Depuis l’entrée en vigueur de la loi n° 2022-401 du 21 mars 2022 (dite loi Waserman) visant à améliorer la protection des lanceurs d’alerte, nous – entreprises de plus de 50 salariés – sommes tenus de mettre en place un dispositif interne de signalement. Cette loi, qui transpose la directive européenne 2019/1937, a élargi la définition du lanceur d’alerte et renforcé sa protection, tout en simplifiant les modalités de signalement des alertes. La plupart de ces dispositions s’appliquent depuis le 1er septembre 2022, rendant obligatoire pour les PME concernées l’instauration d’un canal interne sécurisé de recueil des signalements. Dans cet article, nous exposons de manière concrète ce qu’est un lanceur d’alerte, quelles sont nos nouvelles obligations légales, comment mettre en place ce dispositif en pratique, et quels droits sont garantis aux lanceurs d’alerte.
Qu’est-ce qu’un lanceur d’alerte ? Cadre légal de la loi de mars 2022
Un lanceur d’alerte est, en droit français, « une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, ou une violation (ou tentative de dissimulation d’une violation) de la loi ou du règlement ». Autrement dit, il s’agit de toute personne (employé, collaborateur, partenaire, etc.) qui, dans un contexte professionnel, révèle des faits graves susceptibles de nuire à l’intérêt général ou de constituer une infraction. La loi de mars 2022 a affiné et élargi cette définition, supprimant notamment les conditions auparavant exigées de « désintéressement » total ou de « menace grave et manifeste ». Désormais, le signalement peut porter sur une menace même non imminente, et le lanceur d’alerte n’a pas à démontrer qu’il agit de manière parfaitement altruiste, dès lors qu’il n’en retire pas de contrepartie financière directe.
La loi Waserman de 2022 renforce également le cadre existant (instauré par la loi Sapin 2 de 2016) en élargissant le champ des personnes protégées et en simplifiant les canaux de signalement. Auparavant, la procédure dite “en cascade” imposait de signaler en interne puis d’attendre avant d’alerter l’extérieur. Ce n’est plus le cas : depuis le 1er septembre 2022, un lanceur d’alerte peut choisir de s’adresser directement aux autorités externes compétentes, sans passer d’abord par le canal interne de l’entreprise. Toutefois, la mise en place d’un dispositif interne de recueil des alertes demeure essentielle : c’est à la fois une obligation légale pour nous, employeurs, et un moyen de traiter en interne les problèmes signalés, en amont d’éventuelles alertes externes ou publiques.
Quelles entreprises sont concernées par cette obligation ?
Toutes les entreprises d’au moins 50 salariés sont soumises à l’obligation d’établir une procédure interne de recueil et de traitement des alertes professionnelles. Cela inclut les personnes morales de droit privé (sociétés, associations…) et les entités de droit public employant du personnel dans les conditions du droit privé. En pratique, le seuil de 50 salariés s’apprécie sur la base de l’effectif moyen, généralement à la clôture de deux exercices consécutifs.
Cette obligation est en vigueur depuis le 1er septembre 2022, date à laquelle la plupart des dispositions de la loi 2022-401 sont entrées en application. À partir de cette date, toute entreprise dépassant le seuil de 50 employés doit avoir mis en place un dispositif interne conforme. Par ailleurs, le règlement intérieur de l’entreprise (obligatoire lui-même à partir de 50 salariés) doit désormais comporter une mention de la procédure de signalement ouverte aux lanceurs d’alerte. Autrement dit, nous devons formaliser ce dispositif dans nos documents internes et le porter à la connaissance de l’ensemble des collaborateurs.
Les entreprises de moins de 50 salariés ne sont pas légalement tenues de créer un tel canal interne d’alerte. Néanmoins, elles sont encouragées à le faire de manière volontaire pour encourager le dialogue interne et éviter que d’éventuels manquements ne fassent directement l’objet d’alertes externes. Dans tous les cas, la protection des lanceurs d’alerte prévue par la loi s’applique, elle, indépendamment de la taille de l’entreprise.
En quoi consiste le canal interne de signalement des alertes ?
Concrètement, l’obligation qui pèse sur nous est d’instaurer en interne un canal de signalement – c’est-à-dire un dispositif sécurisé, confidentiel et accessible – permettant aux lanceurs d’alerte de nous signaler des faits répréhensibles dans un cadre professionnel. Ce canal peut prendre différentes formes pour s’adapter à la taille et à l’organisation de chaque PME : par exemple une plateforme web dédiée, une adresse e-mail spécifique, un numéro de téléphone (hotline), voire un entretien physique avec une personne référente. L’important est qu’il respecte les garanties légales d’impartialité et de confidentialité : l’identité de l’auteur du signalement, celle des personnes mises en cause et le contenu même de l’alerte doivent être protégés et ne divulgés qu’aux personnes autorisées, et ce uniquement avec le consentement du lanceur d’alerte. Idéalement, le dispositif doit également permettre de préserver l’anonymat du lanceur d’alerte s’il le souhaite, afin de le rassurer et de lever les freins à la remontée d’informations sensibles.
La procédure interne de recueil et de traitement des signalements doit être formalisée par écrit. Elle précise notamment qui sont la ou les personnes (ou services) désignées dans l’entreprise pour recevoir et traiter les alertes, en veillant à leur indépendance et à leur impartialité. Selon la taille et les ressources de la PME, il peut s’agir par exemple du référent éthique, du responsable des ressources humaines, d’un membre de la direction formé à cet effet, ou encore d’un prestataire externe spécialisé mandaté par l’entreprise. En effet, la loi permet de confier la gestion du canal à un tiers extérieur, à condition que ce dernier offre les mêmes garanties de confidentialité et d’impartialité. De plus, plusieurs petites entreprises (moins de 250 salariés) peuvent mutualiser leur dispositif d’alerte en partageant une même plateforme ou cellule de traitement, par exemple au niveau d’un groupe de sociétés.
Enfin, le canal de signalement interne doit être facilement accessible à celles et ceux qui peuvent l’utiliser. Il ne servirait à rien de le mettre en place si nos collaborateurs n’en connaissent pas l’existence ou ne savent pas comment s’en servir. La procédure doit donc être diffusée dans l’entreprise par tout moyen assurant une publicité suffisante (note de service, affichage sur les lieux de travail, section dédiée sur l’intranet ou le site web, etc.), et rester disponible de façon permanente pour les personnes habilitées à lancer une alerte. Par ailleurs, nous devons également informer clairement les salariés des autres canaux de signalement externes à leur disposition (autorités de régulation, Défenseur des droits, etc.), car la loi nous oblige à mentionner ces possibilités externes en plus de notre dispositif interne.
Comment mettre en place le dispositif d’alerte interne : les étapes clés
La mise en conformité avec cette nouvelle obligation peut sembler complexe. Pour la mener à bien de manière concrète, nous pouvons suivre plusieurs étapes clés :
Choisir le canal de signalement le plus adapté – Nous devons d’abord déterminer le support technique du dispositif. Selon nos moyens et la culture de notre PME, il peut s’agir d’un simple formulaire papier ou d’une boîte mail dédiée, mais aussi d’une plateforme numérique sécurisée ou d’une hotline gérée par un prestataire. L’outil retenu doit garantir la sécurité des données transmises et la confidentialité de l’alerte, tout en étant suffisamment simple d’accès pour les potentiels lanceurs d’alerte. Nous veillons également à ce que ce canal permette, si possible, le dépôt d’alertes de manière anonyme ou pseudonymisée, afin d’encourager les signalements sensibles.
Définir une procédure interne claire et consulter les représentants du personnel – Il s’agit de rédiger la procédure de signalement pas à pas : qui peut lancer une alerte, comment le faire (par écrit, oralement), à qui s’adresser, quels types de faits sont concernés, etc. Cette procédure peut prendre la forme d’une charte d’entreprise, d’une note de service ou être intégrée au règlement intérieur. Dans tous les cas, la consultation préalable du CSE (Comité social et économique) est obligatoire. Les instances représentatives du personnel doivent en effet donner leur avis sur le dispositif avant sa mise en œuvre. Une fois validée, la procédure est formalisée officiellement. Il faut y désigner nommément le ou les référents internes chargés de recevoir et examiner les alertes, en s’assurant qu’ils disposent de l’autorité et des moyens nécessaires pour traiter les signalements en toute impartialité.
Informer et former l’ensemble des salariés – Une fois le dispositif finalisé, une communication interne est essentielle pour que tous les employés (et autres parties prenantes concernées) soient au courant de son existence et de son fonctionnement. Nous pouvons organiser des réunions d’information, envoyer des notes de service explicatives, ou mettre à disposition un guide pratique du lanceur d’alerte. Le message à faire passer est double : d’une part, expliquer concrètement comment utiliser le canal de signalement (par exemple, l’adresse courriel ou l’URL de la plateforme, le numéro de téléphone, les horaires d’une permanence, etc.), et d’autre part, rassurer sur les droits et protections dont bénéficient les lanceurs d’alerte. Il est important de créer un climat de confiance, en soulignant que les signalements seront traités de manière objective et confidentielle, sans risque de sanction pour l’émetteur de l’alerte s’il agit de bonne foi. On pourra éventuellement former les managers ou les référents désignés pour qu’ils sachent accueillir une alerte correctement et garantir la procédure adéquate.
Traiter les signalements de manière diligente et impartiale – Lorsqu’une alerte est émise via le canal interne, il convient de la prendre en charge rapidement. La loi prévoit que nous devons accuser réception du signalement dans les 7 jours ouvrés suivant sa réception. Cet accusé de réception (écrit) peut être un simple message confirmant au lanceur d’alerte que son signalement a bien été reçu et sera examiné, sauf bien sûr s’il a choisi de rester anonyme (dans ce cas, on ne peut pas le contacter). Ensuite, il faut évaluer la recevabilité de l’alerte : vérification que le signalement entre bien dans le champ défini par la loi (par ex. qu’il s’agit d’un fait relevant de l’intérêt général et non d’un grief personnel, etc.). Si le signalement est hors du cadre ou manifestement abusif, la procédure interne peut prévoir de le classer sans suite en motivant la décision auprès de son auteur. En revanche, si l’alerte est légitime, nous devons mener une enquête interne ou des vérifications pour évaluer la véracité des faits allégués. Il peut être nécessaire de recueillir des informations complémentaires, y compris en sollicitant le lanceur d’alerte pour des précisions supplémentaires. Si les faits rapportés s’avèrent fondés, il nous appartient de prendre les mesures appropriées pour remédier au problème ou faire cesser l’activité illicite en question. Si, à l’inverse, les faits ne sont pas avérés ou que l’alerte se révèle infondée, nous procéderons à la clôture du signalement en expliquant éventuellement les raisons. Dans tous les cas, nous devons tenir informé le lanceur d’alerte de l’avancement du traitement : la loi exige qu’une réponse sur les suites données soit apportée dans un délai raisonnable n’excédant pas trois mois à compter de l’accusé de réception. Autrement dit, sous trois mois maximum, le lanceur d’alerte doit être informé des mesures prises (ou envisagées) pour vérifier les faits et, le cas échéant, y remédier, ou des motifs de clôture si l’alerte est classée sans suite. Il doit également être notifié lorsque le dossier est définitivement clôturé. Cette étape de retour d’information est primordiale pour montrer que l’entreprise joue le jeu de la transparence et prend les signalements au sérieux.
Assurer la confidentialité et la conservation sécurisée des données – Tout au long du processus, nous devons veiller à préserver la confidentialité des échanges et des documents liés à l’alerte. L’identité du lanceur d’alerte ne doit notamment pas être révélée au-delà des personnes strictement habilitées à traiter l’affaire. De même, les personnes visées par le signalement bénéficient de la présomption d’innocence et leur implication doit rester confidentielle tant que les faits ne sont pas établis. Sur le plan technique, les informations recueillies (dossiers, preuves, enregistrements d’entretiens, etc.) doivent être stockées de façon sécurisée (par exemple sur un support chiffré ou dans une application protégée par mot de passe) afin d’éviter tout accès non autorisé. Concernant la durée de conservation des données, le principe est de ne les garder que le temps strictement nécessaire au traitement de l’alerte. La réglementation (notamment le RGPD) nous impose de limiter la conservation des données personnelles : une fois l’enquête terminée et les mesures éventuelles prises, les éléments du signalement devraient être archivés de manière sécurisée puis supprimés au bout d’un certain délai raisonnable, sauf obligation légale contraire. Par exemple, la CNIL recommande généralement de supprimer ou d’anonymiser les données quelques mois après la clôture de l’alerte, sauf si des procédures judiciaires ou disciplinaires sont en cours. En résumé, nous devons garantir une gestion sécurisée et éthique des données à chaque étape : informer les personnes concernées des droits d’accès ou de rectification le cas échéant, et empêcher toute fuite d’informations sensibles.
Quels sont les droits et protections accordés aux lanceurs d’alerte ?
La raison d’être de ce dispositif est de protéger les lanceurs d’alerte et de les encourager à s’exprimer sans crainte. La loi de 2022 a considérablement renforcé les droits et protections qui leur sont accordés, afin qu’aucune personne agissant de bonne foi dans l’intérêt général ne soit dissuadée de signaler un problème par peur des conséquences. Voici les principaux volets de protection garantis par le cadre légal français :
Confidentialité de l’identité et des informations : Toute donnée pouvant identifier le lanceur d’alerte (ainsi que les tiers impliqués dans le signalement) doit être strictement confidentielle. Aucune révélation ne peut en être faite sans son consentement explicite. Les personnes chargées de recueillir l’alerte sont tenues à une obligation de discrétion. Le lanceur d’alerte peut aussi choisir de rester anonyme ; même si l’anonymat ne permet pas de bénéficier de jure du statut protecteur, en pratique un signalement anonyme détaillé pourra tout de même être examiné et l’identité de son auteur restera inconnue.
Absence de responsabilité civile et pénale : Si le lanceur d’alerte respecte le cadre légal (signalement de bonne foi et dans les formes requises), il n’encourt aucune sanction civile ou pénale pour les faits dénoncés. En particulier, la loi prévoit que le lanceur d’alerte n’est pas responsable des dommages causés du fait de son signalement ou de sa divulgation publique, dès lors qu’il avait des motifs raisonnables de croire que cela était nécessaire à la sauvegarde de l’intérêt en cause. De même, il bénéficie d’une irresponsabilité pénale : par exemple, s’il divulgue un secret protégé par la loi (secret professionnel, confidentialité interne…) dans le cadre d’une alerte conforme, il ne peut pas être poursuivi pour cette divulgation. Il en va de même s’il a dû copier ou soustraire des documents pour étayer son alerte : ces actes normalement répréhensibles sont exonérés de peine dès lors qu’ils étaient nécessaires au signalement. Cette protection juridique est cruciale car elle met le lanceur d’alerte à l’abri des poursuites judiciaires abusives destinées à le faire taire.
Protection contre les représailles : Il est strictement interdit pour un employeur (ou toute autre personne) de prendre des mesures de représailles à l’encontre d’un lanceur d’alerte du fait de son signalement. Cela inclut toute sanction ou décision défavorable prise à cause de l’alerte : licenciement, mise à pied, rétrogradation, refus de promotion, mutation punitive, diminution de salaire, évaluation de performance négative, harcèlement, discrimination, etc.. La liste des actes prohibés est très large. Toute mesure de cette nature est nulle de plein droit, ce qui signifie que si nous tentions malgré tout de sanctionner un lanceur d’alerte pour avoir parlé, la sanction serait juridiquement annulée et nous pourrions être condamnés. En cas de litige, il suffira au lanceur d’alerte de présenter des faits laissant supposer qu’il a subi une mesure en raison de son signalement ; la charge de prouver que la décision était motivée par des raisons étrangères à l’alerte nous incombera. En outre, le Conseil de prud’hommes peut sanctionner l’employeur en l’obligeant à abonder le compte formation du salarié lanceur d’alerte en réparation du préjudice subi.
Extension de la protection à l’entourage du lanceur d’alerte : La loi de 2022 innove en offrant également sa protection à d’autres personnes liées au lanceur d’alerte. D’une part, les facilitateurs – c’est-à-dire les personnes physiques (ou associations) à but non lucratif qui aident un lanceur d’alerte à effectuer son signalement – sont désormais protégés eux aussi contre les représailles éventuelles. D’autre part, les collègues ou proches du lanceur d’alerte, ainsi que les entités juridiques qu’il contrôle ou pour lesquelles il travaille, bénéficient de protections si elles risquent elles-mêmes d’être pénalisées en raison de l’alerte. En somme, le lanceur d’alerte n’est plus isolé : son soutien par des tiers de confiance est encouragé et sécurisé par la loi.
Sanctions contre les obstacles au signalement : Afin de rendre ces droits effectifs, la loi prévoit des peines sévères contre quiconque chercherait à museler un lanceur d’alerte. Faire obstacle de quelque façon que ce soit à la transmission d’une alerte (par exemple empêcher un employé de signaler ou détruire des documents compromettants) est un délit passible d’un an d’emprisonnement et de 15 000 € d’amende. De plus, les actions judiciaires dilatoires ou abusives intentées contre un lanceur d’alerte (les “procédures-bâillons”, destinées à l’intimider) peuvent être sanctionnées d’une amende civile pouvant aller jusqu’à 60 000 €, en plus de dommages-intérêts. Ces dispositions dissuasives complètent le dispositif en dissuadant les tentatives de représailles indirectes ou de harcèlement judiciaire.
En parallèle de ces protections, rappelons que le lanceur d’alerte dispose toujours de la liberté de choisir le canal de signalement. S’il estime que l’alerte interne n’est pas efficace ou comporte un risque (par exemple, risque de collusion ou de ne pas être traité impartialement), il peut opter pour un signalement externe dès le départ, auprès des autorités compétentes (régulateurs, inspection, Défenseur des droits, procureur de la République, etc.). Il peut même, dans certaines circonstances exceptionnelles, procéder à une divulgation publique immédiate (via la presse ou les réseaux sociaux), notamment en cas de danger grave et imminent pour l’intérêt général ou de risque de destruction de preuves. Bien sûr, ces cas restent encadrés par la loi, mais ils garantissent qu’en ultime recours l’information pourra être portée à la connaissance du public si toutes les autres voies échouent. L’ensemble de ces droits offre au lanceur d’alerte un filet de sécurité complet.
En conclusion, la mise en place d’un canal interne de signalement des alertes dans les PME de plus de 50 salariés n’est plus seulement une bonne pratique de gouvernance – c’est une obligation légale depuis septembre 2022. Cette obligation s’inscrit dans une démarche globale de transparence et d’éthique des affaires. En tant qu’employeurs, nous avons tout intérêt à accueillir et traiter sérieusement les alertes : non seulement pour nous conformer à la loi, éviter des sanctions et protéger notre entreprise, mais aussi parce que cela contribue à identifier plus tôt d’éventuels dysfonctionnements et à y remédier avant qu’ils ne prennent de l’ampleur. En protégeant les lanceurs d’alerte et en offrant un cadre sécurisé pour s’exprimer, nous renforçons la confiance de nos salariés et partenaires, et nous affirmons une culture d’entreprise plus ouverte, responsable et conforme à l’intérêt général. En somme, ce dispositif, loin d’être une contrainte bureaucratique de plus, peut devenir un outil précieux pour améliorer notre fonctionnement interne et prévenir les risques juridiques, financiers ou réputationnels liés à des manquements. Adoptons-le de manière pragmatique et bienveillante : c’est un investissement sur la durée pour une entreprise plus sereine et vertueuse.