Décret d’application relatif aux procédures d’alerte professionnelles

Lanceurs d’alerte : publication du décret d’application de la loi du 21 mars 2022 et précisions quant aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte

Un peu plus d’un mois après l’entrée en vigueur de la loi n°2022-402 du 21 mars 2022, le 1er septembre 2022, les pouvoirs publics ont enfin adopté le décret d’application conditionnant son application effective. Le décret n°2022-1284 du 3 octobre 2022 est relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixe la liste des autorités externes instituées par le législateur.

La publication de ce décret parachève ainsi le processus de transposition en France de la Directive 2019/1937 du 23 octobre 2019 sur les lanceurs d’alerte – ceci alors même que la France s’était vu notifiée, le 15 juillet 2022, un avis motivé pour transposition incomplète de ladite directive par la Commission européenne.

Le décret du 3 octobre 2022 était fortement attendu par les différents acteurs des systèmes d’alerte et, en particulier, par les entreprises qui ont longtemps espéré y trouver d’utiles précisions dans le cadre de la mise en place d’une procédure interne dédiée à cette thématique ou de la révision de celle en place pour sa mise en conformité.

Le décret du 3 octobre 2022, qui entre en vigueur le 5 octobre 2022, abroge [et remplace] le décret du 19 avril 2017 dont il convient de rappeler qu’il constituait, avec les dispositions de la loi Sapin II (telles que modifiées par la loi du 21 mars 2022), le droit positif applicable aux procédures internes de recueil des signalements auquel devaient se conformer les entreprises assujetties à l’obligation de mettre en place une procédure.

Durant ses quelques 6 années d’application, le précédent décret du 19 avril 2017 a souvent été présenté comme ne répondant pas à un nombre importants de questions pratiques tout en laissant finalement une marge de manœuvre importante aux entreprises devant s’y conformer pour opter pour l’outil le plus adapté à leur organisation et à la maturité de leurs processus.

A ce titre, notons que les pouvoirs publics ont pris en compte ce point en affirmant sans équivoque, dans la notice du décret du 3 octobre 2022, que « chaque entité concernée détermine l’instrument juridique le mieux à même de répondre à l’obligation d’établir une procédure interne de recueil et de traitement des signalements ». Reste à savoir comment cette liberté trouvera à s’appliquer en fonction des spécificités de chaque entreprise et comment l’efficacité du système sera jugée.

Généralités. Seules les entreprises qui comptent, au moins, 50 salariés à la clôture de 2 exercices consécutifs sont tenues de mettre en place une procédure de recueil et de traitement des signalements.
S’agissant des entreprises de moins 50 salariés, si celles-ci ne sont pas assujetties à l’obligation de mettre en place une telle procédure, elles doivent néanmoins, aux termes de la loi du 21 mars 2022, offrir à leurs salariés la possibilité d’émettre un signalement auprès de leur supérieur hiérarchique direct ou indirect, de leur employeur ou d’un référent désigné par celui-ci.

Mutualisation des procédures. Pour rappel, l’article 8 de la loi du 9 décembre 2016 (telle que modifiée par la loi du 21 mars 2022) ouvre la possibilité aux entreprises employant moins de 250 salariés de mettre en commun leur procédure de recueil et de traitement des signalements, sous réserve d’une « décision concordante [des] organes compétents » de chaque entité. Le décret précise qu’il « peut en être ainsi, notamment, dans les groupes de sociétés » sans condition d’effectif maximal liée à la l’internationalité de la société mère par exemple.
Rappelons en effet que la loi du 21 mars 2022 a ouvert la possibilité pour les groupes de sociétés de centraliser leur dispositif d’alerte interne, sans condition d’effectif maximal. Si le décret pouvait être attendu, en particulier, sur les précisions qu’il pouvait apporter de nature à aider les groupes de sociétés à mettre en place de telles procédures, le cas échéant, centralisées, ses apports semblent relativement limités sur ce front.

Réception des signalements. Le canal interne de réception des signalements doit permettre à toute personne d’adresser un signalement – qu’il soit anonyme ou non – par écrit ou par oral.
Le champ des signalements qui devront être pris en compte dans la procédure s’ouvre tant aux faits qui se sont produits ou, nouveauté, sont « très susceptibles » de se produire dans l'entité concernée. Cette nouvelle précision ne devrait pas être exempte de critiques compte tenu de la nécessaire et pourtant sensible interprétation à laquelle elle va obliger les personnes en charge de la réception et du traitement des signalements.

En cas de signalement oral, la procédure devra permettre que ce dernier soit effectué par téléphone ou tout autre système de messagerie vocale. Si l’auteur en formule expressément la demande, celui-ci doit pouvoir s’effectuer lors d’une visioconférence ou d’une rencontre physique organisée, au plus tard, dans les 20 jours ouvrés suivant réception de la demande.

En toute hypothèse, le décret prévoit des modalités de retranscription du signalement qui doivent mettre leur auteur en position de vérifier, de rectifier et d’approuver la teneur des échanges qui ont eu lieu. A noter que des règles particulières s’appliquent à l’enregistrement de conversations téléphoniques des salariés, tant au titre du droit du travail que de la réglementation données personnelles, qui devront être respectées si un tel mécanisme est mis en place.

La procédure doit par ailleurs permettre la transmission, quel que soit sa forme ou son support, de tout élément permettant d’étayer le signalement – cela signifie notamment qu’en cas de collecte d’un signalement par oral, une voie supplémentaire devra être offerte à l’auteur pour fournir des documents complémentaires à l’appui de son signalement.

La procédure doit en outre prévoir de tenir l’auteur informé par écrit de la réception du signalement et ce dans un délai de 7 jours à compter de la réception de celui-ci.

Notons que le décret ouvre la possibilité aux entreprises, sauf lorsque l’alerte est anonyme, d’imposer à l'auteur d’un signalement de transmettre en même temps que celui-ci tout élément justifiant qu'il fait bien partie des personnes autorisées à lancer une alerte interne (membre du personnel, candidat à l’embauche, etc.).

Traitement des signalements. A la suite de la réception du signalement, l’entreprise va devoir vérifier que le signalement respecte les conditions requises. Dans l’hypothèse où elle devait considérer que les conditions ne sont pas réunies, une information de l’auteur du signalement devra être réalisée. La procédure devra également préciser les suites données aux signalements anonymes.

Une fois la véracité des allégations évaluée, il est attendu de l’entreprise qu’elle remédie à l'objet du signalement.

L’entreprise est tenue de communiquer à l’auteur du signalement, par écrit, et « dans un délai raisonnable » n’excédant pas 3 mois à compter de l’accusé de réception, ou à défaut d’accusé de réception, dans un délai de trois mois à compter de l’expiration d’une période de sept jours ouvrés suivant le signalement, des informations sur les mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, les mesures prises pour remédier à l’objet du signalement et les motifs de celles-ci.

La procédure doit également prévoir que le signalement sera clôturé dans l’hypothèse où les allégations sont inexactes ou infondées ou encore que le signalement devient sans objet. Une information, par écrit, de l’auteur du signalement devra être prévue par la procédure.

Garanties d’intégrité et de confidentialité. La procédure garantit « l'intégrité et la confidentialité » des informations recueillies dans un signalement, le décret précisant à ce titre que cela doit couvrir « notamment l'identité de l'auteur du signalement, des personnes visées par celui-ci et de tout tiers qui y est mentionné ».

La procédure doit également interdire l'accès à ces informations aux membres du personnel « qui ne sont pas autorisés à en connaître ».

Ce type de mesure de sécurité sera notamment à prévoir dans le cadre de l’analyse d’impact relative à la protection des données personnelles, qui est obligatoire s’agissant de la mise en place du dispositif d’alerte interne.

Personnes en charge du canal interne. La procédure indique également « la ou les personnes ou le ou les services désignés par l’entité pour recueillir et traiter les signalements ». L’expérience démontre que les personnes ou services désignés au sein de l’entreprise pour ces missions dépendent du degré d’organisation et de maturité des entités concernées à l’égard de ces sujets. S’il s’agira principalement d’une mission assurée par le compliance officer, quand il en existe un, d’autres acteurs pourront également être concernés (DRH, responsable de la protection des données, contrôle et audit interne, etc.) et leurs équipes en ce qui concerne certains aspects techniques. Notons que si cette exigence préexistait dans le décret abrogé du 19 avril 2017, le décret du 3 octobre 2022 ne précise pas davantage les informations minimales à fournir permettant une telle identification.

En toute hypothèse, les personnes ou services désignés « disposent, par leur positionnement ou leur statut, de la compétence, de l'autorité et des moyens suffisants à l'exercice de leurs missions ». En ce sens, il conviendra de s’assurer que la procédure prévoit les garanties permettant l'exercice « impartial » de ces missions.

Le décret confirme la possibilité pour les entreprises de prévoir dans la procédure que le canal de réception des signalements est externalisé chez un tiers (par exemple un prestataire), sous réserve que les mêmes garanties que celles mentionnées ci-dessus soient données.

Communication et publicité de la procédure. La procédure est diffusée par l’entité concernée « par tout moyen assurant une publicité suffisante » dans des conditions permettant de la rendre accessible « de manière permanente » aux personnes concernées. Concrètement, l’entreprise pourra diffuser la procédure par voie de notification, d’affichage ou de publication (écrite ou dématérialisée) notamment, pourvu que ses salariés puissent effectivement en prendre connaissance.

Si cela n’a pas déjà été fait par ailleurs, il conviendra en outre de mettre à jour la notice d’information à destination des salariés afin de les informer du traitement de leurs données personnelles dans le cadre du canal interne de recueil et de traitement des alertes. Cette information devra être également fournie aux personnes tierces à la société dont les données pourrait être traitées, soit en tant qu’auteur de l’alerte, soit en tant que personne visée par l’alerte.

Dans le nouveau dispositif, ce volet tient une place d’autant plus importante qu’il convient de rappeler que les auteurs de signalement bénéficient désormais d’une option leur permettant de choisir entre le canal interne et la possibilité de porter leur signalement à l’externe auprès d’une autorité spécialement désignée (cf. Infra), d’où la nécessité, le cas échéant, pour les entreprises concernées :

• de définir un plan de communication propre à renforcer la confiance dans les garanties liées à l’utilisation du canal d’alerte interne ;
• de renforcer et dynamiser les actions de sensibilisation et de formation à l’utilisation du canal interne.

Canal externe et liste des autorités compétentes. Dans le prolongement de la fin de la priorité donnée au canal d’alerte interne dans le nouveau dispositif, le décret fixe, par domaine, la liste des autorités externes compétentes pour recueillir les signalements (52 au total).

A noter que la CNIL a notamment été désignée comme autorité compétente pour recueillir ce type de signalement dans les domaines de la protection de la vie privée et des données personnelles et de la sécurité des réseaux et des systèmes d’information.

Les autorités listées dans le décret ont l’obligation de traiter les signalements et de faire un retour d’informations sur les mesures prises ou envisagées pour remédier au problème dans un délai de 3 à 6 mois.
Le décret prévoit d’ailleurs que les entreprises devront mettre à disposition « des informations claires et facilement accessibles concernant les procédures de signalement externe ».

Entrée en vigueur. L’entrée en vigueur du nouveau décret est prévu « le lendemain de sa publication » soit à partir du 5 octobre 2022.

A noter que d’autres décrets, plus spécifiques, sont toujours attendus, notamment au sujet de la saisine du conseil des prud’hommes en cas de rupture du contrat de travail consécutif à une alerte ou sur la nature des informations communiquées par les autorités compétentes entre elles.

Nos équipes sont à votre disposition pour discuter des impacts concrets de ce nouveau décret sur les procédures en place et celles à créer et, le cas échéant, répondre aux questions éventuelles que sa mise en œuvre peut poser à vos organisations.