MIS A JOUR au 27 août 2017
La loi Sapin 2 rend obligatoire, pour l’ensemble du secteur public et de nombreuses entreprises du secteur privé dès lors que leurs effectifs dépassent 50 salariés, la mise en place d’un dispositif d’alerte interne (“whistleblowing ”).
La publication tant attendue du décret du 19 avril 2017 sur les procédures de recueil des signalements émis par les lanceurs d’alerte vient apporter des clarifications sur le dispositif d’alerte à mettre en place et confirmer la possibilité d’externaliser le “référent”.
Si ce décret d’application de l’article 8 de la loi Sapin 2 n’entrera en vigueur que le 1er janvier 2018 pour les entreprises ayant plus de 50 salariés, il ne diffère pas l’obligation fondée sur l’article 17, pour les grandes ETI et grandes entreprises de mettre en place à compter du 1er juin 2017 (voir l’article du blog spécifiant les entreprises concernées : “loi Sapin 2: grandes entreprises et prévention de la corruption- Partie 3” ), un programme de prévention de la corruption, dont le dispositif d’alerte pour violation du code de conduite (voir l’article du blog sur le contenu requis du programme de prévention lui-même : “Loi Sapin 2 : les huit piliers du programme de prévention de la corruption -Partie 4“).
L’attentisme n’est donc plus de mise pour les grandes entreprises auxquelles il est recommandé d’avancer sur le projet de déploiement d’un dispositif d’alerte unique regroupant les cas protéiformes d’alerte de l’article 8 et le cas spécifique d’alerte pour violation du code de conduite de l’article 17 de la loi Sapin 2.
La loi Sapin 2 définit aussi un statut général de protection des lanceurs d’alerte conformément au cadre européen. Elle encadre, en outre, les conditions de signalement et de révélation de l’alerte.
Les raisons des réticences en France aux lanceurs d’alertes
Le concept de lanceur d’alerte est un sujet controversé en France pour des raisons culturelles. Dans la mémoire collective, le signalement renvoie à des pratiques de délation, souvent anonymes, pendant la période d’occupation du pays durant la Seconde Guerre mondiale.
En outre, les partenaires sociaux de l’entreprise tels que les syndicats continuent à faire preuve de réticence à l’égard d’un dispositif d’alerte interne. Ce dernier vient en effet dans une certaine mesure concurrencer, voire remettre en cause, leur rôle historique – mais important – de canal d’intermédiation entre les dirigeants et les salariés de l’entreprise. Leur légitimité à représenter les intérêts individuels des salariés et à faire valoir leurs doléances sera-t-elle impactée par cette réforme ?
Il est fortement recommandé à la fonction conformité de travailler de concert avec la DRH pour consulter en amont les partenaires sociaux sur le dispositif d’alerte interne et son corollaire, le code de conduite et enfin le volet disciplinaire.
Le volet alerte interne de la Loi Sapin 2 est fortement susceptible d’entraîner à long terme une profonde révolution culturelle des organisations avec le renforcement de la protection des lanceurs d’alerte.
Toutefois, au-delà des bonnes intentions du législateur, des interrogations subsistent : les sanctions applicables aux personnes faisant obstacle à l’alerte ou décidant de représailles seront-elles appliquées en pratique et donc dissuasives ?
L’affaire récente de la Barclays Bank au Royaume-Uni méritera d’être suivie avec beaucoup d’attention : son président vient d’être réprimandé par le conseil d’administration qui réduira aussi son bonus. Il fait en effet, l’objet d’enquêtes des régulateurs financiers au motif qu’il avait cherché à identifier le nom du lanceur d’alerte nonobstant son anonymat et en violation du principe de protection du lanceur d’alerte.
Contexte européen et international sur les lanceurs d’alerte
La protection effective des lanceurs d’alerte contre les représailles est perçue comme un élément essentiel des politiques de lutte contre la corruption au niveau européen et international.
La Recommandation CM/Rec(2014)7 du Comité des Ministres du Conseil de l’Europe sur la protection des lanceurs d’alerte s’adresse aux États membres du Conseil de l’Europe. Elle a été adoptée le 30 avril 2014. Bien qu’une recommandation n’ait pas d’effet contraignant, elle a un effet de persuasion pour les Etats membres.
Elle énonce une série de principes destinés à encourager les États membres à prendre des mesures pour protéger les lanceurs d’alerte, et fournit des orientations sur les normes minimales à appliquer, à savoir :
- les législations qui protègent les lanceurs d’alerte couvrent un large éventail d’informations d’intérêt général ;
- les personnes ont accès à plusieurs voies de signalement et de révélation de telles informations ;
- des mécanismes existent pour veiller à ce que les signalements et les révélations d’informations soient rapidement suivis d’action ;
- toute forme de représailles est interdite, dès lors que le lanceur d’alerte a des motifs raisonnables de croire en la véracité des informations ;
- les lanceurs d’alertes peuvent prétendre au respect de la confidentialité de leur identité de la part des personnes à qui ils ont fait un signalement, à moins qu’ils n’en décident autrement (sous réserve de garanties d’un procès équitable).
Il incombe à la Cour européenne des droits de l’homme de contrôler la mise en œuvre de la Convention dans les États membres.
La Cour européenne des droits de l’homme a prononcé plusieurs décisions importantes. Dans les affaires Guja c. Moldova (no 14277/04, CEDH 2008) , Heinisch c. Allemagne et Bucur (no 28274/08, CEDH 2011) et Toma c. Roumanie (no 40238/02, CEDH 2013), la Cour a énoncé six principes sur lesquels elle s’est appuyée pour déterminer si une ingérence par l’employeur dans l’exercice du droit garanti par l’article 10 (liberté d’expression) de la CEDH au regard des actions d’un lanceur d’alerte qui fait des révélations publiques d’informations était « nécessaire dans une société démocratique ». Ces principes sont les suivants :
- L’existence ou non, pour la personne qui a révélé les informations, d’autres moyens de procéder à la révélation d’informations.
- L’intérêt général présenté par les informations révélées.
- L’authenticité des informations divulguées. Quiconque choisit de divulguer des informations doit vérifier avec soin, dans la mesure où les circonstances le permettent, qu’elles sont exactes et dignes de crédit. Toutefois, il est nécessaire de protéger le donneur d’alerte sous réserve qu’il ait eu des « motifs raisonnables » de penser que l’information révélée était vraie.
- Le préjudice causé à l’employeur. L’intérêt général dans la révélation publique d’informations revêt-il une telle importance dans une société démocratique qu’il prévaut sur le préjudice subi par l’employeur ?
- La bonne foi du lanceur d’alerte. Dans l’affaire Guja c. Moldova, la Cour a affirmé qu’ « un acte motivé par un grief ou une animosité personnels ou encore par la perspective d’un avantage personnel, notamment un gain pécuniaire, ne justifie pas un niveau de protection particulièrement élevé ».
- La sévérité de la sanction infligée à la personne qui a révélé les informations et ses conséquences.
La protection des lanceurs d’alerte est aussi recommandée par la Convention dite de Mérida des Nations-unies contre la corruption, entrée en vigueur le 14 décembre 2005 et qui a été ratifiée par la France la même année:
La CCI avait émis dès 2008, des lignes directrices en anglais et en français sur l’importance d’un dispositif pour prévenir et détecter des cas de fraude ou de corruption.
Périmètre d’application obligatoire du dispositif d’alerte interne
Selon l’article 1-I du décret d ‘application de l’article 8 III de la loi Sapin 2, la mise en place d’un dispositif de recueil des alertes est obligatoire pour :
- “les personnes morales de droit public autres que l’Etat ou les personnes morales de droit privé d’au moins cinquante agents ou salariés,
- les départements et les régions et les établissements publics en relevant,
- les établissements publics de coopération intercommunale à fiscalité propre regroupant au moins une commune de plus de 10 000 habitants.”
Pour les administrations de l’Etat, il est prévu que la procédure de recueil fera l’objet d’un arrêté ministériel (article 1-II du même décret).
En ce qui concerne les “autorités publiques indépendantes d’au moins cinquante agents et les autorités administratives indépendantes” , ces dernières établiront leurs procédures selon des modalités spécifiques (article 1-III dudit décret).
Ainsi, outre le secteur public, l’ensemble des ETI et grandes entreprises mais aussi la plupart des PME et des associations, des fédérations professionnelles et des fondations sont concernées dès lors que leur effectif est supérieur à 50 salariés.
C’est une différence significative avec le dispositif d’alerte relatif au code de conduite de l’entreprise, qui est l’une des briques obligatoires dès le 1er juin 2017, de tout programme de prévention de la corruption requis par l’article 17 de la loi et applicable seulement à certaines grandes ETI et aux grandes entreprises (voir sur le blog l’article spécifiant les entreprises concernées “loi Sapin 2: grandes entreprises et prévention de la corruption- Partie 3” et l’article sur le contenu attendu du programme de prévention lui-même : “Loi Sapin 2 : les huit piliers du programme de prévention de la corruption -Partie 4” )
Le décret prend la peine de préciser que pour les groupes de sociétés, une procédure commune à plusieurs sociétés peut être déployée “après décision concordante des organes compétents” (article 2 du décret).
En pratique, il est recommandé qu’une décision formelle sur l’adoption d’une procédure unique pilotée au niveau de la société holding soit adoptée par le conseil d’administration pour les sociétés anonymes, le président pour les SAS ou le gérant pour les SARL concernées.
De même dans le secteur public, plusieurs personnes de droit public ou plusieurs établissements rattachés à une région pourraient convenir d’une procédure commune (article 2 du décret).
Date-butoir de mise en place de la procédure de recueil des alertes
Le décret prévoit une entrée en vigueur du dispositif au 1er janvier 2018.
Les entreprises ayant plus de 50 salariés disposent ainsi d’un délai de 8 mois pour se préparer, notamment définir une procédure détaillée de recueil, nommer un référent et préparer la communication autour du nouveau dispositif.
En revanche, les grandes entreprises concernées par l’obligation de déployer un programme de prévention de la corruption, dont le dispositif d’alerte pour violation du code de conduite, ne bénéficient pas d’un délai de grâce : le décret ayant été publié, les modalités pratiques du dispositif d’alerte applicable aux secteurs public et privé pourront être utilement étendues au dispositif d’alerte pour violation du code de conduite.
Contenu et modalités du dispositif d’alerte interne
a) Les obligations à la charge de l’organisation
Les organisations concernées, qu’elles relèvent du secteur public ou privé, doivent déployer un dispositif de recueil des alertes apportant plusieurs garanties :
1) la stricte confidentialité sur :
- le lanceur d’alerte (salarié ou collaborateur extérieur et occasionnel),
- les personnes impliquées, et
- les informations révélées.
L’article 5.II du décret du 19 avril donne un cadre plus détaillé sur la nécessité pour les procédures de recueil des signalements de garantir cette confidentialité dans l’hypothèse de “communication à des tiers dès lors que celle-ci est nécessaire pour les seuls besoins de la vérification ou du traitement du signalement”, en d’autres termes lorsque l’entreprise fait appel à des consultants, enquêteurs, avocats ou autres professionnels pour mener une enquête concernant les allégations signalées.
Le législateur laisse aux entreprises et organisations concernées le soin de préciser dans quelles conditions un signalement est recevable. Il revient à l’organisation de définir dans la procédure diffusée à tous les collaborateurs, l’éventail des modalités alternatives (ligne téléphonique, e-mail, boîte aux lettres sur une plateforme dédiée,etc…) accessibles au lanceur d’alerte pour contacter le référent. En pratique, l’entreprise prendrait un risque à ignorer un signalement non conforme aux modalités prescrites (ex: un signalement est effectué de vive voix ou par un courrier, dont l’auteur souhaite rester anonyme on non).
2) le dialogue de suivi avec le lanceur d’alerte
L’auteur doit recevoir confirmation “sans délai” de la bonne réception du signalement.
L’organisation doit aussi indiquer au lanceur d’alerte dans quel “délai raisonnable et prévisible” la recevabilité de l’alerte sera examinée.
Il est recommandé à l’organisation une extrême prudence dans le délai notifié au lanceur d’alerte (par exemple, 1 ou 2 mois sauf urgence) pour confirmer la recevabilité ou non de l’alerte. Ce délai ne pourra excéder 3 mois puisque la loi Sapin 2 prévoit que si l’alerte n’est pas traitée dans ce délai, son auteur pourra la rendre publique.
En effet, sauf retour de l’entreprise dans le délai indiqué, le lanceur d’alerte peut informer des tiers à l’entreprise, soit les autorités publiques ou des ordres professionnels (lire les développements plus bas dans l’article). Par conséquent, l’entreprise doit tenir un tableau de bord rigoureux dans la gestion des alertes, dont le suivi des enquêtes internes, pour éviter une perte de contrôle du processus d’alerte.
Enfin, le lanceur d’alerte doit être tenu au courant “des suites données à son signalement“, à savoir :
– la clôture du dossier si les allégations sont dépourvues de fondement, ou
– si les faits allégués s’avèrent exacts, l’issue de l’enquête interne quant aux mesures correctives prises par l’entreprise, y compris les sanctions disciplinaires le cas échéant.
La nécessité de maintenir un dialogue entre l’organisation et le lanceur d’alerte peut rencontrer un problème pratique pour l’organisation donnant la faculté à ses agents ou salariés de garder l’anonymat afin de favoriser des signalements de la part de personnes craignant des représailles de la part de leur hiérarchie ou même de l’organisation.
Il existe toutefois des solutions techniques pour permettre un dialogue à travers une plateforme ainsi que l’illustre le nouvel outil mis en place le 16 mars par la Commission européenne pour permettre la dénonciation d’ententes, y compris des dénonciations anonymes avec une possibilité d’échanges cryptés avec le lanceur d’alerte bénéficiant d’un mot de passe.
Les multiples prestataires de services auxquels les entreprises peuvent outsourcer le dispositif de recueil des alertes permettent de préserver l’anonymat ainsi qu’un dialogue via une boîte aux lettres entre l’entreprise et le lanceur d’alertes pour échanger des compléments d’informations.
3) La destruction des éléments de l’alerte
Si aucune suite n’est donnée au signalement, il incombe à l’organisation de détruire les éléments qui permettraient d’identifier l’auteur de l’alerte et les personnes visées.
L’organisation dispose d’un délai de rigueur de 2 mois pour détruire ces éléments “à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification” (article 5.II.3 du décret).
4) la mention par la procédure d’un traitement automatisé des signalements, qui requiert donc l’autorisation de la CNIL préalablement à l’activation du dispositif d’alerte.
Afin de se conformer au champ d’application élargi du dispositif d’alertes depuis la loi Sapin 2, la CNIL vient de mettre à jour la Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).
5) la diffusion de la procédure de recueil (article 6 du décret)
L’organisation doit enfin veiller à informer “par tous moyens” les agents, salariés ou ses “collaborateurs extérieurs ou occasionnels” de l’existence de la procédure et des conditions d’accessibilité (ex: hotline, e-mail ou formulaire enligne sur le site internet de l’organisme).
b) les obligations pesant sur le lanceur d’alerte
Il revient à la procédure de recueil des signalements de décrire les obligations incombant au lanceur d’alerte, à savoir :
1) fournir des “faits, informations ou documents… de nature à étayer son signalement” s’ils sont disponibles, indépendamment de leur forme ou support ;
2) fournir les éléments permettant, le cas échéant, un échange avec le destinataire du signalement (par exemple, le référent).
A cet égard, l’existence d’un référent externe est susceptible de rassurer les lanceurs d’alerte si le référent sert de filtre pour anonymiser son identité et donc limiter le risque de représailles de la part de l’organisation.
3) adresser son “signalement à son supérieur hiérarchique, direct ou indirect, de l’employeur ou au référent”.
La mission de “référent” Sapin 2
Le décret apporte un éclairage bienvenu sur le concept assez flou de référent dans la loi Sapin 2.
Tout d’abord, nous avons confirmation de la validation d’une diversité d’approches selon les organisations, à savoir que le référent peut être soit un collaborateur de l’entreprise ou un agent de l’entité publique soit “être extérieur à cet organisme”.
Dans ce dernier cas d’un référent qui n’est pas membre du personnel, l’entreprise choisit d’externaliser le récipiendaire des alertes, ce qui n’implique pas la vérification du bien fondé des faits signalés mais un rôle de chef de gare veillant au triage, à la classification des incidents (exemple d’un cas de harcèlement ou de fraude) et à l’allocation des signalements vers une ou plusieurs fonctions centrales de l’organisation (désignées par l’entreprise) les plus aptes à à traiter ces alertes et apprécier leur sérieux.
Ensuite, il est impératif que la procédure “précise l’identité du référent susceptible de recevoir les alertes” (article 4 du décret).
Les conditions d’éligibilité et d’exercice de la mission de référent sont les suivantes :
- être une personne physique ou toute entité de droit public ou de droit privé, dotée ou non de la personnalité morale; et
- disposer, par son positionnement, de la compétence, de l’autorité et des moyens suffisants à l’exercice de ses missions;
Le référent est aussi lié par une obligation de stricte confidentialité, sous peine des sanctions pénales applicables prévues par l’article 9 de la loi Sapin 2, à savoir jusqu’à deux ans d’emprisonnement et 30 000 € d’amende .
Lanceurs d’alerte : protection et responsabilité
Dans un objectif de protection élevée des lanceurs d’alerte, la loi a retenu une définition large. Il s’agit de toute “personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance.” (Article 6)
La loi englobe tous les secteurs d’activités, par contraste avec la prolifération de six lois sectorielles sur le droit d’alerte depuis 10 ans[1].
La loi définit un statut général de protection des lanceurs d’alerte sous l’égide du Défenseur des droits ainsi que les conditions de signalement et de révélation de l’alerte.
Le Défenseur des droits vient de publier un guide le 11 juillet 2017 sur l’orientation et la protection des lanceurs d’alerte, dont le contenu sera utile à la fois aux lanceurs d’alerte potentiels mais aussi aux entreprises en tant qu’employeurs ou donneurs d’ordre.
Un statut général de protection du lanceur d’alerte
Le lanceur d’alerte bénéficie d’un ensemble de droits communs, notamment :
- la confidentialité,
- une protection contre les risques de représailles,
- une irresponsabilité pénale en cas de divulgation d’un secret légalement protégé (sauf trois exceptions[2]).
Ainsi, toute sanction, discrimination ou mesure défavorable prononcée à l’encontre d’un lanceur d’alerte est proscrite. Si le lanceur d’alerte perdait son emploi du fait de la révélation d’une violation d’une loi ou du code de conduite de l’organisation, le conseil de prud’hommes ou le juge administratif, selon le cas, pourrait enjoindre à l’employeur de réintégrer le lanceur d’alerte.
Une récente décision judiciaire fin 2016 illustre le droit à réintégration : un salarié licencié par NATIXIS en 2008 a obtenu gain de cause devant la cour d’appel de Paris le 16 décembre 2016 (soit 8 ans plus tard…) : les magistrats ont décidé l’annulation de son licenciement, la réintégration dans l’entreprise et des dommages-intérêts à hauteur de 334 000 Euro. Ce salarié aurait alerté le service conformité de la banque de pratiques irrégulières puis, après son licenciement, l’AMF.
Un arrêt de la Cour de cassation du 21 juin 2017 a aussi confirmé la nullité du licenciement d’un directeur commercial licencié après avoir dénoncé des faits de corruption et a rappelé que l’employeur était tenu de le réintégrer.
La loi instaure un savant équilibre entre la protection des lanceurs d’alerte et leur responsabilité à l’égard des tiers :
- Si un tiers fait entrave au signalement, il et susceptible d’une poursuite pour délit d’entrave (sanctions : un an d’emprisonnement et 15 000 € d’amende) ;
- Si un tiers fait l’objet d’un signalement erroné ou mensonger pouvant lui nuire, le lanceur d’alerte peut être poursuivi pour diffamation (amende civile : 30 000 €).
- Le fait pour quiconque (par exemple, le référent) de divulguer les éléments confidentiels sur l’identité du lanceur d’alerte, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement, peut être puni de deux ans d’emprisonnement et de 30 000 € d’amende.
Les conditions du signalement et de protection du lanceur d’alerte.
La protection du lanceur d’alerte repose sur plusieurs conditions cumulatives:
- Être non seulement une personne physique mais exclusivement l’un des “membres de leur personnel ou des collaborateurs extérieurs et occasionnels” de l’entreprise,
- Agir de bonne foi,
- Une motivation désintéressée,
- La révélation ou le signalement, soit d’un crime ou délit soit d’une “menace ou d’un préjudice graves pour l’intérêt général” (par exemple, pour l’environnement, la santé publique ou la sécurité publique),
- Avoir une connaissance personnelle des faits ou menaces signalés,
- Le respect de la procédure graduée organisant le signalement de l’alerte.
La première exigence porte sur le statut de salarié de l’entreprise ou de “collaborateur extérieur et occasionnel“, concept au demeurant très flou. Ainsi, un extérieur (exemple classique du journaliste) ne pourra prétendre au bénéfice du statut de lanceur d’alerte.
Le Conseil constitutionnel dans sa décision n° 2016-741 DC du 8 décembre 2016 a expressément confirmé dans le considérant N° 7 que “le législateur a entendu limiter le champ d’application de l’article 8 aux seuls lanceurs d’alerte procédant à un signalement visant l’organisme qui les emploie ou celui auquel ils apportent leur collaboration dans un cadre professionnel.“
Il reviendra aux juges administratifs ou judiciaires saisis de clarifier les catégories de “collaborateurs extérieurs et occasionnels” éligibles au statut de lanceur d’alerte, par exemple le personnel intérimaire ou le personnel détaché au sein de l’entreprise. Dans quelles conditions le personnel d’une entreprise sous-traitante sera-t-il éligible au bénéfice du dispositif d’alerte de son client?
L’exigence de bonne foi dont l‘appréciation reviendra aux tribunaux, le cas échéant, était déjà explicite dans les textes spécifiques antérieurs. La bonne foi est absente si le lanceur d’alerte était motivé par une intention de nuire à autrui ou ne cherchait qu’un avantage pour lui-même, par exemple l’utilisation fallacieuse du dispositif pour parer à une mesure disciplinaire imminente ou faire échec à un licenciement pour des raisons étrangères à l’alerte.
L’exigence d’une démarche altruiste reflète la tradition culturelle européenne, à la différence d’autres pays de culture anglo-saxonne où non seulement le lanceur d’alerte en tant que “bon citoyen” a le devoir de rapporter des faits ou un risque contraire à l’intérêt de l’entreprise mais également peut être rétribué.
Par exemple, aux États-Unis, depuis la promulgation du Dodd-Frank Act en 2010, la SEC (Securities and Exchange Commission) peut verser une gratification comprise entre 10 et 30 % des montants recouvrés de l’entreprise. Ainsi, la SEC a versé sur 5 ans un total supérieur à USD 130 millions aux lanceurs d’alerte[3]. Le rapport annuel de la SEC pour 2016 donne des informations statistiques fort instructives sur le nombre croissant d’alertes, leur classification (par exemple, une violation du FCPA – Foreign Corrupt Practices Act – ou un délit d’initiés) et la localisation des lanceurs d’alerte sur le territoire américain et par pays à l’étranger[4].
Les informateurs du fisc français (“aviseurs”) ne sont pas éligibles au statut de protection des lanceurs d’alerte.
Toutefois, le pragmatisme français prévaut en matière fiscale (principe du réalisme fiscal). Par exception au principe de non-rémunération des lanceurs d’alerte, le législateur français va rémunérer officiellement les informateurs des cas de fraude fiscale internationale pour une période pilote de deux ans à compter du 1 janvier 2017 [5]. L’informateur fiscal ne pourra donc pas bénéficier du statut protecteur des lanceurs d’alerte. Le décret d’application, qui est entré en vigueur le 24 avril 2017, autorise l’administration fiscale à titre expérimental à indemniser les personnes qui lui communiquent des informations conduisant à la découverte d’un manquement à certaines règles et obligations déclaratives fiscales. Cette pratique existe déjà dans d’autres pays européens comme l’Allemagne. Un arrêté du 21 avril 2017 définit les modalités d’indemnisation des “aviseurs”.
Le signalement peut porter sur des faits ayant déjà entraîné un préjudice ou un risque de dommage pour prévenir par exemple, une fraude ou une atteinte à l’environnement ou à la santé publique.
Vu le champ extrêmement large des types d’alerte, la CNIL a dû mettre à jour ses recommandations et le régime de l’autorisation unique relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle[6] .Afin de se conformer au champ d’application élargi du dispositif d’alertes depuis la loi Sapin 2, la CNIL vient de mettre à jour la Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).
Le lanceur d’alerte doit enfin avoir une connaissance personnelle des faits ou menaces signalés. Ainsi, un extérieur qui ne ferait que relater des informations (exemple classique du journaliste) ne pourra prétendre au bénéfice du statut de lanceur d’alerte.
La procédure d’alerte doit enfin être graduée :
- En premier lieu, le lanceur d’alerte doit s’adresser à son supérieur hiérarchique, direct ou indirect, ou au référent désigné par son employeur;
- Deuxièmement, en l’absence de « diligences (…) dans un délai raisonnable », le lanceur d’alerte a l’option de s’adresser à l’autorité administrative ou judiciaire, au Défenseur des droits ou encore aux ordres professionnels [7];
- En dernier ressort, l’alerte peut être rendue publique, à savoir être communiquée aux média, par son auteur, si l’alerte n’a pas été traitée dans un délai de trois mois.
- Par exception à l’escalade graduée, l’alerte peut être soit adressée aux personnes visées dans la deuxième étape soit rendue publique “en cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles» (article 8. II).
Dispositif d’alerte et violation du code de conduite
L’article 17 de la loi Sapin 2 impose aux entreprises de taille intermédiaire et aux grandes entreprises ayant au moins 500 salariés et réalisant plus de 100 millions d’euros de chiffres d’affaires de se doter d’un programme anti-corruption, entre autres la mise en place d’un code de conduite.
Ainsi, se pose un problème de conciliation de l’article 8 de la loi Sapin 2 exigeant la mise en place par toutes entreprises ayant au moins 50 salariés d’une procédure de recueillement de signalement des alertes et du dispositif d’alerte ayant un périmètre d’application a priori plus strict d’une seule violation du code de conduite, visé par l’article 17 de la même loi.
Suite à de multiples interrogations de juristes d’entreprise ou de compliance officers sur la cohérence entre les dispositifs d’alertes respectifs des articles 8 et 17, il est recommandé de manière pragmatique, aux entreprises concernées par le programme anti-corruption de mettre en place un seul dispositif d’alerte couvrant la violation à la fois des cas visés à l’article 8 et du code de conduite.
La mise en place d’une procédure de gestion des enquêtes internes pour répondre aux alertes est également une nécessité. La prise en compte du droit français sur le respect de la vie privée et la protection des données personnelles est enfin essentielle pour les salariés français.
A SUIVRE : le prochain article aura pour objet le contenu du programme de prévention de la corruption selon la loi Sapin 2.
L’auteur exprime des vues strictement personnelles qui n’engagent pas les entreprises ou les organisations dont il est le représentant ou conseil. Il peut être joint par courriel à: iohanngrc@gmail.com
[1] Voir les six lois ci-dessous :
- La loi n° 2007-1598 du 13 novembre 2007 relative à la lutte contre la corruption instaure un régime de protection pour les salariés dénonçant des faits de corruption dont ils ont eu connaissance dans l’exercice de leurs fonctions.
- La loi n° 2011-2012 du 29 décembre 2011 relative au renforcement de la sécurité sanitaire du médicament et des produits de santé stipule qu’aucune personne ne peut faire l’objet d’une mesure discriminatoire pour avoir relaté ou témoigné de bonne foi à son employeur, aux autorités judiciaires ou administratives des faits relatifs à la sécurité sanitaire des produits de santé.
- La loi n° 2013-316 du 16 avril 2013 relative à l’indépendance de l’expertise en matière de santé et d’environnement et à la protection des lanceurs d’alerte proclame que « toute personne physique ou morale a le droit de rendre publique ou de diffuser de bonne foi une information concernant un fait, une donnée ou une action, dès lors que la méconnaissance de ce fait, de cette donnée ou de cette action lui paraît faire peser un risque grave sur la santé publique ou sur l’environnement ».
- La loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique prévoit une protection des lanceurs d’alerte au bénéfice de toute personne qui relate ou signale de bonne foi à son employeur, à l’autorité chargée de la déontologie au sein de l’organisme, à une association de lutte contre la corruption agréée ou aux autorités judiciaires ou administratives de faits relatifs à une situation de conflit d’intérêts, concernant des responsables publics dont elle aurait eu connaissance dans l’exercice de ses fonctions.
- La loi n° 2013-1117 du 6 décembre 2013, relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière, intègre un article dans le code du travail au profit du salarié relatant ou témoignant, de bonne foi, des faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions.
- La loi n° 2015-912 du 24 juillet 2015 relative au renseignement institue un mécanisme de « lanceur d’alerte » au bénéfice des agents des services de renseignement qui estimeraient que des « violations manifestes » dans l’utilisation de techniques du renseignement seraient commises au sein du service de renseignement où ils sont affectés.
[2] Ces droits sont exclus lorsque les faits en cause sont relatifs au secret de la défense nationale, au secret médical ou celui applicable entre un avocat et son client.
[3] https://www.sec.gov/whistleblower
[4] Le nombre d’alertes est élevé dans les pays de culture anglo-saxonne (Royaume-Uni, Canada, Australie,) au Mexique ainsi qu’en Chine et en Inde. 3 cas d’alerte seulement proviennent de la France . Voir : https://www.sec.gov/whistleblower/reportspubs/annual-reports/owb-annual-report-2016.pdf
[5] V. l’amendement au projet de loi de finances adopté par l’Assemblée nationale le 7 novembre 2016 : http://www.assemblee-nationale.fr/14/amendements/4061C/CION_TOUTE/CF275.pdf
[6] V. la délibération n° 2014-042 du 30 janvier 2014 modifiant l’autorisation unique n° 2005-305 du 8 décembre 2005 n° AU-004 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028583464&fastPos=2&fastReqId=1177231337&categorieLien=id&oldAction=rechTexte
« Peuvent faire l’objet d’un engagement de conformité à la présente décision unique les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés ayant pour finalité le signalement et le traitement des alertes au sein de l’organisme dans les domaines suivants :
1. Financier, comptable, bancaire et de la lutte contre la corruption ;
2. Pratiques anticoncurrentielles ;
3. Lutte contre les discriminations et le harcèlement au travail ;
4. Santé, hygiène et sécurité au travail ;
5. Protection de l’environnement,
et ce dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime dans ces domaines.”
[7] Les représentants des salariés ne sont plus visés dans le texte finalement adopté.
4 thoughts on “Loi Sapin 2 et les lanceurs d’alertes (« whistleblowers ») – Partie 2”