La directive de l’UE sur les lanceurs d’alerte, 1e partie: Tout ce que vous devez savoir

La directive de l’UE sur les lanceurs d’alerte représente un changement considérable des règles sur les lanceurs d’alertes en Europe, c’est pourquoi les entreprises et organisations, mais également les autorités locales, doivent impérativement agir dès maintenant. Les entreprises et organisations de plus de 250 « travailleurs » (voir la définition ci-dessous) doivent se mettre en conformité avec la législation d’ici le 17 décembre 2021, et celles qui comptent entre 50 et 249 travailleurs ont jusqu’au 17 décembre 2023.

La mise en place de la directive de l’UE sur la protection des lanceurs d’alerte est devenue nécessaire suite à la survenue d’un certain nombre de problèmes, notamment des affaires de lanceurs d’alerte très médiatisées dans l’UE comme LuxLeaks, Cambridge Analytica, les Panama Papers et Barclays. Dans l’affaire Barclays, la banque a été condamnée à une amende de 15 millions de dollars (12 millions de livres sterling) pour les tentatives de sa direction de démasquer un lanceur d’alerte ; le département des services financiers de l’État de New York a déclaré avoir identifié, grâce à son enquête, « des lacunes en matière de gouvernance, de contrôles et de culture d’entreprise en ce qui concerne le fonctionnement du système de lancement d’alerte de Barclays ».

En droit communautaire, une directive spécifie les résultats législatifs qui doivent être atteints par chaque État membre, mais ces derniers décident librement comment transposer la directive en lois nationales dans les deux années qui suivent. Par exemple, cette directive de l’UE sur les lanceurs d’alerte fournit des normes minimales sur la façon de répondre aux problèmes soulevés par les lanceurs d’alerte et de les traiter.

Elle octroie également aux États membres l’autorité nécessaire pour « encourager » les entreprises et organisations du secteur privé qui comptent moins de 50 travailleurs à mettre en place des canaux de signalement en interne, et les États membres qui adoptent cette approche peuvent se montrer moins prescriptifs dans leurs exigences à l’égard de ces petites entités, à condition que ces exigences garantissent un niveau approprié de confidentialité et de suivi. Reste maintenant à observer quels encouragements sont susceptibles de se concrétiser, et également quelles solutions de lancement d’alerte sont développées pour protéger les petites entités, comme les « services minimum d’assistance ».  

Cet article, le premier d’une série de deux, explique quelles sont les principales exigences de la directive sur la protection des lanceurs d’alerte, et revient sur d’autres problèmes cruciaux relatifs au lancement d’alerte que les entreprises européennes doivent désormais prendre en compte. Pour découvrir les mesures concrètes que vous devrez prendre pour vous mettre en conformité avec la directive, lisez la 2e partie de cette série.

Quelles sont les entreprises, organisations et autorités locales concernées par la directive de l’UE sur les lanceurs d’alerte?

Entreprises, organisations et autorités locales

Pour résumer, le champ d’application de la directive (dans toutes ses dimensions) est étendu. Par exemple, elle exige que toutes les entreprises et organisations de plus de 50 « travailleurs » (ainsi que les autorités locales qui fournissent des services à plus de 10 000 personnes) mettent en place des canaux et des processus de lancement d’alerte (« signalement ») en interne. Il s’agit clairement d’une évolution majeure si l’on considère que, à l’heure actuelle, la majorité des États membres de l’UE ne légifèrent pas sur les processus de lancement d’alerte, et même quand ils le font, cela se limite souvent à des secteurs spécifiques comme les services financiers et la santé publique.

« Travailleurs »

Au sein de l’UE, le concept de « travailleur » est large et inclut non seulement les employés classiques, mais également tout un éventail de relations de travail, comme les employés à temps partiel, les apprentis, les travailleurs sous contrat à durée fixe et les stagiaires. Le seuil de 50 travailleurs peut s’avérer problématique pour les entreprises et organisations dont l’effectif varie autour de ce niveau, mais l’option la plus sûre (et la meilleure du point de vue de la gouvernance) consisterait à simplement mettre en place les canaux de signalement en interne nécessaires.

Lieu

La directive ne spécifie pas si les travailleurs doivent être situés physiquement dans l’UE, même s’il est raisonnable de partir du principe que toute entité juridique établie dans l’UE qui emploie plus de 50 travailleurs devra se mettre en conformité avec la directive de l’UE sur les lanceurs d’alerte, peu importe où se trouvent les travailleurs, dans l’UE ou en dehors.

De la même façon, il n’est pas indiqué clairement si les entités non européennes qui emploient plus de 50 travailleurs situés dans l’UE devront se mettre en conformité avec la directive, mais étant donné que leurs employés situés dans l’UE sont soumis à toute une série de lois européennes sur le travail, il est extrêmement probable que ces entités seront soumises à la directive, peu importe où se trouvent leurs employés. Encore une fois, l’option la plus sûre (et la meilleure du point de vue de la gouvernance) consisterait à mettre en place les canaux de signalement en interne nécessaires, même s’il est probable que chacun des États membres apportera des précisions sur ces points au fur et à mesure que la directive sera transposée dans le droit local.

Quelle sera la portée du signalement autorisée par la directive de l’UE sur les lanceurs d’alerte?

Portée actuelle

À l’heure actuelle, la portée du lancement d’alerte est à la fois restreinte et variable en fonction des États membres de l’UE, plusieurs de ces États ayant suivi les conseils spécifiés dans l’Avis 1/2006 du Groupe de travail « Article 29 » sur la protection des données, lequel, en substance, limitait les systèmes d’alerte interne aux « domaines de la comptabilité, des contrôles comptables en interne, des questions relatives aux audits, de la lutte contre la corruption, de la criminalité bancaire et financière ». Toutefois, certains États membres n’ont pas adopté ces orientations, et d’autres ont opté pour un champ d’application plus large, souvent dans le but de refléter les développements législatifs internationaux, en particulier la loi américaine Sarbanes-Oxley. En outre, certains États membres limitent (au moins en théorie) les types de rôles qui peuvent faire l’objet d’un signalement.

Champ d’application de la directive

La directive est axée sur le droit communautaire et, par conséquent, elle permettra aux lanceurs d’alerte de signaler, au minimum, un éventail très large de violations du droit, notamment dans les domaines suivants:

  • Protection des consommateurs
  • Marchés publics
  • Services financiers, produits et marchés, et prévention du blanchiment d’argent et du financement du terrorisme
  • Santé publique
  • Sécurité des produits
  • Sécurité des transports
  • Protection de l’environnement
  • Protection contre les radiations et sécurité nucléaire
  • Sécurité alimentaire, santé et bien-être des animaux
  • Protection de la vie privée et des données personnelles, et sécurité des systèmes de réseau et d’information
  • Violations ayant un impact sur les intérêts financiers de l’UE
  • Violations relatives au marché interne de l’UE, notamment violation des règles relatives à la concurrence et aux aides d’État et de la législation relative à l’impôt sur les sociétés de l’UE

Variations potentielles du champ d’application en fonction des lois nationales

Dans le cadre de la directive de l’UE sur les lanceurs d’alerte, les États membres peuvent étendre la portée du signalement lorsqu’ils transposent cette directive en droit local, et certains peuvent adopter cette approche pour refléter leurs propres développements législatifs dans le domaine du lancement d’alerte.

Les Pays-Bas, par exemple, ont par le passé mis en place la loi « House for Whistleblowers », qui demande aux entreprises et organisations de 50 travailleurs ou plus d’autoriser le signalement des « soupçons d’actes répréhensibles » sans limiter ces actes répréhensibles aux violations du droit communautaire. Par conséquent, compte tenu du fait que plusieurs États membres adoptent leur propre approche, la variabilité du champ d’application actuel évoquée plus haut devrait perdurer. De toute évidence, la connaissance et la mise à jour régulière du champ d’application sont susceptibles de prendre une très grande importance pour les entreprises et les organisations, car tout manquement à cet égard pourrait avoir des conséquences significatives. Une approche unique ne sera tout simplement pas suffisante. Nous aborderons cette question plus en détail dans la 2e partie de cette série de deux articles.

Le processus de signalement est-il spécifié?

La directive exige des entreprises et des organisations qu’elles prennent en charge un certain nombre de canaux de signalement, parmi lesquels la voie postale, les boîtes de réclamation, Internet, le téléphone et/ou la messagerie vocale. À la demande du lanceur d’alerte, l’entreprise ou l’organisation doit également prendre en charge le signalement dans le cadre d’une réunion, laquelle doit être organisée dans un délai « raisonnable ».

La directive de l’UE sur les lanceurs d’alerte reconnaît qu’il est également possible de faire appel à des tiers pour recevoir les signalements au nom de l’entreprise ou de l’organisation, qu’il s’agisse de fournisseurs externes de services d’assistance téléphonique, d’un conseiller externe, d’auditeurs reconnus, de représentants syndicaux et/ou d’autres représentants des employés, y compris les membres des comités d’entreprise ; cela va dans le sens de certaines des approches déjà utilisées dans les États membres.

Toutefois, quel que soit le tiers choisi pour assumer ce rôle, il doit être en mesure de démontrer son indépendance en matière de confidentialité, ainsi que son respect de la législation en matière de protection des données. De toute évidence, cette dernière exigence peut s’avérer très difficile à respecter lorsque des organisations mondiales et des transferts de données internationaux sont impliqués.

Que stipule la directive de l’UE concernant le signalement anonyme?

À l’heure actuelle, les États membres de l’UE adoptent des approches très différentes en matière de signalement anonyme: celui-ci n’est pas autorisé au Portugal, tandis qu’en Allemagne, il est recommandé que tous les rapports soient anonymes, conformément à l’interprétation par ce pays du Règlement général sur la protection des données (RGPD). D’autres États membres, par exemple, autorisent le signalement anonyme mais n’obligent pas les entreprises et organisations à enquêter sur ces signalements, ou autorisent le signalement anonyme mais demandent que ce dispositif ne soit pas mis en avant.

La plupart de ces approches sont profondément liées à l’histoire de chaque pays, et la directive de l’UE sur les lanceurs d’alerte n’aura pas d’incidence sur elles ni sur le pouvoir de chaque État membre de décider de sa position sur le signalement anonyme. Étant donné qu’il s’agit d’une directive et non d’une réglementation (qui a une force juridique contraignante dans chaque État membre et entre en vigueur simultanément dans toute l’UE), les décisions concernant le signalement anonyme resteront du ressort de chaque État membre dans le cadre de sa mise en œuvre nationale.

Toutefois, quelle que soit l’approche adoptée par chaque État membre en matière de signalement anonyme, la directive précise qu’un lanceur d’alerte qui signale ou divulgue publiquement des informations sur des violations du droit communautaire de manière anonyme, et qui ensuite est identifié et fait l’objet de représailles, sera toujours protégé par la directive.

Qui est protégé par la directive? Le concept de « relation de travail »

La portée de protection de la directive a délibérément été considérablement élargie, de sorte que tous les lanceurs d’alerte qui ont obtenu des informations sur des violations du droit communautaire dans le cadre de « relations de travail » bénéficient d’une protection, quelle que soit la nature de leur activité, que celle-ci soit rémunérée ou non et qu’ils soient citoyens de l’UE ou pas. Sont par conséquents protégés par la directive:

  • Les personnes ayant le statut de travailleurs, comme les employés et intérimaires en poste (à temps partiel ou temps plein) et ceux qui ont quitté l’entreprise
  • Les personnes qui n’ont pas le statut de travailleur mais qui peuvent jouer un rôle essentiel dans la divulgation des violations du droit communautaire et qui, pour cette raison, sont susceptibles de se trouver en situation de risque (« vulnérabilité »), comme les entrepreneurs, les sous-traitants, les travailleurs indépendants et en free-lance, les fournisseurs, les parties prenantes et les membres des organismes professionnels
  • Les personnes en recherche d’emploi, par exemple les personnes cherchant à fournir des services à une entreprise ou organisation, qui obtiennent des informations dans le cadre de ce processus et font ensuite l’objet de représailles, comme une mise sur liste noire, une campagne de diffamation, des références négatives ou un boycott
  • Les apprentis et les stagiaires (qu’ils soient rémunérés ou non)
  • Les bénévoles

Comme on peut le constater, cette portée de protection est très étendue, de telle sorte que la directive est censée protéger toute personne susceptible de devenir un lanceur d’alerte du fait de ses « relations de travail ».

Mais surtout, pour pouvoir bénéficier d’une protection dans le cadre de la directive de l’UE sur les lanceurs d’alerte, il suffit à la personne concernée d’avoir des motifs raisonnables de croire que ce qu’elle signale est vrai, les motivations de ce signalement (qu’elles soient bonnes ou mauvaises) étant considérées comme non pertinentes. Cela représente une différence notable par rapport à l’exigence de « bonne foi » normale.

La directive de l’UE sur les lanceurs d’alerte aborde-t-elle la question des représailles? Est-ce une particularité?

Compte tenu de l’objectif et de la nature de la directive, un accent important est mis sur la question des représailles. La directive exige que les États membres interdisent toute forme de représailles, et met également en place tout un éventail de mesures de protection. Bien que ces mesures soient essentiellement destinées aux États membres, elles établissent clairement une référence pour les processus des entreprises et des organisations, et on peut raisonnablement s’attendre à ce que, dans le cadre des grandes affaires de lanceurs d’alertes, il sera procédé à un examen des mesures de protection, stratégies et autres dispositifs similaires en place, ainsi que de la façon dont ils ont été déployés.

La directive exige que les États membres mettent en place des mesures de protection, y compris des services de conseil indépendants à destination des lanceurs d’alerte, des mesures anti-représailles, une protection contre la responsabilité, une protection contre les poursuites judiciaires et d’autres services d’assistance, notamment financière et psychologique.

Les mesures anti-représailles ont pour but de mettre un terme aux représailles en cours sur le lieu de travail, ainsi que d’empêcher le licenciement (congédiement/renvoi) en attendant l’issue des procédures judiciaires. Dans le cadre de la directive, les lanceurs d’alerte ne seront pas considérés comme ayant enfreint des restrictions sur la divulgation des informations imposées par la loi ou par contrat, et ils n’encourront par de responsabilité pour avoir divulgué des informations ; les lanceurs d’alerte pourront également intégrer les exigences de la directive dans leur défense judiciaire.

Fait presque unique, la directive de l’UE sur les lanceurs d’alerte intègre un principe de « charge de la preuve inversée » concernant les représailles, de telle sorte que ce n’est plus au lanceur d’alerte de prouver qu’il a fait l’objet de représailles, mais à l’entreprise ou à l’organisation de prouver qu’elle n’a pas exercé de représailles. Étant donné que dans la plupart des entreprises et des organisations, les mesures de prévention contre les représailles se limitent à une politique ou, éventuellement, à un suivi périodique après le signalement, la charge de la preuve inversée nécessitera probablement une approche anti-représailles bien plus proactive et axée sur la communication, y compris l’analyse des signalements des lanceurs d’alerte et de leurs conséquences pour les personnes qui en sont à l’origine (par exemple les effets sur certains aspects comme la paie, les primes, le bilan annuel, les heures supplémentaires et la répartition des équipes).

Comment les lanceurs d’alerte peuvent-ils s’y prendre pour faire leur signalement? Existe-t-il une hiérarchie du signalement?

La directive insiste sur le fait que les lanceurs d’alerte doivent être encouragés à utiliser en premier lieu les dispositifs de signalement internes de leur entreprise ou organisation, étant donné que ces canaux sont à leur disposition et que l’on peut raisonnablement s’attendre à ce qu’ils fonctionnent. Ce « premier signalement » est clairement une opportunité clé, mais elle représente également un défi qui sera examiné plus en détail dans la 2e partie de cette série d’articles.

Dans le cadre de la directive de l’UE sur les lanceurs d’alerte, il sera demandé aux États membres de mettre en place leurs propres canaux de signalement externes, ainsi que d’assurer le suivi des signalements et de fournir des retours d’informations aux lanceurs d’alerte. Concernant cette dernière exigence, les dates d’échéance peuvent dépendre de la complexité du signalement. Les lanceurs d’alerte sont autorisés à s’adresser directement aux autorités lorsque leur entreprise ou organisation n’a pas mis en place de canaux de signalement internes, ou que ces derniers ont été mis en place mais n’ont pas fonctionné, n’ont pas fonctionné en temps voulu ou n’ont pas donné lieu à des actions appropriées.

Les lanceurs d’alerte peuvent également s’adresser (directement) aux autorités dans de nombreuses autres circonstances, notamment s’ils estiment qu’ils seront victimes de représailles ou dans les cas où les autorités sont mieux placées pour prendre des mesures efficaces. Dans ces derniers cas de figure, il peut s’agir par exemple de situations où le lanceur d’alerte n’a nulle part où aller, c’est-à-dire que la personne la plus haut placée, le conseil d’administration, le propriétaire, etc. est impliqué(e) dans la violation de la loi. Il peut également s’agir de situations dans lesquelles il existe un risque de dissimulation de la violation ou de dissimulation et destruction des preuves qui lui sont associées, dans lesquelles une enquête risque d’être compromise (par exemple dans les affaires antitrust ou qui implique la législation sur la concurrence), ou encore dans lesquelles une action urgente est requise, généralement dans les affaires liées à la santé, à la sécurité et à l’environnement.

Enfin, un lanceur d’alerte sera toujours protégé par la directive en cas de divulgation publique (à la presse et autres organismes similaires). Une divulgation publique est appropriée si, malgré un signalement interne et/ou externe, la violation n’est toujours pas traitée ou résolue, ou s’il existe un risque de représailles, ou encore en cas de collusion impliquant l’autorité externe elle-même.

Résumé

Il ne fait aucun doute que la directive de l’UE sur les lanceurs d’alerte est un texte législatif complet, et la version anglais de ce texte de 131 pages est disponible en cliquant sur ce lien. En outre, cette directive offre à chaque État membre la possibilité d’étendre champ d’application du signalement lorsqu’ils transposent cette directive en droit local, et certains États peuvent adopter cette approche pour refléter leurs propres développements législatifs dans le domaine du lancement d’alerte. Elle implique également un changement majeur pour les entreprises et organisations (quelle que soit leur taille), qui devront désormais traiter la question du lancement d’alerte, des lignes d’assistance téléphonique et des lanceurs d’alerte d’une façon inédite, en tout cas certainement au sein de l’UE.

La directive fournit des normes minimales sur la façon dont les entreprises et organisations doivent traiter les signalements des lanceurs d’alerte et y répondre, et compte tenu des délais qui lui sont associés, des mesures pour répondre à ses exigences doivent être prises dès maintenant. Cela implique d’examiner les performances des lignes d’assistance téléphoniques dédiées aux lanceurs d’alerte qui existent déjà et, surtout, de modifier les processus internes pour s’aligner sur la directive.

Dans la 2e partie de cette série, j’expliquerai quelles sont les mesures pratiques que les entreprises et organisations doivent prendre aujourd’hui en conséquence de la directive de l’UE sur les lanceurs d’alerte. J’ai également élaboré un guide des questions fréquemment posées à propos de la directive de l’UE sur les lanceurs d’alerte, que vous pouvez télécharger ci-dessous.

Lire la 2e partie

Télécharger le guide FAQ consacré à la directive de l’UE sur les lanceurs d’alerte