Loi Sapin 2 et les lanceurs d’alertes (« whistleblowers ») – Partie 2

whistleblower-1764379_1920  MIS A JOUR au 27 août 2017

La loi Sapin 2 rend obligatoire, pour l’ensemble du secteur public et de nombreuses entreprises du secteur privé dès lors que leurs effectifs dépassent 50 salariés, la mise en place d’un dispositif d’alerte interne (“whistleblowing ”).

La publication tant attendue du décret du 19 avril 2017 sur les procédures de recueil des signalements émis par les lanceurs d’alerte vient apporter des clarifications sur le dispositif d’alerte à mettre en place et confirmer la possibilité d’externaliser le “référent”.

Si ce décret d’application de l’article 8 de la loi Sapin 2  n’entrera en vigueur que le 1er janvier 2018 pour les entreprises ayant plus de 50 salariés,  il ne diffère pas l’obligation fondée sur l’article 17, pour les grandes ETI et grandes entreprises de mettre en place à compter du 1er juin 2017 (voir l’article du blog spécifiant les entreprises concernées : loi Sapin 2: grandes entreprises et prévention de la corruption- Partie 3” ),  un programme de prévention de la corruption, dont le dispositif d’alerte pour violation du code de conduite (voir l’article du blog sur le contenu requis du programme de prévention lui-même : “Loi Sapin 2 : les huit piliers du programme de prévention de la corruption -Partie 4).

L’attentisme n’est donc plus de mise pour les grandes entreprises auxquelles il est recommandé d’avancer sur le projet de déploiement d’un dispositif d’alerte unique regroupant les cas protéiformes d’alerte de l’article 8 et le cas spécifique d’alerte pour violation du code de conduite de l’article 17 de la loi Sapin 2. 

La loi Sapin 2 définit aussi un statut général de protection des lanceurs d’alerte conformément au cadre européen. Elle encadre, en outre, les conditions de signalement et de révélation de l’alerte.

 

 

Les raisons des réticences en France aux lanceurs d’alertes

Le concept de lanceur d’alerte est un sujet controversé en France pour des raisons culturelles. Dans la mémoire collective, le signalement renvoie à des pratiques de délation, souvent anonymes, pendant la période d’occupation du pays durant la Seconde Guerre mondiale.

En outre, les partenaires sociaux de l’entreprise tels que les syndicats continuent à faire preuve de réticence à l’égard d’un dispositif d’alerte interne. Ce dernier vient en effet dans une certaine mesure concurrencer, voire remettre en cause, leur rôle historique – mais important – de canal d’intermédiation entre les dirigeants et les salariés de l’entreprise. Leur légitimité à représenter les intérêts individuels des salariés et à faire valoir leurs doléances sera-t-elle impactée par cette réforme ?

Il est fortement recommandé à la fonction conformité de travailler de concert avec la DRH pour consulter en amont les partenaires sociaux sur le dispositif d’alerte interne et son corollaire, le code de conduite et enfin le volet disciplinaire.

 Le volet alerte interne de la Loi Sapin 2 est fortement susceptible d’entraîner à long terme une profonde révolution culturelle des organisations avec le renforcement de la protection des lanceurs d’alerte.

Toutefois, au-delà des bonnes intentions du législateur, des interrogations subsistent : les sanctions applicables aux personnes faisant obstacle à l’alerte ou décidant de représailles seront-elles appliquées en pratique et donc dissuasives ?

L’affaire récente de la Barclays Bank au Royaume-Uni méritera d’être suivie avec beaucoup d’attention : son président vient d’être réprimandé par le conseil d’administration qui réduira aussi son bonus. Il fait en effet, l’objet d’enquêtes des régulateurs financiers au motif qu’il avait cherché à identifier le nom du lanceur d’alerte nonobstant son anonymat et en violation du principe de protection du lanceur d’alerte.

Contexte européen et international sur les lanceurs d’alerte

La protection effective des lanceurs d’alerte contre les représailles est perçue comme un élément essentiel des politiques de lutte contre la corruption au niveau européen et international.

La Recommandation CM/Rec(2014)7 du Comité des Ministres du Conseil de l’Europe sur la protection des lanceurs d’alerte s’adresse aux États membres du Conseil de l’Europe. Elle a été adoptée le 30 avril 2014. Bien qu’une recommandation n’ait pas d’effet contraignant, elle a un effet de persuasion pour les Etats membres.

Elle énonce une série de principes destinés à encourager les États membres à prendre des mesures pour protéger les lanceurs d’alerte, et fournit des orientations sur les normes minimales à appliquer, à savoir :

  • les législations qui protègent les lanceurs d’alerte couvrent un large éventail d’informations d’intérêt général ;
  • les personnes ont accès à plusieurs voies de signalement et de révélation de telles informations ;
  • des mécanismes existent pour veiller à ce que les signalements et les révélations d’informations soient rapidement suivis d’action ;
  • toute forme de représailles est interdite, dès lors que le lanceur d’alerte a des motifs raisonnables de croire en la véracité des informations ;
  • les lanceurs d’alertes peuvent prétendre au respect de la confidentialité de leur identité de la part des personnes à qui ils ont fait un signalement, à moins qu’ils n’en décident autrement (sous réserve de garanties d’un procès équitable).

Il incombe à la Cour européenne des droits de l’homme de contrôler la mise en œuvre de la Convention dans les États membres.

La Cour européenne des droits de l’homme a prononcé plusieurs décisions importantes. Dans les affaires Guja c. Moldova (no 14277/04, CEDH 2008) , Heinisch c. Allemagne et Bucur (no 28274/08, CEDH 2011) et Toma c. Roumanie (no 40238/02, CEDH 2013), la Cour a énoncé six principes sur lesquels elle s’est appuyée pour déterminer si une ingérence par l’employeur dans l’exercice du droit garanti par l’article 10 (liberté d’expression) de la CEDH au regard des actions d’un lanceur d’alerte qui fait des révélations publiques d’informations était « nécessaire dans une société démocratique ». Ces principes sont les suivants :

  1. L’existence ou non, pour la personne qui a révélé les informations, d’autres moyens de procéder à la révélation d’informations.
  2. L’intérêt général présenté par les informations révélées.
  3. L’authenticité des informations divulguées. Quiconque choisit de divulguer des informations doit vérifier avec soin, dans la mesure où les circonstances le permettent, qu’elles sont exactes et dignes de crédit. Toutefois, il est nécessaire de protéger le donneur d’alerte sous réserve qu’il ait eu des « motifs raisonnables » de penser que l’information révélée était vraie.
  4. Le préjudice causé à l’employeur. L’intérêt général dans la révélation publique d’informations revêt-il une telle importance dans une société démocratique qu’il prévaut sur le préjudice subi par l’employeur ?
  5. La bonne foi du lanceur d’alerte. Dans l’affaire Guja c. Moldova, la Cour a affirmé qu’ « un acte motivé par un grief ou une animosité personnels ou encore par la perspective d’un avantage personnel, notamment un gain pécuniaire, ne justifie pas un niveau de protection particulièrement élevé ».
  6. La sévérité de la sanction infligée à la personne qui a révélé les informations et ses conséquences.

La protection des lanceurs d’alerte est aussi recommandée par la Convention dite de Mérida des Nations-unies contre la corruption, entrée en vigueur le 14 décembre 2005 et qui a été ratifiée par la France la même année:

“Article 33 : Protection des personnes qui communiquent des informations
Chaque État Partie envisage d’incorporer dans son système juridique interne des mesures appropriées pour assurer la protection contre tout traitement injustifié de toute personne qui signale aux autorités compétentes,de bonne foi et sur la base de soupçons raisonnables, tous faits concernant les infractions établies conformément à la présente Convention.”.

La CCI avait émis dès 2008, des lignes directrices en anglais et en français sur l’importance d’un dispositif pour prévenir et détecter des cas de fraude ou de corruption.

 Périmètre d’application obligatoire du dispositif d’alerte interne

Selon l’article 1-I du décret d ‘application de l’article 8 III de la loi Sapin 2, la mise en place d’un dispositif de recueil des alertes est obligatoire pour :

  • “les personnes morales de droit public autres que l’Etat ou les personnes morales de droit privé d’au moins cinquante agents ou salariés,
  • les départements et les régions et les établissements publics en relevant,
  • les établissements publics de coopération intercommunale à fiscalité propre  regroupant au moins une commune de plus de 10 000 habitants.”

Pour les administrations de l’Etat, il est prévu que la procédure de recueil fera l’objet d’un arrêté ministériel (article 1-II du même décret).

En ce qui concerne les “autorités publiques indépendantes d’au moins cinquante agents et les autorités administratives indépendantes” , ces dernières établiront leurs procédures selon des modalités spécifiques (article 1-III dudit décret).

Ainsi, outre le secteur public, l’ensemble des ETI et grandes entreprises mais aussi  la plupart des PME et des associations, des fédérations professionnelles et des fondations sont concernées dès lors que leur effectif est supérieur à 50 salariés.

C’est une  différence significative avec le dispositif d’alerte relatif au code de conduite de l’entreprise, qui est l’une des briques obligatoires dès le 1er juin 2017, de tout programme de prévention de la corruption requis par l’article 17 de la loi et applicable seulement à certaines grandes ETI et aux grandes entreprises  (voir sur le blog l’article spécifiant les entreprises concernées  loi Sapin 2: grandes entreprises et prévention de la corruption- Partie 3”   et l’article sur le contenu attendu du programme de prévention lui-même : “Loi Sapin 2 : les huit piliers du programme de prévention de la corruption -Partie 4” )

Le décret prend la peine de préciser que pour les groupes de sociétés, une procédure commune à plusieurs sociétés peut être déployée “après décision concordante des organes compétents” (article 2 du décret).

En pratique, il est recommandé qu’une décision formelle sur l’adoption d’une procédure unique pilotée au niveau de la société holding soit adoptée par le conseil d’administration pour les sociétés anonymes, le président pour les SAS ou le gérant pour les SARL concernées.

De même dans le secteur public, plusieurs personnes de droit public ou plusieurs établissements rattachés à une région pourraient convenir d’une procédure commune (article 2 du décret).

Date-butoir de mise en place de la procédure de recueil des alertes

Le décret prévoit une entrée en vigueur du dispositif au 1er janvier 2018.

Les entreprises ayant plus de 50 salariés disposent ainsi d’un délai de 8 mois pour se préparer, notamment définir une procédure détaillée de recueil, nommer un référent et préparer la communication autour du nouveau dispositif.

En revanche, les grandes entreprises concernées par l’obligation de déployer un programme de prévention de la corruption, dont le dispositif d’alerte pour violation du code de conduite, ne bénéficient pas d’un délai de grâce : le décret ayant été publié, les modalités pratiques du dispositif d’alerte applicable aux secteurs public et privé pourront être utilement étendues au dispositif d’alerte pour violation du code de conduite.

 Contenu et modalités du dispositif d’alerte interne

a) Les obligations à la charge de l’organisation

Les organisations concernées, qu’elles relèvent du secteur public ou privé, doivent déployer un dispositif de recueil des alertes apportant plusieurs garanties :

1) la stricte confidentialité sur :

  • le lanceur d’alerte (salarié ou collaborateur extérieur et occasionnel),
  • les personnes impliquées, et
  • les informations révélées.

L’article 5.II du décret du 19 avril donne un cadre plus détaillé sur la nécessité pour les procédures de recueil des signalements de garantir cette confidentialité dans l’hypothèse de “communication à des tiers dès lors que celle-ci est nécessaire pour les seuls besoins de la vérification ou du traitement du signalement”, en d’autres termes lorsque l’entreprise fait appel à des consultants, enquêteurs, avocats ou autres professionnels  pour mener une enquête concernant les allégations signalées.

Le législateur laisse aux entreprises et organisations concernées le soin de préciser dans quelles conditions un signalement est recevable. Il revient à l’organisation de définir dans la procédure diffusée à tous les collaborateurs, l’éventail des modalités alternatives (ligne téléphonique, e-mail, boîte aux lettres sur une plateforme dédiée,etc…) accessibles au lanceur d’alerte pour contacter le référent. En pratique, l’entreprise prendrait un risque à ignorer un signalement non conforme aux modalités prescrites (ex: un signalement est effectué de vive voix ou par un courrier, dont l’auteur souhaite rester anonyme on non).

2) le dialogue de suivi avec le lanceur d’alerte

L’auteur doit recevoir confirmation “sans délai” de la bonne réception du signalement.

L’organisation doit aussi indiquer au lanceur d’alerte dans quel “délai raisonnable et prévisible” la recevabilité de l’alerte sera examinée.

Il est recommandé à l’organisation une extrême prudence dans le délai notifié au lanceur d’alerte (par exemple, 1 ou 2 mois sauf urgence) pour confirmer la recevabilité ou non de l’alerte. Ce délai ne pourra excéder 3 mois puisque la loi Sapin 2 prévoit que si l’alerte n’est pas traitée dans ce délai, son auteur pourra la rendre publique.

En effet, sauf retour de l’entreprise dans le délai indiqué, le lanceur d’alerte peut informer des tiers à l’entreprise, soit les autorités publiques ou des ordres professionnels (lire les développements  plus bas dans l’article). Par conséquent, l’entreprise doit tenir un tableau de bord rigoureux dans la gestion des alertes, dont le suivi des enquêtes internes, pour éviter une perte de contrôle du processus d’alerte.

Enfin, le lanceur d’alerte doit être tenu au courant “des suites données à son signalement“, à savoir :

– la clôture du dossier si les allégations  sont dépourvues de fondement, ou

– si les faits allégués s’avèrent exacts, l’issue de l’enquête interne quant aux mesures correctives prises par l’entreprise, y compris les sanctions disciplinaires le cas échéant.

La nécessité de maintenir un dialogue entre l’organisation et le lanceur d’alerte peut rencontrer un problème pratique pour l’organisation donnant la faculté à ses agents ou salariés de garder l’anonymat afin de favoriser des signalements de la part de personnes craignant des représailles de la part de leur hiérarchie ou même de l’organisation.

Il existe toutefois des solutions techniques pour permettre un dialogue à travers une plateforme ainsi que l’illustre le nouvel outil mis en place le 16 mars par la Commission européenne pour permettre la dénonciation d’ententes, y compris des dénonciations anonymes avec une possibilité d’échanges cryptés avec le lanceur d’alerte bénéficiant d’un mot de passe.

Les multiples prestataires de services auxquels les entreprises peuvent outsourcer le dispositif de recueil des alertes permettent de préserver l’anonymat ainsi qu’un dialogue via une boîte aux lettres entre l’entreprise et le lanceur d’alertes pour échanger des compléments d’informations.

3) La destruction des éléments de l’alerte

Si aucune suite n’est donnée au signalement, il incombe à l’organisation de détruire les éléments qui permettraient d’identifier l’auteur de l’alerte et les personnes visées.

L’organisation dispose d’un délai de rigueur de 2 mois pour détruire ces éléments “à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification” (article 5.II.3 du décret).

4) la mention par la procédure d’un traitement automatisé des signalements, qui requiert donc l’autorisation de la CNIL préalablement à l’activation du dispositif d’alerte.

Afin de se conformer au champ d’application élargi du dispositif d’alertes depuis la loi Sapin 2, la CNIL vient de mettre à jour la Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).

5) la diffusion de la procédure de recueil (article 6 du décret)

L’organisation doit enfin veiller à informer “par tous moyens” les agents, salariés ou ses “collaborateurs extérieurs ou occasionnels”  de l’existence de la procédure et des conditions d’accessibilité (ex: hotline, e-mail ou formulaire enligne sur le site internet de l’organisme).

b) les obligations pesant sur le lanceur d’alerte

Il revient à la procédure de recueil des signalements de décrire les obligations incombant au lanceur d’alerte, à savoir :

1)  fournir des “faits, informations ou documents… de nature à étayer son signalement” s’ils sont disponibles, indépendamment de leur forme ou support ;

2) fournir les éléments permettant, le cas échéant, un échange avec le destinataire du signalement (par exemple, le référent).

A cet égard, l’existence d’un référent externe est susceptible de rassurer les lanceurs d’alerte si le référent sert de filtre pour anonymiser son identité et donc limiter le risque de représailles de la part de l’organisation.

3) adresser son “signalement à son supérieur hiérarchique, direct ou indirect, de l’employeur ou au référent”.

La mission de “référent” Sapin 2

Le décret apporte un éclairage bienvenu sur le concept assez flou de référent dans la loi Sapin 2.

Tout d’abord, nous avons confirmation de la validation d’une diversité d’approches selon les organisations, à savoir que le référent  peut être soit un collaborateur de l’entreprise ou un agent de l’entité publique soit  “être extérieur à cet organisme”.

Dans ce dernier cas d’un référent qui n’est pas membre du personnel, l’entreprise choisit d’ex