, a pris effet le 5 octobre 2022.

1. Champ d’application

Le 21 mars 2022, la France a promulgué une loi « visant à améliorer la protection des lanceurs d’alerte » en apportant de nombreuses modifications à la loi Sapin II, ainsi qu’au code du travail, au code de la fonction publique, au code pénal et à d’autres lois.

Conformément à la version précédente de la loi Sapin II, la nouvelle loi ne se limite pas aux violations du droit communautaire, comme le prévoit la Directive européenne sur les lanceurs d’alerte, mais s’applique également aux violations du droit français ou à une menace ou un préjudice pour l’intérêt général.

Pour rappel la Loi Sapin II prévoit aussi dans certain cas la mise en place obligatoire d’un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société.

La loi ne s’applique pas dans les cas où le droit français ou européen établit des règles de signalement spécifiques (notamment celles énoncées dans la partie II de l’annexe de la Directive européenne sur les lanceurs d’alerte, couvrant le droit européen dans les domaines des services financiers, de la lutte anti-blanchiment (LAB) et contre le financement du terrorisme (FCT), des transports et de l’environnement).

En outre, la nouvelle loi élargit le type d’informations qui ne relèvent pas de son champ d’application pour inclure les informations protégées par le secret des délibérations judiciaires et des enquêtes judiciaires, ainsi que les informations protégées par le secret de la défense nationale, le secret médical et le secret professionnel des avocats.

2. Changements concernant les personnes protégées par la loi

Plusieurs modifications ont été apportées à la définition du « lanceur d’alerte », qui est « une personne physique qui signale ou divulgue [..]  des informations portant sur  : (i) un crime, un délit, (ii) une menace ou un préjudice pour l’intérêt général, (iii) une violation ou une tentative de violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement ». Pour bénéficier de cette protection, le lanceur d’alerte doit le faire « sans contrepartie financière directe et de bonne foi ».

La loi élargit le champ des personnes qui peuvent dénoncer les abus pour inclure, outre les membres du personnel et les personnes qui collaborent occasionnellement avec l’entreprise, les personnes suivantes :

  • candidats à un emploi et anciens employés ;
  • actionnaires et dirigeants ;
  • co-contractants ou sous-traitants (ou, le cas échéant, leur personnel, actionnaires et dirigeants) ;
  • les personnes qui font un signalement anonyme et dont le nom est divulgué par la suite.

Il n’est plus exigé que les lanceurs d’alerte aient eu connaissance personnellement des faits lorsqu’ils signalent « des faits qui se sont produits ou sont très susceptibles de se produire dans l’entité concernée » et dont ils ont eu connaissance « dans le cadre des activités professionnelles » (dans d’autres cas, une connaissance personnelle est requise).

Le champ d’application de la protection a également été étendu, notamment pour couvrir :

  • les « facilitateurs », c’est-à-dire des personnes physiques ou des personnes morales de droit privés à but non lucratif qui aident le lanceur d’alerte à faire son signalement ;
  • les personnes physiques ayant un lien avec le lanceur d’alerte et qui pourraient subir des représailles dans le cadre de leur activités professionnelles ;
  • les entités juridiques contrôlées par le lanceur d’alerte ou pour lesquelles ce dernier travaille ou avec lesquelles il est en lien dans un contexte professionnel.

3. Changements dans le processus d’établissement des signalements

En s’éloignant du modèle strict à trois niveaux qui prévalait jusqu’à présent, les lanceurs d’alerte seront désormais autorisés à :

  • effectuer un signalement aux « canaux des signalement externes » (avec ou sans signalement interne préalable),c’est-à-dire à des autorités ou des tribunaux spécifiques au niveau français ou européen. Le décret d’application énumère plusieurs autorités qui sont compétentes pour recevoir des signalements sur des sujets spécifiques ainsi que la procédure à mettre en œuvre à cet effet ;
  • procéder à une divulgation publique dans certains cas prévus par la loi (selon le cas, après avoir effectué un signalement externe, précédé ou non d’un signalement interne, sans qu’aucune mesure appropriée ait été prise en réponse à ce signalement, à l’expiration du délai réglementaire).

Canaux de signalement internes

De façon inchangée, la loi impose aux organisations de plus de 50 salariés (ou pour les personnes de droit public, 50 agents) de mettre en place et de faire fonctionner des canaux internes d’alerte.

Ces canaux internes doivent préserver la confidentialité de l’identité de « l’auteur du signalement » (c’est-à-dire le lanceur d’alerte), des personnes visées par celui-ci , de tout tiers mentionné dans le signalement et des informations collectées par tous les destinataires du signalement.  Comme auparavant, la divulgation de ces identités et des informations recueillies est sanctionnée par une peine pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende.

Au sein des entités dans lesquelles il n’existe pas de procédure interne de recueil et de traitement des signalements, le lanceur d’alerte peut signaler les informations concernées à son supérieur hiérarchique direct ou indirect, à l’employeur ou à un référent désigné par celui-ci.

Le décret d’application fournit des détails sur le processus et les délais de retour d’information requis pour les canaux de signalement internes.

Éléments importants :

  • Il peut y avoir différentes personnes/services pour gérer (i) le canal de réception du signalement (y compris l’externalisation vers des prestataires de services externes – à ne pas confondre avec les « canaux externes » de signalement) et (ii) le traitement du signalement.
  • L’organisation doit nommer une ou plusieurs personne(s) ou un service(s) dont l’indépendance et l’impartialité sont garanties, pour le recueil et le traitement des signalements, chargés de maintenir la communication avec la personne qui fait le signalement. Ces personnes ou services doivent disposer des compétences, de l’autorité et des moyens nécessaires. L’accès aux informations est strictement limité à ces personnes/services et toute autre personne ou service recevant un signalement doit le transférer immédiatement à la personne/service désigné.
  • La loi française permet une dénonciation anonyme. Ce type de dénonciation s’accompagne de certaines spécificités.
  • Les informations ne peuvent être conservées que le temps strictement nécessaire ou doivent être rendues anonymes.

Partage des ressources

Comme le prévoit la Directive européenne sur les lanceurs d’alerte, les organisations du secteur privé comptant moins de 250 salariés peuvent mettre en commun leur procédures de recueil des signalements « ainsi que l’évaluation de l’exactitude des allégations formulées dans le signalement » mais « sans préjudice des autres obligations qui leur incombent à chacune » .

Sociétés d’un même groupe

En ce qui concerne la question de savoir si les sociétés qui comptent plus de 250 salariés peuvent utiliser un canal unique de signalement mis en place au niveau du groupe, ou si elles doivent nécessairement avoir au moins une personne ou un services impartial distinct au niveau de l’entité (ce qui est la position – controversée – du groupe d’expert de l’UE et de la Commission européen), la loi et le décret d’application n’ont pas clairement tranché. Nous sommes toujours dans l’attente d’une position officielle du gouvernement et/ou des autorités. 

Le décret d’application prévoit toutefois les cas où un signalement peut être transmis à une société affiliée et permet de fournir des informations sur le processus de transmission des signalements aux sociétés affiliées/du groupe.  

Information

L’entité doit fournir des informations claires et facilement accessibles concernant les procédures de signalements, y compris concernant les canaux de signalement externes.

Les informations doivent également être accessibles aux auteurs de signalement potentiels qui ne sont pas des salariés, mais qui sont externes à l’entité. Les informations doivent également être fournies dans le règlement intérieur de l’employeur.

4. Amélioration des mesures de protection

Comme il a été précisé ci-dessus la divulgation de l’identité des personnes concernées est sanctionnée pénalement. En outre, la loi précise que l’identité du lanceur d’alerte peut être divulguée à un tribunal sans son consentement, si nécessaire.

La loi complète la liste des mesures de représailles interdites, y compris les menaces de représailles et les tentatives de représailles à l’encontre des lanceurs d’alerte et autres personnes protégées énumérées ci-dessus, en incluant, en plus de la discrimination au travail ou des sanctions disciplinaires ou du non renouvellement du contrat pour les salariés ou les candidats à l’emploi, à titre d’exemple les actions suivantes : intimidation et harcèlement ; atteinte à la réputation (y compris en ligne) ; pertes financières (perte d’activité ou de revenus, pénalités) ; inscription sur une liste noire à l’échelle du secteur ; rupture anticipée de contrat ; annulation de la licence ; et orientation abusive vers un traitement psychiatrique ou médical.

La nouvelle loi prévoit qu’il incombe à la personne qui a pris une mesure préjudiciable à l’encontre d’un lanceur d’alerte de prouver que son action n’était en aucune façon liée au signalement ou à la divulgation publique du lanceur d’alerte et qu’elle aurait été prise de toute façon.

Les lanceurs d’alerte ne seront pas civilement ou pénalement responsables pour les dommages causés du fait de leur signalement ou de leur divulgation publique dès lors qu’ils avaient des motifs raisonnables de croire, lorsqu’ils y ont procédé, que le signalement ou la divulgation publique de l’intégralité de ces informations était nécessaire à la sauvegarde des intérêts en cause.

Comme auparavant, toute personne qui fait obstacle à la transmission d’un signalement peut encourir une peine pouvant aller jusqu’à un an de prison et une amende de 15 000 € (75 000 € pour les personnes morales) ; toutefois, l’amende civile en cas d’action judiciaire abusive ou dilatoire à l’encontre d’un lanceur d’alerte a été portée à 60 000 €.

La discrimination à l’égard d’un lanceur d’alerte ou d’autres personnes associées est passible d’une amende pénale pouvant aller jusqu’à trois ans d’emprisonnement et d’une amende pouvant atteindre 45 000 € (225 000 € pour les personnes morales).

En outre, les tribunaux pénaux ou civils ont la possibilité d’allouer au lanceur d’alerte des provisions pour frais d’instance ou, lorsque sa situation financière s’est gravement détériorée en raison du signalement ou de la divulgation publique, une provision visant à couvrir ses subsides. Par ailleurs, les Prud’hommes peuvent ordonner à l’employeur de contribuer au compte personnel de formation du lanceur d’alerte.

5. Mise en œuvre des exigences légales

En plus des choix techniques et opérationnels auxquels les organisations doivent procéder, plusieurs étapes préliminaires doivent être suivies pour mettre en œuvre ou modifier un système de signalement interne. Ces étapes sont les suivantes.

Respect du droit du travail

  • l’information et la consultation préalables du CSE (Comité Social et Economique) ;
  • l‘information des salariés ;
  • la modification du règlement intérieur, ce qui nécessite qu’il soit soumis au CSE ainsi qu’à l’inspecteur du travail et notifié au greffe du tribunal du travail.

Respect de la réglementation en matière de protection des données personnelles

La Loi Informatique et Libertés et le Règlement Général sur la Protection des Données (RGDP) imposent des restrictions à la mise en œuvre des procédures d’alerte. La mise en œuvre ou la modification d’une telle procédure nécessitera entre autres de :

  • réaliser ou mettre à jour l’analyse d’impact sur la protection des données (« DPIA ») ;
  • fournir des informations adéquates aux personnes concernées ;
  • identifier la base juridique du traitement ;
  • mettre en place des périodes de conservation.

La CNIL avait publié en 2019 un Référentiel et une FAQ sur les systèmes d’alerte professionnelle. Même s’ils sont extrêmement utiles pour répondre à certaines des questions de conformité en matière de protection des données en France, le Référentiel et la FAQ doivent encore être adaptés aux dernières modifications de la loi Sapin II et du décret d’application.

Nous contacter

Nous sommes à votre disposition pour analyser et mettre en œuvre les nouvelles exigences relatives aux lanceurs d’alerte, que ce soit en France ou dans les autres États membres de l’UE et au Royaume-Uni ou encore aux Etats Unis. Pour plus d’informations, veuillez contacter stephanie.faber@squirepb.com.