Lanceurs d’alerte : précisions sur les procédures de recueil et de traitement des signalements, dites « Whistleblowing »
Frédéric Saffroy et Alice Bastien
Le décret n° 2022-1284 du 3 octobre 2022, pris en application de la loi Sapin II, issue de la rédaction de la loi Waserman, précise les modalités des procédures de recueil et de traitement des signalements, internes et externes, émis par les lanceurs d’alerte.
Les articles 1 à 8 portent sur les procédures internes devant être mises en place par les entités privées et publiques de plus de cinquante salariés. Outre ces dispositions, rappelons que le dispositif :
(i) doit être conforme aux règles de protection des données personnelles (RGPD et loi « Informatique et Libertés »). A ce titre, la CNIL a adopté en 2019 un référentiel qu’il convient de respecter.
(ii) doit respecter les interdictions de la loi du 26 juillet 1968 modifiée, dite de blocage (ou « Blocking Statute ») qui interdit de transférer hors de France des informations sensibles « tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. » Les informations sensibles peuvent être de nature économique, commerciale, financière, scientifique ou techniques (voir notre Newsletter du 29 mars 2022).
Chaque entité détermine le dispositif le plus adapté, après consultation des instances de dialogue social, afin d’établir une procédure interne de recueil et de traitement des signalements (laquelle peut être sous-traitée à un prestataire). La procédure choisie doit permettre de recueillir les signalements oraux et écrits et de consigner et conserver ces signalements de manière durable. Le dispositif choisi doit également garantir l’intégrité et la confidentialité des informations, notamment l’identité de l’auteur, des personnes visées et de tout tiers mentionné. Enfin, l’entité doit faire connaître cette procédure par tous moyens.
Les modalités de signalements externes sont quant à elles simplifiées (articles 9 à 14). Au-delà des obligations similaires à celles des procédures internes (indépendance, confidentialité, intégrité, impartialité, publicité…), le décret précise que l’auteur d’un signalement n’est plus tenu de procéder préalablement à un signalement auprès de l’entité elle-même avant d’alerter une autorité publique.
Les autorités compétentes pour recueillir les alertes sont listées en annexe du décret. On y trouve notamment l’Agence française anticorruption (AFA), la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), l’Autorité des marchés financiers (AMF), la Haute Autorité de santé (HAS), la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Contrôle général des armées (CGA), l’Autorité de la concurrence, et le Défenseur des droits.
Rappel :
La loi n°2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte (dite loi « Waserman ») est venue renforcer la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite loi « Sapin II »).
Un lanceur d’alerte est défini comme une « personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation [du droit international], du droit de l’Union européenne, de la loi ou du règlement. ».
Pour toute information complémentaire, n’hésitez pas à contacter l’équipe Conformité et Affaires réglementaires.
Frédéric Saffroy, Avocat Associé, et Alice Bastien, Avocat