La loi de 2022 apporte des précisions quant aux modalités pratiques de mise en place d’une procédure d’alerte. Focus sur les nouveautés avec Caroline Belotti et Morgane Losson, avocates en droit des données personnelles. |
Les concepts de procédure d’alerte et de lanceur d’alerte ont fait leur apparition en droit français à l’occasion de l’entrée en vigueur de la loi n°2016-1691 du 9 décembre 2016 « relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique » dite Sapin II.
Fort de cette innovation française, l’Union Européenne a ensuite pris le sujet à bras le corps et enjoint ses pays membres à adopter des mesures encore plus protectrices. Le régime de protection des lanceurs d’alerte a ainsi été précisé en droit français par loi du 21 mars 2022, entrée en vigueur le 1er septembre 2022.
Le décret d’application relatif à la loi de 2022 était particulièrement attendu pour apporter les précisions nécessaires quant aux modalités pratiques de mise en place d’une procédure d’alerte au sein des entreprises concernées. Il a été publié le 3 octobre 2022.
Procédure d’alerte : quelles sont les entreprises concernées ?
Depuis le 1er septembre 2022, les entreprises d'au moins 50 salariés, ainsi que les administrations publiques de 50 agents ou plus, les communes de 10 000 habitants ou plus sont désormais tenues d'établir une procédure interne de recueil et de traitement des signalements. Dans sa version antérieure de 2016, la loi Sapin II ne visait que des « procédures appropriées de recueil des signalements »
Le décret de 2022 précise que le seuil de 50 salariés s’apprécie « à la clôture de deux exercices consécutifs ». En pratique, cela signifie qu’une entreprise, pour être soumise à la législation relative aux lanceurs d’alerte, doit avoir durant deux années de suite un effectif supérieur ou égal à 50 salariés.
Qu’en est-il pour les entreprises de 1 à 49 salariés ? La loi de 2022 n’impose pas aux entreprises de moins de 50 salariés de mettre en place une procédure interne de recueil et de traitement des signalements. Le décret de 2022 n’impose pas ces dernières davantage d’obligations juridiques. Cela étant, les entreprises de moins de 50 salariés qui n’ont pas de procédure interne de recueil et de traitement des signalements doivent toujours permettre à leurs salariés de porter leur signalement à leur supérieur hiérarchique, direct ou indirect, à l’employeur ou à un référent désigné par celui-ci. |
Le décret de 2022 précise que les entreprises demeurent libres de choisir l’instrument juridique qui leur permet de communiquer sur l’existence d’une procédure de recueil des signalements en leur sein. En pratique, elle peut prendre la forme d’une annexe au règlement intérieur de l’entreprise. La notice du décret précise qu’une note de service peut également être considérée comme un instrument juridique approprié dans certaines entreprises.
Quel que soit le format choisi, cette communication doit désormais faire l’objet d’une consultation préalable des instances de dialogue social.
Procédure d’alerte : Précision sur les modalités de réception des signalements
La loi de 2022 change donc sensiblement la donne en particulier en matière de signalements externes. Les salariés – même des entreprises de moins de 50 salariés – pourront adresser directement leur signalement à des autorités externes.
A noter que dans le support de communication relatif à l’existence du dispositif de recueil des signalements, doit figurer de façon claire et facilement accessible la possibilité pour les personnes concernées d’émettre un signalement directement auprès desdites autorités publiques.
CETTE POSSIBILITÉ LAISSÉE AUX SALARIÉS DE PORTER DIRECTEMENT UN SIGNALEMENT AUPRÈS D’UNE AUTORITÉ PUBLIQUE EXTERNE DEVRAIT APPELER LES EMPLOYEURS – QUEL QUE SOIT LA TAILLE DE LEUR ENTREPRISE – A SE METTRE EN ORDRE DE MARCHE ET ENTREPRENDRE DÈS À PRÉSENT LES DÉMARCHES DE MISE EN CONFORMITÉ DE LEUR ORGANISATION.
Consécration de la possibilité d’émettre des signalements oraux Le décret innove en consacrant la possibilité pour les entreprises de mettre en place un canal de réception orale des signalements. Le législateur français répond ici à la volonté du législateur européen qui souhaitait que les entreprises aient le libre choix entre des modalités écrites et des modalités orales de recueil des signalements. La procédure peut prévoir que le signalement oral soit effectué par téléphone ou par tout système de messagerie vocal. L’auteur a également la possibilité de demander une visioconférence ou une rencontre physique, organisée au plus tard 20 jours ouvrés après réception de sa demande. L’enregistrement d’un signalement oral doit avoir été expressément consenti par son auteur. A défaut de consentement, le signalement oral devra être consigné sous forme de procès-verbal précis. Quel que soit la modalité de consignation du signalement oral (par procès-verbal ou enregistrement sur un support durable et récupérable), l’auteur doit pouvoir le vérifier, le rectifier si nécessaire et l’approuver par l’apposition de sa signature. Les enregistrements ou des procès-verbaux ne peuvent être conservés que le temps nécessaire et proportionné au traitement du signalement et à la protection de l’auteur et des personnes mentionnées dans son signalement. Le délai de conservation n’est pas davantage précisé. A voir si la CNIL se positionnera davantage sur ce sujet. |
Procédure d’alerte : nouvelles modalités de traitement des signalements
Le décret de 2022 nous apporte quelques précisions en matière d’information de l’auteur du signalement.
> Accusé de réception du signalement
Le décret de 2017 imposait aux entreprises la transmission, sans délai, de l’information de réception du signalement à son auteur. Le nouveau décret est plus souple. Les entreprises ont désormais 7 jours ouvrés pour informer par écrit l’auteur du signalement de la réception de son signalement (conformément au délai souhaité par le législateur européen au sein de la Directive de 2019).
> Examen du signalement
Le décret de 2017 imposait aux entreprises de mener un examen de recevabilité du signalement dans un délai raisonnable et prévisible.
Le décret de 2022 est plus précis :
> D’une part, il ne s’agit plus, pour les entreprises, de mener uniquement un examen de la recevabilité du signalement (le terme de « recevabilité » n’apparaissant plus dans la nouvelle mouture du décret), mais de communiquer auprès de l’auteur du signalement sur les mesures envisagées ou prises pour évaluer l’exactitude de ses allégations et pour remédier, le cas échéant, à l’objet du signalement. En pratique, les personnes en charge du traitement du signalement devront communiquer à son auteur sur l'état d'avancement du traitement du dossier.
> D’autre part, cet examen doit avoir lieu dans un délai de 3 mois à compter de l’accusé de réception du signalement. A défaut d’accusé de réception du signalement, ce délai de 3 mois court après expiration d’une période de 7 jours ouvrés après l’émission du signalement.
> Clôture du signalement
L’auteur du signalement doit être informé par écrit de la clôture du dossier.
Si, dans le décret de 2017, il était précisé que les données à caractère personnel du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et des personnes visées, devaient être détruites dans un délai de 2 mois à compter de la fin de l’enquête, le décret de 2022 reste quant à lui muet sur le délai et les modalités de destruction des informations contenues dans le signalement.
Dans son projet de guide, l’AFA mentionne le délai indiqué dans le décret de 2017. A voir, si dans le sillon de l’adoption du décret de 2022, l’AFA dans son guide définitif et/ou la CNIL dans le cadre d’une mise à jour de son référentiel seront amenées à préciser ce dernier.
Renforcement des garanties assurées par la procédure de recueil et de traitement des signalements Que le dispositif soit interne ou externe, celui-ci doit offrir un certain nombre de garanties. Dans la version initiale de la loi de 2016, le dispositif devait garantir la confidentialité des informations contenues dans le signalement, notamment en ce qui concerne l’identité de son auteur et les personnes visées. Le décret de 2022 innove sensiblement en disposant qu’il ne doit plus seulement garantir la confidentialité des informations recueillies dans le signalement, mais également leur intégrité, c’est-à-dire, que la substance des signalements ne doit pas être altérée. Enfin, si des tiers (témoins potentiels et/ou facilitateurs) sont mentionnés dans le signalement, le présent décret les protège désormais de toute divulgation de leur identité. Le décret de 2022 impose que les personnes en charge du traitement des signalements disposent, en plus de la compétence et des moyens suffisants à l’exercice de leur mission (consacrés par le décret de 2017), de garanties assurant l’exercice impartial de leurs missions. En pratique, cela signifie qu’ils doivent être assez indépendants pour n’être soumis à aucune pression hiérarchique en matière de traitement des signalements. |
Procédure d’alerte : les sanctions de non mise en œuvre
Le décret de 2022 comme la loi de 2022 restent muets sur les sanctions applicables si une entreprise de plus de 50 salariés ne met pas en place une procédure de recueil et de traitement des alertes.
Pour autant, l’article 13 de la loi Sapin II dispose que toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement, encourt une peine d’un an d’emprisonnement et de 15 000 euros d’amende.
Or, l’on pourrait penser que sans mise en œuvre d’une procédure interne de recueil et de traitement des alertes, la transmission d’un éventuel signalement serait complexifiée. Le ou les dirigeants de l’entreprise concernée pourraient alors être sanctionnés sur la base de l’article 13.
Par ailleurs, la possibilité pour les auteurs de signalement d’émettre leur signalement directement auprès d’une autorité publique comme la CNIL, la DGCCRF, l’AFA elle-même etc. n’est pas sans conséquences. En effet, ces autorités devront rendre compte dans un délai compris entre 3 et 6 mois selon les circonstances liées à l’affaire et du résultat des investigations. Dès lors, on peut s’attendre à davantage de contrôles à l’issue d’une alerte ce qui donnerait lieu à sanctions administratives potentiellement importantes.
Point d’attention : La mise en place d’un dispositif d’alertes professionnelles doit systématiquement donner lieu à la réalisation préalable d’une analyse d’impact relative à la protection des données (AIPD ou PIA – Privacy impact assessment). En effet, ces dispositifs figurent dans la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requis. Cette étape préalable à la mise en place d’un dispositif d’alerte ne doit pas être minimisée par les entreprises concernées. |
Cet article a été écrit en collaboration avec Romane Defalvard