Dispositif d’alertes professionnelles et directive européenne  sur la protection des lanceurs d’alerte : dernière ligne droite  ?

1 heure
integrityline-speaker-julie-bellesort
Julie Bellesort,
KPMG Avocats
integrityline-speaker-frederic-cosme
Frédéric Cosme,
KPMG Avocats
Claudio Interdonato
Claudio Interdonato,
EQS Group

Regardez le replay

D’ici le 17 décembre 2021, la directive européenne sur la protection des lanceurs d’alerte imposant aux entreprises la mise en place d’un dispositif d’alerte adapté et qui permet à leurs employés de signaler des actes répréhensibles, devra être partiellement transposée en droit interne. Il ne reste donc plus que quelques semaines aux États membres de l’UE pour transposer cette directive en droit national. En France, une proposition de loi visant à compléter le dispositif existant a été déposée au Parlement le 21 juillet dernier par le député Sylvain Waserman (LREM). Elle doit être débattue à l’Assemblée nationale en novembre. Cette proposition s’inscrit dans la continuité d’un rapport présenté par les députés Olivier Marleix (LR) et Raphaël Gauvin (LREM) visant à renforcer le dispositif de la Loi Sapin II (Loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique).

Voici les points qui seront abordés lors de cet événement :

Les points clés de directive et de la proposition de loi visant à la protection effective des lanceurs d’alerte en France

Les solutions qui s’offrent aujourd’hui aux entreprises pour être en règle avec les lois applicables

Q&A Webinaire : dispositifs d’alertes et directive européenne

Il ne fut pas possible de répondre à toutes les questions des participants lors de ce webinaire, nous les avons donc rassemblé dans ce Q&A.

Récéption d'une alerte et enquête interne​

Aux termes de l’article 8 de la Directive européenne 2019/1937, « les entités juridiques du secteur privé qui comptent 50 à 249 travailleurs peuvent partager des ressources en ce qui concerne la réception des signalements et les enquêtes éventuelles à mener ». Par ailleurs, dans ce même article, le texte dispose que « les canaux de signalement peuvent être gérés en interne par une personne ou un service désigné à cet effet ou fournis en externe par un tiers ».
Dans sa réponse datée du 2 juin 2021, la Commission européenne considère que la directive impose à toute société employant plus de cinquante salariés de mettre en place une procédure interne de recueil et de traitement des signalements, qu’elle fasse ou non partie d’un groupe, la mutualisation des moyens n’étant possible que pour les sociétés comptant entre 50 et 249 salariés (au sein d’un même groupe ou non). En particulier, la Commission estime que la faculté laissée par la directive de confier le recueil des signalements à un tiers ne doit pas s’entendre comme la possibilité de mettre en place une procédure commune à plusieurs sociétés d’un même groupe.

La proposition de loi à ce jour n’apporte pas d’éléments supplémentaires sur les aspects organisationnels du dispositif d’alerte et sur les personnes en charge de réceptionner les alertes. 

La directive et la proposition de loi à ce jour n’apportent pas d’éléments supplémentaires sur le déroulement des enquêtes internes.

Effectivement, si l’entreprise a déjà mis en place une procédure d’alerte interne, le CSE doit être informé et consulté avant tout changement apporté à cette procédure. De la même manière, si l’entreprise n’a pas encore déployé de système d’alerte le CSE devra en être informé et consulté avant son déploiement.

Règlement intérieur et code de conduite

Cela devrait pouvoir remplir cette obligation si les dispositions du Code du travail ont bien été respectées lors du déploiement du Code de conduite. Selon la façon dont est présenté le dispositif, il faudra sans doute toutefois revoir ces dispositions à la lumière de la nouvelle loi et des décrets à venir.

Termes de la directive, loi Sapin 2 & proposition de loi

La mise en commun des moyens de recueil et de traitement des alertes permet aux entités de partager des ressources en ce qui concerne la réception des signalements et les enquêtes éventuelles à mener.

Cette faculté est ouverte aux sociétés comprenant entre 50 et 249 salariés.

La proposition de loi étudiée ici ne devrait modifier que le dispositif d’alerte prévu par l’aticle 8 de la Loi Sapin 2. Le dispositif prévu par la Loi devoir de vigilance n’est pas concerné. Toutefois, dans l’hypotèse d’une procédure et d’un dispositif d’alerte communs, les nouvelles dispositions nécéssiteront une mise à jour des politiques et du dispositif.

Le texte sera discuté les 19 et 20 janvier 2022 au Sénat.

Pour l’instant, la proposition de loi n’impose pas aux entreprises d’autoriser les signalements anonymes et elle ne l’interdit pas non plus. Elle n’apporte pas non plus d’avantage de précision concernant la protection des lanceurs d’alerte ayant effectué un signalement anonyme.

Maison mère et filiale

Il paraît possible de mutualiser le dispositif ainsi que les outils et ressources déployées pour le bon fonctionnement de ce dispositif au sein même d’un goupe entre la maison mère et les filiales qui comprennent entre 50 et 249 salariés.

La mutualisation ne paraît pas possible que pour les sociétés de 49 de 250 salariés. Il convient de rester attentif sur ce point dans le cadre des discussions en cours.

La proposition de loi sur la protection des lanceurs d’alertes ne mentionne rien concernant les succursales de sociétés établies à l’étranger. Il convient toutefois de préciser qu’en droit, la succursale ne bénéficie pas de la personnalité juridique. Ainsi, la succursale se confond juridiquement avec sa maison-mère et doit se voir en principe appliquer la loi applicable à sa maison mère. Une partie de la doctrine considère toutefois que la loi du pays d’accueil de la succursale devrait s’appliquer si le seuil de 50 salariés est atteint.

La Loi s’appliquera en revanche bien aux filiales de groupes étrangers si ces filiales atteingent le seuil des 50 salariés.

Le dispositif d'alerte

L’article 3 de la proposition de loi n°692, telle qu’adoptée à ce jour par l’Assemblée Nationale au point B, précise « qu’au sein de chacune des entités mentionnées aux deux premiers alinéas du A, peuvent adresser un signalement, lorsque les informations mentionnées au I de l’article 6 ont été obtenues dans le cadre de leurs activités professionnelles, indépendamment de la nature de ces activités, et portent sur des faits qui se sont produits ou sont très susceptibles de se produire dans l’entité : (i) les membres du personnel, les personnes dont la relation de travail s’est terminée, lorsque les informations ont été obtenues dans le cadre de cette relation, et les personnes ayant candidaté à un emploi au sein de l’entité concernée, lorsque les informations ont été obtenues dans le cadre de cette candidature, […] (ii) les collaborateurs extérieurs et occasionnels, (iii) les membres du personnel et de l’organe d’administration, de direction ou de surveillance des contractants, sous‑traitants et fournisseurs.

Ainsi, tel que rédigé à ce jour, le texte donne la possibilité à d’autres personnes que les collaborateurs internes de l’entité de lancer une alerte. Ces personnes, comme précisé par le texte, sont notamment les collaborateurs extérieurs, ainsi que les sous-traitants et fournisseurs ».

Notre plateforme EQS Integrity Line permet aux lanceurs d’alerte de configurer un espace de dialogue avec la personne chargée de traiter les alertes dans la société. Au moment de soumettre son signalement en ligne, le lanceur d’alerte devra configurer un mot de passe pour la boîte aux lettres sécurisée. Cette boîte aux lettres est disponible dans le menu de la page d’accueil du dispositif d’alerte et permettra un dialogue bidirectionnel entre le lanceur d’alerte et le responsable désigné, tout en gardant l’anonymat de ce premier.

La proposition de loi pour la protection des lanceurs d’alerte, telle que rédigée à ce jour, précise tout d’abord les canaux de signalement qui doivent être mis à dispositiion pour les lanceurs d’alerte. A ce titre, la loi expose 3 grands canaux de signalement : (i) adresser signalement interne dans les conditions prévues au I de l’article 8, notamment lorsqu’elles estiment qu’il est possible de remédier efficacement à la violation par ce moyen et qu’il n’y a pas de risque de représailles ; (ii) adresser un signalement externe dans les conditions prévues au II du même article 8, après avoir saisi le canal de signalement interne ou directement ; ou encore, (iii) procéder à une divulgation publique, sous réserve des conditions prévues au III dudit article 8. ».

Au-delà de ces canaux, le texte précise également que les lanceurs d’alerte « peuvent également adresser un signalement externe, soit après avoir effectué un signalement interne dans les conditions prévues au I du présent article, soit directement : (i) à l’autorité compétente parmi celles désignées par décret en Conseil d’État ; (ii) au Défenseur des droits, qui l’oriente vers la ou les autorités les mieux à même d’en connaître ; (iii) à l’autorité judiciaire ; ou à une institution, un organe ou un organisme de l’Union européenne compétent pour recueillir des informations sur des violations relevant du champ d’application de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 précitée ».

Ainsi, les procédures de lanceurs d’alerte devront désormais mentionner l’ensemble de ces canaux de signalement. Il convient de remarquer que certaines autorités seront désormais désignées ( par décret) comme pouvant recueullir une alerte.

Nous ne traçons pas les IP des lanceurs d’alerte. Nous modifions également la modulation de la voix pour les messages vocaux et effaçons les métadonnées des pièces jointes pour garantir l’anonymat si nécessaire.

Compte tenu du fait que la proposition de loi va faire l’objet de discussions au mois de janvier 2022, il semble probable que la loi entre vigueur au courant du 1er trimestre 2022. A ce titre, il pourrait être légitime d’attendre la publication de loi pour mettre en place le dispositif d’alerte interne afin qu’il soit conforme aux dernières dispositions légales ou d’intégrer à tout le moins les principes posés par la directive dans votre dispositif.

Si vous êtes en outre soumis aux obligations de l’article 17 de la Loi Sapin2, nous vous conseillons toutefois de le mettre en place le plus rapidement possible car des sanctions pourraient être prononcées sur le dispositif d’alerte anti-corruption.

Le lanceur d'alerte

Vous trouverez la réponse à cette question en regardant le replay du webinaire.

Le texte n’est pas conçu pour protéger les journalistes. Toutefois, si les conditions sont remplies, le journaliste pourra bénéficier d’une telle protection.

Oui, afin de protéger le lanceur d’alerte contre toute mesure de représailles (contrôle des éventuelles sanctions, contrôle de l’évolution, contrôle des augmentations, etc…)

La personne qui émet une alerte bénéfice du régime protecteur de lanceur d’alerte dès qu’elle répond à la définition du lanceur d’alerte et qu’elle a respecté la procédure de signalement.

La proposition de loi étend la protection accordée aux lanceurs d’alerte (interdiction des représailles, irresponsabilité pénale, etc.) aux personnes physiques et morales de droit privé à but non-lucratif (syndicats, associations) qui aident le lanceur d’alerte à effectuer son signalement, c’est-à-dire aux facilitateurs.

Au sens de la directive et de la proposition de loi, le facilitateur n’est pas censé réaliser le signalement pour le compte du lanceur d’alerte.

Le champ d'application de la directive

Aux termes de l’article 167 de la loi Sapin 2, « les articles 6,8,9,11,13,15,25,26,33 […]sont applicables en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna ».
A date, cet article n’est pas impacté par la proposition de la loi donc la Nouvelle-Calédonie et la Polynésie Française devraient être concernées.

L’obligation de mettre en place un dispositif d’alerte interne s’applique à toutes les personnes morales de droit public qui emploient au moins cinquante agents. Les établissements publics à caractère scientifique et culturel disposent d’une personnalité morale et donc cette obligation leur est applicable.

Le délai de 6 mois pour se mettre en conformité court à partir de la date de la promulgation de la loi. Il est possible que le décret d’application du Conseil d’Etat soit publié après l’entrée en vigueur de la loi.

Le système d’alerte doit permettre au lanceur d’alerte de signaler des informations concernant :
– un crime, un délit, une menace ou un préjudice pour l’intérêt général,
– une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement,
– une violation du droit de l’Union européenne, de la loi ou du règlement.

Les États membres de l’UE ont eu jusqu’au 17 décembre 2021 pour se conformer à la directive européenne 2019/1937 sur la protection des lanceurs d’alerte et la transposer en droit national. A la date où nous avons rédigé cet article de blog, seuls le Danemark, la Suède, le Portugal, la Lituanie et Malte ont déjà finalisé la transposition de la directive. En France et pour rappel, une proposition de loi visant à compléter le dispositif existant a été déposée au Parlement le 21 juillet dernier par le député Sylvain Waserman (LREM) et adoptée à l’unanimité par l’Assemblée Nationale le 17 Novembre 2021. Le texte doit désormais être examiné par le Sénat dont la séance publique est prévue les 19 & 20 janvier 2022.

Divulgation publique et signalement externe

Vous trouverez la réponse à cette question en regardant le replay du webinaire.

L’auteur peut procéder par divulgation et bénéficier du cadre de protection des lanceurs d’alerte dans certaines conditions:
(i) s’il a effectué des signalements internes et externes ou directement un signalement externe et qu’aucune mesure appropriée n’a été prise en réponse au signalement dans les délais mentionnés,
(ii) en cas de danger imminent ou manifeste pour l’intérêt général, notamment lorsqu’il existe une situation d’urgence ou un risque de préjudice irréversible
ou (iii) lorsque la saisine des autorités fait encourir à son auteur un risque de faire l’objet des mesures mentionnées au I de l’article 10‑1 ou qu’elle ne peut permettre de remédier efficacement à l’objet de la divulgation, en raison des circonstances particulières de l’affaire, notamment si des preuves peuvent être dissimulées ou détruites ou si l’auteur du signalement a des motifs sérieux de penser que l’autorité peut être en conflit d’intérêts, en collusion avec l’auteur des faits ou impliquée dans ces faits.

Il convient de remarquer qu’il s’agit là de conditions alternatives; si une de ces circonstances se produit, le lanceur pourra agir ainsi et continuer à bénéficier à ce titre de la protection sous réserve que les autres conditions soient par ailleurs réunies (absence de contrepartie directe et de bonne foi, etc.)

Les certifications d'EQS Group

La norme ISO 37002 vise à fournir des lignes directrices pour l’implémentation, la gestion, l’évaluation, la maintenance et l’amélioration des dispositifs d’alertes internes solides et efficaces . Il n’est donc pas possible d’obtenir de certification pour l’ISO 37002, mais nous nous assurons que notre plateforme de recueil et de traitement des alertes professionnelles EQS Integrity Line soit conforme à ces meilleures pratiques. Nous avons consacré un article de blog à ce sujet disponible depuis ce lien.

EQS Group est certifié ISO/IEC 27001. Cette norme spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). La mise en œuvre des normes de cette famille par tout type d’organisation facilite le management de la sécurité d’actifs sensibles tels que les données financières, les documents de propriété intellectuelle, les données relatives au personnel ou les informations confiées par des tiers.