Les obligations des entreprises en matière de protection des lanceurs d’alerte

huK35-OsdDGageZfXpw-0GAL7Os

La Loi du 9 décembre 2016 dite « Sapin 2 »[1] prévoit plusieurs dispositions en matière de transparence de la vie économique et visant à renforcer la législation en vigueur[2] en matière de lutte contre la corruption[3]. Elle instaure notamment un statut général protégeant les lanceurs d’alerte et le recueil de leurs signalements[4] et ne se limitant pas à la lutte contre la corruption.

  1. Quelles sont les signalements protégés par la Loi Sapin 2 ?

Le statut instauré par la Loi Sapin 2 protège le lanceur d’alerte qui signale :

  • Une violation de la loi, nationale ou internationale: corruption, trafic d’influence, fraude fiscale, violation du code du travail ou du code de l’environnement…
  • « Une menace ou un préjudice graves pour l’intérêt général » : le Lanceur d’alerte peut ainsi divulguer une information concernant des activités ne présentant pas de caractère illégal mais qu’il considère comme étant nocives pour l’intérêt public (montage fiscal, activités moralement questionnables…).

Un lanceur d’alerte peut divulguer un secret protégé par la loi (secret de fabrication, secret d’affaire…) sans être sanctionné pénalement, sous réserve[5] que cette divulgation soit nécessaire et proportionnée à la sauvegarde des intérêts en cause et qu’elle respecte les procédures de signalement prévues par la loi. Les informations couvertes par le secret de la défense nationale, le secret médical et le secret de la relation avocat – client ne peuvent en aucun cas être divulguées.

  1. Qui est protégé par ce statut juridique des lanceurs d’alerte ?

Le dispositif accorde une protection aux individus « désintéressé et de bonne foi » qui effectuent un signalement, qu’il s’agisse de salariés ou de collaborateurs externes ou occasionnels (y compris des fournisseurs et sous-traitants). Notons toutefois que les associations et les ONG et les syndicats ne sont pas protégés par ce statut, le législateur ayant voulu privilégier le signalement par les individus eux-mêmes des faits dont ils ont eu connaissance.

  1. Comment lancer une alerte ?

La loi établit un système de remontée des signalements sécurisé et par paliers[6] :

  • Niveau 1: le lanceur d’alerte devra tout d’abord prévenir son supérieur hiérarchique direct ou indirect ou un référent que devront obligatoirement désigner les entreprises de plus de 50 salariés. Celui-ci pourra être une personne physique ou morale, interne ou externe à la société.
  • Niveau 2: en l’absence de diligence, dans un délai raisonnable et prévisible qui devra être défini par l’entreprise, de la part du supérieur hiérarchique ou du référent désigné, le lanceur d’alerte pourra s’adresser à l’autorité judiciaire ou administrative compétente (procureur de la République, autorité administrative…) ou au représentant de l’ordre professionnel dont il dépend. La Loi Sapin prévoit des dispositions spécifiques concernant les entités et personnes soumises au contrôle de l’AMF et de l’ACPR[7]. En l’absence de réaction de son responsable hiérarchique ou du référent désigné, et lorsque le signalement révèle un manquement aux textes européens, au code monétaire et financier (ou au règlement général de l’AMF), dont l’ACPR et l’AMF sont chargées d’assurer le respect, le lanceur d’alerte peut effectuer son signalement directement auprès de l’une de ces deux autorités (Cf. infra).
  • Niveau 3: en dernier ressort, à défaut de traitement dans un délai de trois mois, le signalement pourra être rendu public (réseaux sociaux, presse…).

Seul un « danger grave et imminent ou […] un risque de dommages irréversibles » permet de divulguer directement les informations aux autorités ou au public.  Ces critères ne sont toutefois pas précisés par la Loi.

Le signalement peut également être directement adressé au Défenseur des droits afin d’être orienté vers le bon organisme de recueil d’alerte[8].

Dès réception du signalement, l’ACPR ou l’AMF sont tenues d’analyser les éléments fournis et de décider des suites qui doivent être réservées, dans la limite de leurs compétences. Si elles considèrent que le signalement ne relève pas de leur compétence, elles doivent l’indiquer à son auteur. Elles peuvent également adresser le signalement au Défenseur des droits qui l’orientera vers l’organisme de recueil de l’alerte approprié.

Ces deux autorités sont tenues d’assurer la stricte confidentialité de l’auteur du signalement, de la ou les personnes visées par celui-ci et des informations recueillies. Elles doivent pour cela mettre en place des canaux de communication internes indépendants, autonomes et sûrs, permettant de garantir cette confidentialité. De plus, les éléments permettant de les identifier ne peuvent être divulgués qu’à l’autorité judiciaire.

L’ACPR et l’AMF autorités devront également veiller à :

  • Désigner du personnels spécialisés, dédiés à la réception et au traitement des signalements reçus ;
  • Assurer un suivi adapté et attentif des signalements : un accusé de réception des signalements est adressé (sauf demande contraire du lanceur d’alertes) et un suivi régulier de l’alerte est organisé par les seuls personnels spécialisés.
  1. L’obligation pour les entreprises de plus de 50 salariés de mettre en œuvre une procédure de recueillement des signalements

Outre la désignation d’un référent déjà évoquée, les entreprises de plus de 50 salariés devront mettre en place une procédure de recueillement des signalements, à compter du 1er janvier 2018, afin de faciliter le signalement de tout manquement par le lanceur d’alerte[9].

Les informations devant figurer dans la procédure de recueillement des signalements sont définies par un décret du 19 avril 2017. En outre, dans la mesure où certaines données à caractère personnel, et notamment des données relatives à des infractions, peuvent être collectées via le dispositif de signalement, celui-ci est soumis à une demande d’autorisation unique de la CNIL[10] mise à jour en juin 2017[11] à laquelle toutes les entreprises doivent se conformer, qu’elles aient ou non désigné un Correspondant Informatique et Libertés.

En vertu de ces deux textes, la procédure de recueil des signalements devra mentionner :

  • La forme dans laquelle le lanceur d’alerte effectuera son signalement (formulaire électronique, courrier…) ;
  • Les faits, informations ou documents à fournir pour étayer son signalement : la CNIL détail les données à caractère personnel pouvant être traitées (informations concernant le lanceur d’alerte et la personne faisant l’objet d’une alerte, éléments recueillis fondant le signalement…) ;
  • Les éléments permettant un échange avec le destinataire du signalement (adresse mail à minima) ;
  • L’existence d’un traitement automatisé des signalements après autorisation préalable de la CNIL ;
  • Les éléments d’informations prévus par la CNIL : identification de l’entité responsable du dispositif, objectifs poursuivis et domaines concernés par les alertes, caractère facultatif du dispositif, absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif, éventuels transferts hors de l’UE et rappel des droits d’accès, de rectification et d’opposition au bénéfice des personnes identifiées dans le cadre de ce dispositif.

La procédure devra également préciser les dispositions prises pour informer « sans délai » l’auteur du signalement de la réception de son signalement, ainsi que du « délai raisonnable et prévisible » nécessaire à l’examen de sa recevabilité et des modalités suivant lesquelles il est informé des suites données à son signalement. Le décret d’application ne détaille toutefois pas les critères permettant de répondre à cette obligation d’information.

La procédure adoptée devra, en outre, faire état des mesures garantissant la stricte confidentialité de l’identité du lanceur d’alerte, des personnes visées par le signalement et des faits objets du signalement, y compris en cas de communication à des tiers lorsque celle-ci s’avère nécessaire. A ce titre, la CNIL prévoit des mesures visant à préserver la confidentialité des protagonistes :

  • L’émetteur de l’alerte professionnelle doit en principe s’identifier mais son identité est traitée de façon confidentielle par l’organisation chargée de la gestion des alertes. Par exception, une alerte anonyme devra être traitée lorsque la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés et que le traitement de cette alerte est entouré de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.
  • Les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.
  • Les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.

La CNIL encadre également la durée de conservation des données à caractère personnel traitées dans le cadre d’une procédure d’alerte :

  • Lorsqu’une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.
  • Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications. Le lanceur d’alerte et les personnes objets du signalement devront être informés de cette clôture.
  • Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure.
  • Ces informations doivent être conservées conformément aux dispositions de la Loi informatique et Libertés de 1978 en matière de sécurité (conservation dans le cadre d’un système d’information distinct à accès restreint….).

Les entreprises concernées devront assurer la diffusion par « tout moyen » de la procédure de recueil des signalements adoptée pour la rendre accessible aux personnels et collaborateurs extérieurs et occasionnels, y compris les sous-traitants et fournisseurs (notification, affichage, publication sur le site internet…).

Outre l’information visée ci-dessus, la personne qui fait l’objet d’une alerte devra être informée par le responsable du dispositif dès l’enregistrement, informatisé ou non, de données la concernant afin de lui permettre de  s’opposer au traitement de ces données.

  1. Quelles sanctions pour les entreprises en cas de manquement à ces dispositions ?

La loi n’a pas prévu de sanctions pour les entreprises de moins de 500 salariés[12] en cas de défaut de mise en œuvre de la procédure de recueil de signalements. Les entreprises ont néanmoins intérêt à mettre en place un tel système afin de canaliser plus efficacement les signalements et de limiter le risque que les lanceurs d’alertes ne divulguent directement les faits au public.

Par ailleurs, la Loi Sapin 2 prévoit des peines d’un an de prison et 15 000 euros d’amende[13] pour toute personne faisant obstacle, de quelque façon que ce soit, à la transmission d’un signalement. De plus, la divulgation de l’identité du lanceur d’alerte est punie d’une peine allant jusqu’à deux ans de prison et 30 000 euros d’amende[14]. La loi Sapin 2 indique en outre que toute discrimination dont pourrait souffrir un lanceur d’alerte[15] (concernant notamment la rémunération, la promotion ou la mutation professionnelle, le renouvellement du contrat…) engagera la responsabilité civile de l’entreprise à l’origine de cette discrimination.

Par ailleurs, les responsables de traitement engagent leur responsabilité civile et font l’objet de sanctions administratives et pénales en cas de méconnaissance de la règlementation applicable en matière de protection des données à caractère personnel :

  • La CNIL peut actuellement imposer des amendes administratives de 3 millions d’euros en cas de non-respect de la « Loi informatique et Libertés » de 1978. A compter du 25 mai 2018, ces amendes seront susceptibles de s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial consolidé (le montant le plus élevé étant retenu).
  • En matière pénal, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel ne respectant pas la législation applicable en matière de protection de ces données est puni de cinq ans d’emprisonnement et de 300 000 EUR d’amende (500.000 EUR pour les personnes morales).

 

Alexandre Mandil

[1] Loi n° 2016-1691 du 9 décembre 2016 parue au JO n° 0287 du 10 décembre 2016 https://www.legifrance.gouv.fr/eli/loi/2016/12/9/2016-1691/jo/texte

[2] Notamment la loi n° 93-122 du 29 janvier 1993 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000711604

[3] Titre Ier – articles 1 à 12

[4] Titre I – articles 6 et 7 de la loi Sapin 2 et http://larevue.squirepattonboggs.com/Loi-Sapin-II-protection-des-lanceurs-d-alerte_a3017.html

[5] Nouvel article 122-9 du code pénal

[6] Article 8 de la loi Sapin 2

[7] Nouvel article L. 634-1 du code monétaire et financier

[8] LOI organique n° 2016-1690 du 9 décembre 2016 relative à la compétence du Défenseur des droits pour l’orientation et la protection des lanceurs d’alerte

[9] Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat

[10] Article 25-I-3° de la loi « Informatique et Libertés »

[11] Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004)

[12] Ou appartenant à un groupe de sociétés de plus de 500 salariés et réalisant un chiffre d’affaires supérieur à 100 millions d’euros.

[13] Article 13 de la loi Sapin 2

[14] Article 9 de la loi Sapin 2

[15] Article 10 de la loi Sapin 2 et article L 1132-3-3 du code du travail

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *