Transposition en droit français de la Directive européenne sur la protection des lanceurs d’alerte

Le 22 mars 2022, la France a publié au Journal Officiel sa loi visant à améliorer la protection des lanceurs d’alerte¹(ci-après, la « Loi ») transposant la directive 2019/1937 de l’Union Européenne sur la protection des personnes qui signalent des violations du droit de l’Union du 23 octobre 2019²(ci-après, la « Directive »). Ce faisant, la France rejoint la liste (de taille encore réduite) des Etats membres ayant finalisé leur processus de transposition et fait évoluer son régime de protection des lanceurs d’alerte qu’elle avait généralisé pour la première fois en 2016 (aux termes de la loi n° 2016-1691 dite « Loi Sapin II »³). Cette évolution emporte certaines implications pratiques que les entreprises doivent intégrer dans leur processus de gestion des alertes, notamment s’agissant du champ des personnes susceptibles de bénéficier de la protection des lanceurs d’alerte (I), de la teneur de la protection dont ils bénéficient (II), et de la refonte des processus de remontée et de traitement au sein des entreprises (III).

I. Le nouveau périmètre de la définition des lanceurs d’alerte 

D’un point de vue personnel, la définition du lanceur d’alerte exige toujours que celui-ci soit une personne physique agissant de bonne foi. Trois évolutions sont toutefois à noter. 

• Désintéressement c. absence de contrepartie financière directe. La première évolution tient à l’abandon du critère de désintéressement (dont l’imprécision avait suscité questionnements et critiques) au profit de celui d’absence de contrepartie financière. Ce nouveau critère, qui sera sans nul doute soumis à l’appréciation des juges, vise à prévenir l’émergence d’un système de rémunération des lanceurs d’alerte (comparable à ce qui existe aux Etats-Unis par exemple), tout en admettant que ceux-ci puissent recevoir des aides, notamment au titre de l’organisation de leur défense éventuelle. 
• Connaissance personnelle des faits. La deuxième évolution tient au déplacement du curseur s’agissant de l’exigence d’une connaissance personnelle des faits. Celle-ci n’est plus exigée de manière générale mais uniquement « lorsque les informations n’ont pas été obtenues dans le cadre des activités professionnelles ». 
• Fin de l’isolement du lanceur d’alerte. En ligne avec le cercle de protection tracé par la Directive autour du lanceur d’alerte, la Loi élargit la protection du lanceur d’alerte aux différentes catégories de personnes susceptibles de l’entourer, à savoir : 
  • Les « facilitateurs », c’est-à-dire les personnes qui aident les auteurs de signalement, étant précisé que le législateur français a étendu la définition de la Directive pour y inclure, outre les personnes physiques, les personnes « morales de droit privé à but non lucratif ». En revanche, la question pourrait se poser de savoir si, en prévoyant que l’assistance du facilitateur visait à aider le lanceur d’alerte à « effectuer un signalement ou une divulgation », la Loi peut être considérée comme adoptant une approche plus restrictive que la Directive, qui prévoit pour sa part que l’assistance en cause se situe « au cours du processus de signalement » ; 
  • Son entourage (et plus précisément les « personnes physiques en lien avec un lanceur d’alerte », courant le risque de faire l’objet de représailles dans le cadre de leurs activités professionnelles) ; et 
  • Les entités contrôlées par un lanceur d’alerte au sens de l’article L. 233-3 du Code de commerce (notion plus extensive que celle d’ « appartenance » prévue à la Directive), pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.

D’un point de vue matériel, les éléments ayant vocation à être dénoncés par un lanceur d’alerte ont été révisés par rapport à ce que la rédaction initiale de la Loi Sapin II prévoyait, afin de : 

• Abaisser le niveau de gravité (i) de la menace ou du préjudice de l’intérêt général (qui n’a plus à être « grave ») et (ii) de la violation d’un texte de droit positif (qui n’a plus à être « grave et manifeste ») ; 
• Couvrir les tentatives de dissimulation des violations éventuelles des dispositions des textes de droit positif ; 
• Elargir le champ des exclusions de protection, jusque lors limité à ce qui relevait du secret de la défense nationale, du secret médical et du secret professionnel de l’avocat, pour inclure également le secret des délibérations judiciaires et le secret de l’enquête ou de l’instruction judiciaires. En revanche, le secret des affaires des entreprises reste inopposable au signalement effectué par un lanceur d’alerte ; et
• Introduire une référence à la violation éventuelle du droit de l’Union, dont il faut rappeler que certains éléments sont d’application directe pour les entreprises et les salariés. 

II. Renforcement de la protection des lanceurs d’alerte

La Loi renforce le dispositif de protection du lanceur d’alerte en :

• Restreignant les exceptions à la garantie de la confidentialité. Si la communication de l’identité du lanceur d’alerte est toujours soumise à l’obtention du consentement de celui-ci, l’exception qui prévoyait qu’un tel consentement n’était pas requis en cas de communication à l’autorité judiciaire est désormais réservée à l’hypothèse où « les personnes chargées du recueil ou du traitement des signalements sont tenues de dénoncer les faits à celle-ci » et s’accompagne dorénavant d’une information au lanceur d’alerte (sauf à ce que cela risque de compromettre la procédure judiciaire). Là encore, le législateur français a oscillé entre interprétation restrictive (en visant seulement l’autorité judiciaire là où la Directive fait référence aux autorités en général) et extensive (en visant un principe d’information du lanceur d’alerte, sans prévoir, comme le fait la Directive, que celle-ci doit se faire « avant » divulgation de son identité) ;
  • Il convient ici de relever que la garantie de confidentialité couvre désormais, outre le lanceur d’alerte et la/les personne(s) visées, « tout tiers mentionné dans le signalement » ;
• Complétant les mesures de représailles ne pouvant être mises en œuvre à l’encontre d’un lanceur d’alerte (permettant notamment de couvrir les nouvelles catégories de lanceurs d’alerte), en reprenant la liste prévue à la Directive ;
• Créant une base légale lui permettant de fonder une demande aux fins de versement d’une provision pour frais de l’instance, dans le cadre d’une procédure à laquelle il serait partie en raison de son alerte ;
• Aggravant les sanctions encourues pour toute personne cherchant à le mettre en échec. Ainsi, outre les sanctions prévues à l’encontre des personnes cherchant à faire obstacle à la transmission d’un signalement et des personnes mises en cause pour diffamation à l’encontre du lanceur d’alerte, la Loi prévoit désormais également des sanctions à l’encontre de ceux qui seraient à l’origine d’actions dilatoires ou abusives. Celles-ci encourent une amende de 60.000 € (sans préjudice de l’octroi de dommages et intérêts), ainsi qu’une peine complémentaire d’affichage ou de diffusion de la décision prononcée ; 
• Consacrant son irresponsabilité civile pour les dommages causés du fait de leur signalement ou divulgation dès lors qu’elles avaient des motifs raisonnables de croire que cela « était nécessaire à la sauvegarde des intérêts en cause » ; et
• Elargissant les conditions de son irresponsabilité pénale. L’article 122-9 du Code pénal créé par la Loi Sapin II est complété pour couvrir (i) d’un point de vue matériel, outre la divulgation d’une information protégée, les hypothèses de soustraction, détournement et recel des supports en cause (sous réserve qu’il en ait eu connaissance de manière licite), et (ii) d’un point de vue personnel, les complices de ces mêmes infractions. 

III. Ouverture et articulation des canaux de remontée et de traitement au sein des entreprises 

En ligne avec ce qui avait été fixé par la Loi Sapin II, le seuil de 50 salariés constitue toujours le critère permettant de déterminer si une entreprise doit ou non disposer de procédures de recueil (et désormais de traitement) des signalements. Les modifications suivantes sont toutefois à souligner.

En premier lieu, l’ouverture de ces canaux n’est plus limitée au personnel et aux collaborateurs extérieurs et occasionnels mais couvre désormais en outre : (i) les anciens salariés ; (ii) les candidats à l’emploi ; (iii) les actionnaires, associés et titulaires de droit de vote ; (iv) les membres de l’organe d’administration, de direction ou de surveillance ; et (v) les co-contractants et leurs sous-traitants et leur personnel respectif. Cela n’emportera toutefois pas grand changement au sein des entreprises, dont la pratique était déjà de traiter toute alerte sérieuse, indépendamment du statut de son auteur et/ou de la question de savoir s’il entrait dans le champ du dispositif d’alerte. Et pour cause, si la Loi Sapin II imposait aux entreprises de plus de 50 salariés de se doter d’un dispositif d’alertes ouvert aux membres de leur personnel et à leurs collaborateurs extérieurs et occasionnels, rien ne les empêchait en soit de traiter des alertes émanant d’autres catégories de personnes. D’autant que le fondement reposant sur la base légale en matière de traitement des données personnelles peut aisément être substitué par celui reposant sur l’intérêt légitime. D’autant également qu’il est plus commode pour les entreprises de fusionner les dispositifs d’alerte qu’elles sont tenues de mettre en place en vertu des différents textes applicables (comme par exemple la loi n° 2017-399 relative au devoir de vigilance⁴imposant un mécanisme d’alerte et de recueil des signalements ouvert à toutes parties prenantes). Les évolutions à anticiper aux termes de la Loi pourraient se situer au niveau : 

• Des individus concernés qui, se sentant désormais protégés, nourriront certainement un phénomène de libération de la parole et un accroissement subséquent des alertes ; et  
• Des autorités qui pourraient, de manière plus formelle et/ou contraignante, exiger des entreprises qu’elles communiquent dument à l’externe sur l’accessibilité à leur dispositif d’alerte (par exemple, par le biais de clauses dédiées dans les documents contractuels, ou publication sur le site internet de l’entreprise). 
  • Indépendamment de la question de l’articulation des canaux, l’attention des autorités pourra également désormais se faire plus insistante sur la formalisation des procédures de traitement des alertes (outre les procédures de recueil) dès lors qu’elles sont désormais formellement requises (et qu’elles ne relèvent donc plus seulement des bonnes pratiques).  

En deuxième lieu, l’articulation des canaux de remontée n’impose plus au lanceur d’alerte d’agir en trois temps (i) d’abord au niveau de l’entreprise, puis (ii) au niveau des autorités (si l’entreprise n’a pas vérifié la recevabilité de son signalement dans un délai raisonnable) et enfin, en dernier recours (iii) au niveau du public.  

Désormais, les premier (signalement interne auprès de l’entreprise) et deuxième (signalement auprès d’une autorité) niveaux sont mis au même plan, de sorte qu’un lanceur d’alerte peut indifféremment saisir en premier lieu l’entreprise concernée ou une autorité. Si le fait de permettre au lanceur d’alerte de choisir entre ces deux options ne supprime pas l’obligation pour l’entreprise de mettre en place une procédure de recueil appropriée, la Loi ne prévoit pas plus de sanction que la Loi Sapin II ne le faisait à l’encontre des entreprises qui n’auraient pas mis en place ce dispositif. Cela étant, la sanction en la matière doit être considérée comme la perte de chance pour l’entreprise elle-même de traiter les signalements la concernant en interne. Ces entreprises auront donc intérêt à mettre en place un système de recueil et de traitement des alertes le plus avenant et performant possible, pour inciter les lanceurs d’alertes à privilégier les signalements dits « internes ». Cet objectif pourrait être atteint, entre autres, par le biais de communications régulières et efficaces (i) en prévention, à destination de tout utilisateur potentiel du dispositif d’alerte interne (y compris auprès des parties prenantes externes) et (ii) au cours du traitement, à destination du lanceur d’alerte pour le tenir informé des avancées et lui montrer du sérieux consacré à son signalement (outre l’information qui lui est désormais due à l’issue du traitement de l’alerte). 

Les limites au processus d’escalade du signalement ne concernent désormais plus que l’hypothèse d’une révélation au public. Celle-ci ne peut s’envisager que dans les trois cas de figure suivants :   

• Faute pour l’autorité saisie d’avoir agi dans un délai à déterminer par décret ;  
• En cas de danger « grave et imminent » (étant précisé que le danger peut n’être que « imminent ou manifeste » lorsque (i) le péril en cause relève de l’intérêt général et (ii) les informations concernées ont été obtenues par le lanceur d’alerte dans le cadre de ses activités professionnelles) ; et 
• Lorsque la saisine d’une autorité ferait encourir à son auteur un risque de représailles ou ne permettrait pas de remédier efficacement à l’objet de la divulgation, en raison des circonstances particulières de l’affaire. 

Il convient ici de préciser que, sauf défaillance de l’autorité saisie à agir, la divulgation publique d’une alerte prive son auteur de la protection des lanceurs d’alerte dès lors qu’une telle divulgation « porte atteinte aux intérêts de la défense et de la sécurité nationales ». Cette précision ne remet pas en cause les dispositions excluant toute protection aux lanceurs d’alerte qui violeraient le secret de la défense nationale. En effet, la subtilité ici tient à la différence à faire entre (i) les « faits, informations et documents (…) dont la révélation ou la divulgation est interdite par les dispositions relatives au secret de la défense nationale » et (ii) les éléments dont la « divulgation publique porte atteinte aux intérêts de la défense et de la sécurité nationales ». Dans un cas, c’est la nature même des informations qui est protégée et c’est la base objective de leur classification qui en empêche la divulgation à quiconque. Dans l’autre cas, ce sont les effets pouvant être provoqués par une divulgation publique de toute information qui doivent être appréciés, étant précisé que cela sera par hypothèse plus subjectif.  

L’articulation des canaux de remontée et de traitement au sein d’un groupe de sociétés reste à déterminer par décret. En effet, conformément aux termes de la Directive, la Loi prévoit que les entreprises « employant moins de deux cent cinquante salariés peuvent mettre en commun leurs procédures de recueil et de traitement des signalements, dans le respect des conditions prévues » par un décret en Conseil d’Etat. Une interprétation a contrario de cette disposition pourrait laisser entendre qu’au sein d’un groupe de sociétés, la mutualisation des moyens de recueil et de traitement des alertes ne peut s’appliquer aux filiales de plus de 250 salariés. Cette interprétation a bourgeonné aux motifs qu’elle permettrait la garantie d’une proximité entre le lanceur d’alerte et les personnes chargées de réceptionner et traiter son signalement et favoriserait ce faisant le climat de confiance nécessaire à développer une culture de l’alerte. Il faut toutefois mettre cette considération en perspective avec l’importance de pouvoir traiter les signalements de manière indépendante et efficiente, ce qui n’est pas toujours conciliable avec la proximité recherchée. D’un point de vue pratique, une interprétation a contrario pourrait constituer une profonde remise en cause de l’organisation de certains groupes, et notamment ceux qui ont pris le parti de centraliser la conduite des enquêtes internes (notamment pour les raisons sus-évoquées). Il faut donc saluer le recul du législateur français sur ce point et espérer que les termes du décret à venir permettront de concilier les différentes considérations en présence. 

Entrée en vigueur 

Compte tenu de la date d’entrée en vigueur de la Loi fixée au 1er septembre 2022, les entreprises doivent lancer sans attendre leurs processus de révision de leurs politiques et procédures de recueil et de traitement des signalements, ou à tout le moins entamer une réflexion sur les modifications à envisager dans leur organisation interne. Et ce, sans attendre la publication du décret devant préciser un certain nombre de points⁵, dans la mesure où aucun élément de calendrier n’a été donné le concernant.