Directive Européenne sur la protection des lanceurs d'alerte - Tout ce que vous devez savoir

Depuis que l'UE a introduit la fameuse loi RGPD en 2016, il n'y a pas eu de changement plus important pour les entreprises.

Comme vous le verrez dans notre infographie, et dans cet article, la Directive Européenne sur la protection des lanceurs d'alertes est :

• Large périmètre d'application - Elle englobe des millions d'entreprises opérant dans l'UE et comptant 50 "employés" ou plus.
• Obligatoire - Il sera obligatoire de s'y conformer, et la loi l'imposera. Le non-respect de cette directive pourrait, entre autres, entraîner des ramifications juridiques, des poursuites judiciaires et ternir gravement à la réputation de l'entreprise. En France, la loi a été promulguée le 21 mars 2022 et entrera en vigueur le 1er septembre 2022.
• Vertueuse - Une mise en œuvre réussie protége votre organisation contre les comportements contraires à l'éthique et contribue à instaurer une meilleure culture d'entreprise.

Quel sera l'impact sur votre entreprise ? Et comment devez-vous agir ?

Pour vous aider à comprendre les responsabilités de votre entreprise, nous avons décodé les 40 pages de la Directive Européenne sur la protection des lanceurs d'alerte en une infographie et une FAQ simples.

Cliquez ici pour télécharger la version haute résolution

Quelles sont les organisations qui doivent se mettre en conformité ?

La réponse la plus simple, telle qu'on peut la trouver dans le paragraphe 48 de la directive, est que toute entreprise d'un État membre de l'UE qui compte 50 employés ou plus devrait être soumise à l'obligation d'établir des canaux internes de déclaration, quelle que soit la nature de leurs activités, sur la base de leur obligation de collecter la TVA.

Cependant, il y a quelques points importants à prendre en compte :

1. Un "employé" n'est pas seulement une personne directement employée par votre entreprise.

   En effet, la directive stipule que "la protection devrait être accordée au personnel et aux collaborateurs extérieurs et occasionnels, y compris les employés à temps partiel, les employés sous contrat à durée déterminée, ainsi que les personnes ayant un contrat de travail ou une relation de travail avec une agence de travail intérimaire..." En d'autres termes, si une personne est rémunérée pour sa contribution à l'entreprise, indépendamment de son statut d'emploi formel, elle est susceptible d'être classée comme "employé".

2. Il s'agit du minimum requis, mais chaque État membre de l'UE peut aller plus loin.

   L'UE ayant publié cette directive et non un règlement, il appartient aux États membres de la transposer dans leur législation nationale. La Directive Européenne sur le signalement des dysfonctionnements prévoit expressément que les États membres de l'UE peuvent choisir d'aller plus loin, par exemple en exigeant des entreprises de moins de 50 employés qu'elles se conforment à la directive, si leurs activités présentent "des risques importants".

3. Certains États membres de l'UE accorderont un délai supplémentaire aux petites et moyennes entreprises pour se mettre en conformité.

   L'article 26 de la directive prévoit que chaque État membre devra la mettre en vigueur au plus tard le 17 décembre 2021. Toutefois, il précise également que les États membres ne sont pas tenus de la rendre obligatoire pour les entreprises du secteur privé comptant entre 50 et 249 employés avant le 17 décembre 2023. Cette marge de manœuvre étant facultative, vous devrez vérifier la législation nationale spécifique pour savoir si elle s'applique à vous.

   En outre, certains États membres disposent déjà de lois sur les alertes professionnelles qui couvrent des exigences similaires à celles énoncées dans la Directive Européenne sur la protection des lanceurs d'alerte. Par exemple, en France, la loi Soi Sapin II s'applique aux entreprises d'au moins 50 employés depuis janvier 2018 et offre une large protection aux lanceurs d'alerte.

Votre entreprise est-elle concernée par les règles de signalement d'un pays ?

Si votre entreprise est établie dans l'UE et compte plus de 50 employés, il est presque certain que vous serez concerné par ces nouvelles règles de protection des lanceurs d'alerte.

Même si ce n'est pas le cas, il se peut que vous soyez concerné, car la Directive Européenne comporte une ambiguïté quant à son application aux entreprises non européennes.

Par exemple, si vous êtes une entreprise non européenne, mais que vous avez quand même plus de 50 employés et une présence dans l'UE, ou que vous avez plus de 50 employés basés dans l'UE, il est probable que la directive s'applique quand même.

Quels signalements peuvent être soumis ?

La Directive Européenne sur la protection des lanceurs d'alerte permet à ceux-ci de signaler toute violation du droit communautaire. L'article 2 de la directive cite spécifiquement les catégories suivantes à titre d'exemple :

• Marchés publics
• Services, produits et marchés financiers
• Prévention du blanchiment de capitaux et du financement du terrorisme
• Sécurité et conformité des produits
• Sécurité des transports
• Protection de l'environnement
• Radioprotection et sûreté nucléaire
• Sécurité des aliments destinés à l’alimentation humaine et animale, de la santé et du bien-être des animaux
• Santé publique
• Protection des consommateurs
• Protection des données personnelles
• Sécurité des réseaux et des systèmes d'information
• Évasion et fraude fiscales des entreprises
• Aides d'État.

Il est très important de noter que la directive précise également qu'il s'agit du minimum requis et que les États membres peuvent étendre la protection dans le cadre de leur législation nationale, ce qui signifie que des préoccupations plus courantes des entreprises, telles que celles liées aux ressources humaines et au recrutement, pourraient également être incluses.

Qui sera protégé par la Directive Européenne sur la protection des lanceurs d'alerte ?

La Directive Européenne sur le signalement des dysfonctionnements ne protège pas uniquement les employés.

Au contraire, comme l'indique l'article 4, elle englobe un très large éventail de parties prenantes des secteurs public et privé, des candidats à un poste, aux parents ou collègues d'un "informateur".

La directive énumère spécifiquement les personnes suivantes comme étant protégées :

• Les employés (salariés ou non), y compris les fonctionnaires.
• Les travailleurs indépendants.
• Les actionnaires et les personnes appartenant à au siège d'administration, de gestion ou de surveillance d'une entreprise, y compris les membres non exécutifs, ainsi que les bénévoles et les stagiaires, (rémunérés ou non).
• Toute personne travaillant sous la supervision et la direction d'entrepreneurs, de sous-traitants et de fournisseurs.
• Les personnes qui ont obtenues des informations dans le cadre d'une relation de travail ayant pris fin depuis.
• Toute personne dont la relation de travail n'a pas encore commencé dans les cas où les informations sur les violations ont été acquises au cours du processus de recrutement ou d'autres négociations précontractuelles.
• Les facilitateurs de signalement.
• Les tiers qui sont liés aux personnes concernées et qui pourraient subir des représailles dans un contexte professionnel, tels que les collègues ou la famille des personnes concernées.
• Les entités juridiques que les personnes concernées possèdent, pour lesquelles elles travaillent ou qui sont autrement liées dans un contexte professionnel.

Quels types de protection les lanceurs d'alerte recevront-ils ?

La directive met l'accent sur la protection des lanceurs d'alerte contre toute forme de représailles sur le lieu de travail. L'article 19 du chapitre 6 de la directive contient une liste exhaustive de mesures de représailles spécifiques, telles que les rétrogradations, les atteintes à la réputation, les évaluations négatives des performances, etc.

Il est également précisé que l'identité des lanceurs d'alerte doit être protégée tant que les enquêtes sont en cours, c'est-à-dire qu'ils ont le droit à l'anonymat.

En termes de soutien, l'article 20 de la directive demande aux États membres (pas nécessairement aux entreprises) de fournir une aide aux lanceurs d'alerte sous la forme suivante :

• Un accès à l'information et des conseils complets et indépendants, facilement accessibles au public et gratuits, sur les procédures et les recours disponibles, sur la protection contre les représailles et sur les droits de la personne concernée.
• Une aide juridique dans les procédures pénales et civiles transfrontalières.
• La possibilité de fournir une aide financière et des mesures de soutien, y compris un soutien psychologique, aux personnes faisant l'objet d'un signalement dans le cadre d'une procédure judiciaire.

Quand ces protections s'appliqueront-elles ?

Conformément à l'article 6 de la Directive Européenne sur la protection des lanceurs d'alerte, ces protections s'appliquent à toute personne qui signale une violation potentielle, à condition que celle-ci

(a) ait eu des motifs raisonnables de croire que l'information qu'elle a signalée était vraie au moment des faits et qu'elle entrait dans le champ d'application de la directive.

Et, (b) qu'elle ait éte signalée en interne, en externe ou par le biais d'une divulgation publique (y compris à toute institution, toute entité, tout bureau ou toute agence concernés).

Les protections s'appliquent toujours aux lanceurs d'alerte dont l'identité a été divulguée et qui subissent des représailles.

Comment les organisations doivent-elles traiter les signalements ?

Selon l'article 9 de la Directive Européenne sur le signalement des dysfonctionnements, il existe quelques principes que les organisations doivent connaître lorsqu'elles traitent des rapports de signalement internes :

• Sécurité - Les canaux internes de réception des rapports doivent être conçus, établis et exploités de manière sécurisée.
• Confidentialité - La confidentialité de l'identité du lanceur d'alerte et de tout tiers mentionné dans le rapport doit être protégée, et l'accès doit être interdit aux membres du personnel non autorisés.
• Accusé de réception - Un accusé de réception du rapport doit être envoyé à la personne concernée dans les sept jours.
• Impartialité - Une personne ou un service impartial doit être désigné(e) comme compétent(e) pour assurer le suivi des rapports. Il/elle maintiendra la communication avec la personne concernée et, si nécessaire, lui demandera des informations complémentaires et lui fournira un retour d'information.
• Diligence - Les enquêtes et les suivis doivent être menés avec diligence, un soin et un effort raisonnables.
• Délai - Un délai raisonnable doit être prévu pour fournir un retour d'information, ne dépassant pas trois mois à compter de l'accusé de réception ou, si aucun accusé de réception n'a été envoyé au déclarant, trois mois à compter de l'expiration de la période de sept jours suivant le signalement.
• Clarté - Des informations claires et facilement accessibles concernant les procédures de signalement à l'extérieur doivent être fournies.
• Accessibilité - Le signalement doit pouvoir se faire par écrit ou oralement, ou les deux. Le signalement oral doit être possible par téléphone ou par d'autres systèmes de messagerie vocale et, à la demande de la personne concernée, par le biais d'une rencontre physique dans un délai raisonnable.
• Protection des données - Les rapports ne doivent pas être conservés plus longtemps qu'il n'est nécessaire et proportionné pour se conformer aux exigences imposées par la directive, ou qu'il n'est autrement requis par la loi.

Les lanceurs d'alerte doivent-ils utiliser les canaux internes de communication ?

Non. La Directive Européenne de protection des lanceurs d'alerte indique clairement que les lanceurs d'alerte peuvent signaler leurs préoccupations en interne, en externe ou en les rendant publiques.

La directive donne les définitions suivantes pour chacun de ces moyens :

• Le signalement interne désigne la communication orale ou écrite d'informations sur des manquements au sein d'une entité juridique du secteur privé ou public.
• Le signalement externe est la communication orale ou écrite d'informations sur les violations aux autorités compétentes.
• La divulgation publique signifie la mise à disposition d'informations sur les violations dans le domaine public.

Comment se conformer à la Directive Européenne sur la protection des lanceurs d'alerte ?

À première vue, les exigences de la nouvelle Directive Européenne sur le signalement de dysfonctionnements sont complexes et difficiles à appréhender, en particulier pour les entreprises qui ne disposent pas d'un service de mise en conformité dédié.

En outre, pour des millions d'entreprises comptant plus de 50 employés, la conformité sera obligatoire. Que cela vous plaise ou non, c'est une chose que vous ne pouvez ignorer. Les risques de poursuites judiciaires, de problèmes juridiques, d'actes de fraude non signalés et des problèmes de réputation pèseront lourdement sur les entreprises non conformes.

La question que la plupart des entreprises se posent aujourd'hui est donc la suivante :

Quel est le moyen le plus rapide, le plus facile, le plus performant et le plus rentable de se mettre en conformité ?

Nous pensons que la réponse est Vispato.

Vispato est un dispositif d'alerte professionnelle moderne, sécurisé et anonyme. Il fonctionne en installant un portail en ligne dédié permettant aux employés et aux parties prenantes de faire des signalements anonymes. Tout ce que vous avez à faire en tant qu'entreprise, c'est de partager l'URL de votre site dédié aux signalements (par exemple via l'intranet de l'entreprise, des courriels de communication internes, sur votre site Web, ...)

Comme vous l'avez vu dans notre infographie et dans cet article, la Directive Européenne sur la protection des lanceurs d'alerte comporte de nombreuses exigences auxquelles il faut se conformer. Voici quelques-unes des façons dont Vispato est conçu pour aider votre entreprise à y parvenir :

• Anonymat - Les lanceurs d'alerte sont totalement anonymes : aucun enregistrement n'est requis, le système est chiffré de bout en bout et des conseils sont fournis aux lanceurs d'alerte tout au long du processus.
• Accessible à toutes les parties prenantes - Le portail de signalement peut être facilement utilisé par toutes les parties prenantes de l'entreprise, y compris les fournisseurs, les actionnaires, les intérimaires et les personnes couvertes par la directive.
• Sûr - Il existe de multiples barrières de sécurité contre les menaces internes et externes. En effet, nous avons consacré une page entière de notre site web à ce sujet ici.
• Protection des données - Les données des lanceurs d'alerte sont protégées par des contrôles d'accès des utilisateurs qui limitent les personnes pouvant consulter les signalements.
• Disponibilité 24 heures sur 24 et 7 jours sur 7 - Les lanceurs d'alerte peuvent signaler leurs préoccupations et les actes répréhensibles à tout moment de la journée.
• Suivi anonyme - Votre entreprise peut contacter les lanceurs d'alerte pour obtenir des informations complémentaires, sans porter atteinte à leur anonymat.
• Flexibilité - Vous pouvez définir n'importe quelle catégorie de cas, en fonction de votre entreprise.
• Rentabilité - À seulement 99 €/mois - quel que soit le nombre d'utilisateurs, le nombre de signalements ou la taille de l'entreprise, Vispato est très rentable pour toute organisation.
• Installation dans la journée - Quelle que soit la taille de votre organisation, tout peut être installé et déployé dans toute l'entreprise en un temps record.

Si vous avez des questions ou si vous souhaitez obtenir plus d'informations, n'hésitez pas à nous contacter.

Veuillez noter que rien dans cet article ne doit être interprété comme un conseil juridique. L'accès complet à la Directive Européenne sur la protection des lanceurs d'alerte est disponible ici.