La directive européenne sur la protection des lanceurs d’alerte – Les informations à retenir

Le 16 décembre 2019, la directive européenne sur la protection des lanceurs d’alerte est entrée en vigueur. Nous allons vous montrer comment vous pouvez mettre en œuvre la directive rapidement et facilement dans votre entreprise.

Dans ce livre blanc, vous trouverez :

La directive européenne sur la protection des lanceurs d’alerte:
Ce que vous devez savoir

Les lanceurs d’alerte sont particulièrement importants pour le maintien d’une société ouverte et transparente car ils ont le courage de révéler les abus dont ils sont témoins. Le Royaume-Uni et la France, font figure de pionniers européens dans la gestion et la protection des lanceurs d’alerte. Contrairement à d’autres États membres de l’UE, ces deux pays disposent d’une loi-cadre qui permet aux lanceurs d’alerte de signaler tout manquement éthique au sein de leur entreprise.

Map that shows the implementation status of the EU Whistleblowing Directive in Europe
Dernière mise à jour : 22 avril 2022

Quel est l’objectif de la directive européenne sur la protection des lanceurs d’alerte ?

Afin de garantir une norme européenne pour la protection des lanceurs d’alerte, l’UE a adopté, le 16 décembre 2019, la directive 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 relative à la protection des personnes qui signalent des violations du droit de l’Union. Les États membres de l’UE ont jusqu’au 17 décembre 2021 pour atteindre les objectifs fixés par l’UE en transposant la directive européenne sur un texte législatif et ainsi l’appliquer au droit national.

La directive européenne vise à :

Êtes-vous concerné par la nouvelle directive européenne sur la protection des lanceurs d’alerte ?

icon-company

Les entreprises de 50 salariés ou plus, les institutions et les administrations publiques ainsi que les communes de plus de 10 000 habitants issus de tous les États membres de l’Union européenne sont concernés et doivent à l’avenir mettre en place des canaux de signalement internes sécurisés.

Les alertes peuvent être faites par écrit grâce à un dispositif d’alerte interne, par courrier électronique ou par la poste et/ou oralement en appelant une ligne d’assistance téléphonique ou un répondeur.

Whistleblowing Report 2021 Ausgestalten Icon | integrityline.com

L’Union Européenne impose des obligations aux entreprises

Toutes les données à caractère personnel, tant celles du lanceur d’alerte que celles des personnes accusées, doivent être traitées conformément au RGPD.

Au sein de l’entreprise, il convient de déterminer la personne “la plus apte” à recevoir et à traiter les alertes. Selon l’UE, cela pourrait être le cas pour le :

Responsable de la conformité, Directeur des Ressources Humaines, Responsable Juridique, Directeur Financier, Membre de la direction générale ou du comité de direction

Les entreprises peuvent également sous-traiter la gestion des alertes, par exemple à un médiateur

Dans un délai de sept jours, l’entreprise doit confirmer au lanceur d’alerte que son signalement a bien été reçu. Dans un délai de trois mois, le lanceur d’alerte doit être informé des mesures prises, de l’état d’avancement de l’enquête interne et de ses résultats.

Les entreprises doivent fournir à leurs employés des informations sur le processus de signalement interne et sur les autres canaux de reporting aux autorités compétentes. Tous les signalement reçus doivent être conservés en lieu sûr afin qu’ils puissent être utilisés comme preuves si nécessaire.

Tous les signalement reçus doivent être conservés en lieu sûr afin qu’ils puissent être utilisés comme preuves si nécessaire.

Les entreprises de 50 à 250 employés peuvent utiliser des “ressources communes” (c’est-à-dire un canal commun de signalement) pour recevoir et identifier les alertes professionnelles, à condition que toutes les obligations décrites soient remplies.

La Directive Européenne prévoit également des sanctions. Les entreprises qui font obstruction ou tentent de faire obstruction au signalement d’abus devront faire face à des pénalités. Il en va de même si les entreprises ne traitent pas l’identité des lanceurs d’alerte avec confidentialité. Toutes mesures de représailles contre les lanceurs d’alerte seront également sanctionnées. Il appartient aux régulateurs locaux de déterminer le degré de ces sanctions.

Voici les principaux points à prendre en compte :

L'ANONYMAT EST LA CLÉ DU SUCCÉS

Tous les canaux de signalement doivent respecter la confidentialité de l'identité du lanceur d'alerte afin que celui-ci n'ait pas à craindre de représailles.

QUI DOIT RECEVOIR LE SIGNALEMENT ?

Par exemple, le chef du service de conformité ou des ressources humaines, un responsable de l'intégrité, un responsable juridique ou de la protection des données, un directeur financier, un responsable de l'audit ou un membre du conseil d'administration peuvent s’occuper de la gestion de l’alerte.

CANAUX DE SIGNALEMENT INTERNES OU EXTERNES

Si aucun canal de signalement interne n'est mis en place de manière durable, la décision appartient au lanceur d’alerte de soumettre son signalement au-delà du cadre de l'entreprise. Il pourra décider seul, s'il souhaite adresser son alerte aux autorités compétentes externes.

QUE DEVIENNENT LES ALERTES ?

Étant donné que toutes les alertes concernant des infractions doivent être documentées et que des mesures de suivi doivent être prises, chaque alerte doit être récupérable et facile à traiter pour les salariés en charge de la conformité.

Prochaines étapes et conseils

Avec la publication de la directive, le délai de transposition de deux ans de la directive en droit national a désormais démarré. D’abord, les entreprises de plus de 250 employés devront avoir rempli leurs obligations – puis encore deux ans plus tard les entreprises de 50 à 250 employés également.

Nos conseils

Il est conseillé aux entreprises de ne pas attendre le dernier moment et de prendre des mesures suffisamment à l’avance

Le rapport 2021 sur les alertes professionnelles montre que certaines entreprises ont proactivement mis en place des dispositifs d’alertes internes et ont reçu des alertes qui leur ont permis d’identifier des risques à un stade précoce et d’éliminer les problèmes avant qu’ils n’aient des conséquences graves pour l’entreprise.

Mettre en place un système d’alertes interne et des procédures

Si le lanceur d’alerte ne trouve pas de canaux de signalement appropriés en interne, il s’adressera directement à l’instance de contrôle responsable ou même au public, ce qui est toujours l’option la moins favorable aux entreprises. Des canaux de signalements internes adaptés sont donc indispensables. Ceux-ci doivent être disponibles en permanence, offrir la possibilité de garder l’anonymat, être proposés dans les langues pertinentes, être accompagnés de textes explicatifs compréhensibles et d’une bonne stratégie de communication interne.

Nous avons brièvement clarifié pour vous les principales questions face à la mise en œuvre de la directive dans les entreprises européennes :

Les lanceurs d’alerte doivent avoir la possibilité de lancer une alerte soit par écrit ou à l’oral et via l’un ou plusieurs de ces systèmes :
• une plateforme de signalement numérique
• une boîte mail
• la poste
• une ligne d’assistance téléphonique ou un répondeur.

Pour diverses raisons, un dispositif d’alerte numérique convient mieux à la fois aux petites et grandes entreprises et aux institutions publiques. Étant donné que toutes les alertes concernant des infractions et des comportements contraires à l’éthique doivent être documentées et que des mesures de suivi doivent être prises, chaque alerte doit être récupérable et facile à traiter pour les salariés chargés de la conformité. En conséquence, le fonctionnement du système de recueil et de traitement d’alerte doit être intuitif et simple.

Il est particulièrement important que le lanceur d’alerte puisse être sûr à 100 % que son identité soit pleinement protégée. C’est pourquoi les plateformes de recueil et de traitement d’alerte numériques qui ont fait leurs preuves en matière de sécurité et de fiabilité sont particulièrement recommandées pour les petites et grandes entreprises et les institutions publiques. Un système certifié en matière de protection des données et de sécurité informatique garantit également que ni les tiers ni les fournisseurs n’aient accès aux données sensibles. De même, pour des raisons liées à la législation sur la protection des données, il convient d’accorder une importance particulière au fait que les serveurs des fournisseurs de dispositifs de recueil et de traitement des alertes soient situés en Allemagne.

Les entreprises internationales ou mondiales doivent également veiller à ce que des alertes puissent être soumises indépendamment du lieu et de l’heure pour garantir le respect de la directive européenne et éviter ainsi des sanctions ou des pénalités.

Les organisations privées et publiques seraient bien avisées de mettre en place un dispositif de recueil et de traitement d’alerte anonyme le plus tôt possible, car la mise en œuvre peut prendre de plusieurs semaines à plusieurs mois selon la taille et la complexité de la structure organisationnelle.

Dans un délai de sept jours, l’entreprise doit confirmer au lanceur d’alerte que son signalement a bien été reçu. Dans un délai de trois mois, le lanceur d’alerte doit être informé des mesures prises, de l’état d’avancement de l’enquête interne et de ses résultats.
Quelques exemples de mesure de suivi :

« § Le renvoi vers d’autres canaux ou procédures dans le cas d’alertes concernant exclusivement les droits individuels du lanceur d’alerte,

§ La clôture de la procédure en raison d’un manque de preuves ou pour d’autres raisons,

§ L’ouverture d’enquêtes internes, éventuellement avec indication des résultats et des mesures éventuelles pour remédier au problème,

§ Le renvoi vers une autorité compétente pour complément d’enquête, à condition que ces informations n’affectent pas les enquêtes internes ou l’enquête elle-même et ne portent pas atteinte aux droits de la personne concernée par l’alerte. »

Le lanceur d’alerte doit être tenu informé de l’évolution et des résultats de l’enquête au fur et à mesure de sa progression.

Les collaborateurs chargés du traitement des alertes doivent être spécialement formés et connaître les règles de protection des données applicables. Ils peuvent ainsi traiter les alertes efficacement et initier la communication avec le lanceur d’alerte et les mesures de suivi appropriées. Toutes les données à caractère personnel, tant celles du lanceur d’alerte que celles des personnes accusées, doivent être traitées conformément au RGPD.

Selon la directive, il ne doit pas être possible de se fonder sur les obligations légales ou contractuelles des personnes comme les clauses de loyauté dans les contrats ou les accords de confidentialité ou de non-divulgation, pour :

• Exclure la possibilité de soumettre une alerte
• Refuser de protéger les lanceurs d’alerte
• Leur imposer des sanctions pour avoir soumis des informations sur les infractions ou avoir

commis une divulgation lorsque la transmission des informations couvertes par ces clauses et accords est nécessaire pour détecter l’infraction

Si ces conditions sont remplies, les lanceurs d’alerte ne peuvent pas être tenus pour responsables au titre du droit civil, pénal ou administratif ou en ce qui concerne leur emploi.

Selon la directive, « les lanceurs d’alerte (…) ne doivent pas non plus être responsables lorsque l’obtention ou l’accès aux informations ou aux documents en question soulève un problème de responsabilité civile, administrative ou en matière d’emploi. Ce serait le cas, par exemple, si les lanceurs d’alerte avaient obtenu les informations en accédant aux courriers électroniques d’un membre du personnel ou à des dossiers qu’ils n’utilisent pas normalement dans le cadre de leur travail, ou en photographiant les locaux de l’organisation ou en pénétrant dans des pièces auxquelles ils n’ont pas normalement accès.


Sans préjudice de la protection prévue à l’art. 21 al. 7 de la présente directive, lorsque les lanceurs d’alerte ont commis une infraction comme une intrusion ou un piratage afin d’obtenir les informations ou les documents concernés ou d’y avoir accès, ils doivent continuer à être tenus pénalement responsables conformément au droit national applicable. »

Les signalements d’infractions au droit communautaire concernent des domaines tels que les marchés publics, les services financiers, le blanchiment d’argent, la sécurité des produits et des transports, la sûreté nucléaire, la santé publique, la protection de l’environnement et la protection des consommateurs et des données.

Téléchargez gratuitement dès maintenant

Inscrivez-vous dès maintenant à notre newsletter sur la conformité et recevez des nouvelles pertinentes sur la compliance, le lancement d’alerte et l’éthique des affaires. Après votre inscription au « Compliance News Service », vous recevrez le lien vers le livre blanc par E-mail. Vous pouvez vous désinscrire de la newsletter à tout moment.