Après la loi du 9 décembre 2016, dite Sapin 2, et l’introduction pour la première fois de la notion de lanceur d’alerte et de sa protection en France, le législateur français s’est effacé au profit du législateur européen. Ce dernier a unifié, au sein du territoire de l’Union Européenne, la protection des lanceurs d’alerte, au travers de la directive européenne 2019/1937 du 23 octobre 2019. C’est d’ailleurs afin de transposer cette directive dans le droit français qu’a été introduite la loi du 21 mars 2022, aussi appelée Loi Waserman, qui modifie le premier texte législatif sur le sujet.

Désormais, alors que les décrets d’application (Décret du 16 avril 2022 et Décret n°2022-1284 du 3 octobre 2022) ont été publiés, quelle est la marche à suivre pour les entreprises afin de se conformer aux nouvelles dispositions législatives ?

Les principaux apports des lois du 21 mars 2022

Une nouvelle définition du lanceur d’alerte

Après la loi Sapin 2, qui introduit et définit la notion de lanceur d’alerte pour la première fois, les lois du 21 mars 2022 sont venues raffiner la définition du terme.

Exit la notion sur la « manière désintéressé » du lanceur d’alerte, la condition tenant à la connaissance personnelle des faits, et la limitation des faits pouvant être dénoncé. La nouvelle loi définit désormais le lanceur d’alerte comme étant la personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur :

• Un crime,
• Un délit,
• Une menace ou un préjudice pour l’intérêt général,
• Une violation ou une tentative de dissimulation d’une violation du droit international ou de l’Union européenne, de la loi ou du règlement.

En effet, la notion de « manière désintéressé » était considérée comme ambiguë dans la précédente définition, désormais remplacée par l’absence de « contrepartie financière directe ». De plus, dans le contexte professionnel, le lanceur d’alerte n’est plus tenu à la connaissance personnelle des faits et peut signaler des faits qui lui ont été rapportés. Mais cette condition est cependant maintenue dans un contexte personnel. Enfin, cette nouvelle définition étend les faits pouvant être signalé par le lanceur d’alerte :

• La menace ou le préjudice pour l’intérêt général ne possède plus la notion de gravité
• De même, la violation de la règle ne possède plus le terme de « grave et manifeste »
• Les tentatives de dissimulations peuvent également être dénoncé.

Une protection renforcée

Au-delà de l’évolution de la notion de lanceur d’alerte, les lois du 2 mars 2021 permettent de renforcer la protection dont les lanceurs d’alerte et les tiers bénéficient s’ils réalisent un signalement interne, externe ou une divulgation publique dans les conditions prévues par la loi. Les lois du 2 mars 2021 ont ainsi :

• Elargie la liste des représailles interdites dans le cadre professionnel ;
• Rend le lanceur d’alerte irresponsable pénalement dans le cas où il soustrait, détourne ou recèle des documents internes dont il a eu accès de façon licite. Cette mesure s’applique également aux complices des infractions ;
• Rend le lanceur d’alerte irresponsable civilement pour les éventuels préjudices pouvant découler de son alerte de bonne foi ;
• Modifie le régime des amendes civiles encourues par toute personne (physique ou morale) qui agit de manière dilatoire et abusive contre un lanceur d’alerte, avec une amende civile pouvant désormais atteindre 60 000 euros (contre 30 000 euros auparavant) ;
• Intègre les lanceurs d’alerte dans la liste des motifs de discrimination avec une sanction pouvant aller jusqu’à 3 années d’emprisonnement et 45 000 euros d’impôts ;
• Offre la possibilité au juge d’allouer une provision pour les frais de justices au lanceur d’alerte qui conteste une mesure de représailles ou subit une procédure bâillon.

Par ailleurs, la loi Waserman protège désormais certaines personnes physiques de l’entourage du lanceur d’alerte (proches, collègues) mais également les facilitateurs. Ces derniers désignent toute personne privée ou morale de droit privé à but non lucratif qui offre de l’aide au lanceur d’alerte pour effectuer son signalement.

La loi organique, adoptée aux cotés de la loi ordinaire, renforce et précise le rôle du Défenseur des droits en matière de signalement, notamment afin d’orienter, d’informer et de conseiller le lanceur d’alerte mais également afin de les défendre.

La fin des signalements en cascades

Autre grand changement de la loi Waserman : la fin des signalements en cascade. En effet, le lanceur d’alerte n’est plus obligé de recourir aux mécanismes de signalement interne avant de recourir à un canal externe. Le lanceur d’alerte peut désormais, au choix :

• Adresser un signalement interne, s’il estime qu’il est possible de remédier efficacement à la violation par ce moyen et qu’il n’y a pas de risque de représailles ;
• Adresser un signalement externe, peu importe s’il a déjà réalisé un signalement interne préalablement ;
• Procéder à une divulgation publique, sous certaines conditions.

Enfin, la loi Waserman entérine l’obligation d’avoir une procédure de recueil de signalement interne pour les structures employant plus de 50 salariés. Cette procédure a depuis été détaillée dans le décret d’application du 3 octobre 2022.

Les précisions apportées par le décret du 3 octobre 2022

La procédure de recueil et de traitement des signalements

Le décret d’application du 3 octobre 2022 a permis d’apporter des éclaircissements concernant l’exécution pratique de la loi, et porte principalement sur les procédures concernant les deux types de signalement, interne et externe.

Le premier chapitre définit les contours de la procédure interne de recueil et de traitement des signalements :

• Le canal de réception des signalements doit permettre au lanceur d’alerte d’effectuer son signalement à l’écrit ou à l’oral ;
• Dans le cas d’un signalement oral, ce dernier doit être correctement consigné à l’aide d’un enregistrement audio, d’une transcription ou d’un procès-verbal. Le lanceur d’alerte doit avoir la possibilité de vérifier, rectifier et d’approuver la retranscription de son signalement ;
• Le lanceur d’alerte doit pouvoir transmettre tout élément, peu importe leur forme, afin d’étayer les faits objet de son signalement ;
• Le lanceur d’alerte doit être informé à l’écrit de la réception de son signalement dans un délai de 7 jours ;
• A la demande du lanceur d’alerte, une rencontre physique ou par visioconférence peut être organisée pour soumettre le signalement, au plus tard 20 jours ouvrés après la réception de la demande ;
• La procédure peut prévoir (sauf dans le cas d’un signalement anonyme) la possibilité de demander au lanceur d’alerte de fournir tout élément justifiant qu’il appartient bien aux catégories de personnes visé par la loi et à qui la procédure est ouverte ;
• Il est possible d’externaliser la gestion des signalements avec un tiers, qui reste cependant tenu de respecter l’ensemble des obligations applicable à l’entité.

Une fois que la structure a recueilli le signalement, la procédure de traitement du signalement a été définie à l’article 4-1 du décret :

• Lorsque le signalement est jugé recevable, la structure peut demander des compléments d’information au lanceur d’alerte afin d’évaluer l’exactitude des faits signalés.
• Si les allégations sont avérées, l’entité doit mettre en œuvre les moyens à sa disposition pour remédier à l’objet du signalement.
• Dans un délai raisonnable (moins de 3 mois à compter de l’accusé de réception du signalement), le lanceur d’alerte doit être informé par écrit des mesures envisagés ou déjà prises pour évaluer l’exactitude des allégations, et le cas échéant, remédier à l’objet du signalement ainsi que sur les motifs de ces dernières.
• Si toutefois les allégations sont inexactes ou infondées, ou si le signalement est devenu sans objet, le signalement peut être clôturé, et le lanceur d’alerte doit être informé par écrit de la clôture du dossier.

Enfin, le décret rappelle que la procédure interne mise en place par la structure doit être diffusée par tout moyen assurant une publicité suffisante (notification, affichage, publication, etc), mais également mettre à disposition des informations claires et facilement accessibles concernant les procédures de signalement externe.

Ces précisions sur la mise en œuvre de la procédure de recueil et de traitement d’un signalement interne de la part d’un lanceur d’alerte permettent ainsi aux entreprises d’y voir plus clair afin de se mettre en conformité.

Le seuil des 250 salariés et son impact sur les groupes d’entreprises

La loi Waserman prévoyait, pour les entreprises employant moins de 250 salariés ainsi que pour les groupes, la possibilité de mettre en commun leurs procédures de recueil et de traitement des signalements. Le décret d’application a permis de préciser les modalités de cette mise en commun de la procédure de recueil et de traitement des signalements.

En ce qui concerne les entreprises de moins de 250 salariés, cette mise en commun de la procédure de recueil et de traitement des signalements ne peut intervenir qu’après une décision concordante des organes compétents des entités. Par ailleurs, le seuil des 250 salariés s’apprécie à la clôture de deux exercices consécutifs. L’objectif de cette mise en commun est le partage des ressources concernant le canal de réception des signalements, ainsi que la vérification de l’exactitude des faits formulés. Les entités qui mettent en commun leurs ressources devront cependant être prudentes face à l’impact que cela peut avoir sur le respect du RGPD. En revanche, les entités devront veiller à ce que cette mise en commun de leurs procédures respectives ne porte pas préjudice aux autres obligations qui incombent à chacune de ses entités : remédiation, confidentialité, intégrité, publicité, etc.

Concernant les groupes de sociétés, la loi Sapin 2 précisait déjà que « la procédure de recueil et de traitement des signalements peut être commune à plusieurs ou à l’ensemble des sociétés d’un groupe selon les modalités fixées par décret. » Le décret a donc permis de fixer les modalités de la mise en commun de la procédure de recueil et de traitement des signalements entre les entités d’un même groupe. Il est donc possible pour les groupes de sociétés de :

• Confier à un tiers le recueil des alertes (par exemple la maison mère)
• Confier à un tiers le recueil et le traitement des alertes si l’entreprise a moins de 250 salariés

De plus, lorsqu’une entité d’un groupe de sociétés estime que le signalement porte sur des faits qui se sont produits ou sont très susceptibles de se produire dans une entité appartenant au même périmètre de consolidation, au sens de l’article L233-16 du code de commerce, elle peut inviter l’auteur du signalement à l’adresser également à cette dernière. Si l’entité estime que le signalement serait traité de façon plus efficace par cette seule autre entité elle peut inviter son auteur à retirer le signalement qu’elle a reçu. Le signalement sera ainsi traité par l’autre entité.

Afin de rendre la procédure de recueil et de traitement des signalements plus clair, chaque entité peut diffuser une procédure groupe, en précisant sous quelles conditions et selon quelles modalités il est possible de lui adresser un signalement.

Comment mettre mon entreprise en conformité avec la réglementation sur les lanceurs d’alertes ?

Afin de se mettre en conformité avec la nouvelle réglementation, il convient de suivre plusieurs points.

Tout d’abord, mettre à jour sa procédure. Il est nécessaire d’adapter, ou de mettre en place si ce n’était pas le cas antérieurement, votre procédure de recueil et de traitements des signalements. Cela nécessite de nombreuses actions : choisir le dispositif adapté, revoir ou rédiger la procédure d’alerte, le choix ou non d’une rédaction groupe, la sensibilisation des équipes sur le sujet, etc.

Ensuite, il est important de ne pas oublier la conformité avec le Règlement Général sur la Protection des Données (RGPD). En effet, le nouveau dispositif d’alerte ainsi modifié ou créé doit respecter le RGPD, notamment en ce qui concerne les informations sur la ou les personnes concernés (facilitateurs et tiers inclus). Il est également possible de réaliser une analyse d’impact relative à la protection des données (AIPD) afin de s’assurer que sa procédure de recueil et de traitement des signalements respecte bien la réglementation en vigueur. Par ailleurs, il est important d’avoir un accord relatif à la protection des données avec le tiers si toutefois la procédure est externalisée.

Enfin, après avoir créé ou mis à jour la procédure, il est bien évidemment nécessaire de la déployer. Pour cela, il faut donner à la procédure la valeur du règlement intérieur en réalisant une information-consultation du CSE, un avis de l’inspection du travail et le dépôt au greffe du CPH. Il faut également penser à réaliser des opérations d’affichage et de publicité, ainsi qu’un processus de suivi pour s’assurer que la protection des lanceurs d’alertes sera effective.