Directive du 17 décembre 2021,
Conformité & protection des lanceurs d’alertes.
Nouveau cap dans la conformité des entreprises et administrations européennes
Les États-membres de l’Union européenne ont jusqu’au 17 décembre 2021 pour transposer la Directive (UE)2019/1937 du Parlement européen sur la protection des personnes qui signalent des violations du droit de l’Union. Cette directive, communément appelée Directive pour la protection des lanceurs d’alertes, marque un nouveau cap dans la conformité des entreprises et administrations européennes, 3 ans après l’entrée en vigueur du RGPD.
En France, transposition de la Directive et conservation des acquis de la loi Sapin II
Avec la loi Sapin II et le cadre législatif français, l’hexagone est en tête de proue dans la protection des lanceurs d’alertes en Europe. Mais l’Union Européenne voulant renforcer son homogénéité, il était nécessaire d’adopter un texte commun. Alors qu’en France une proposition de loi Sapin III est à l’étude pour conserver un statut exemplaire en Europe dans la lutte contre la corruption, la transposition de la Directive pour la protection des lanceurs d’alertes démontre une fois de plus la volonté d’assainir et d’harmoniser la vie économique européenne. Cette Directive, pour ne pas chambouler le paysage législatif national, prévoit une clause dite de « non-régression », permettant de garantir que les acquis de la loi Sapin II ne soient pas remis en cause à l’occasion de la transposition. La France devrait être dans les temps pour la transposition puisque la proposition de loi de transposition a été adoptée le 17 novembre 2021 par l’Assemblée nationale et doit donc être examinée par le Sénat prochainement.
Une Directive qui vise à préciser les modalités d’un lancement d’alerte
Le texte de transposition tel qu’il est sorti de l’Assemblée nationale apporte quelques modifications à la législation existante, comme les exemples suivants :
- La définition de « lanceur d’alertes » est précisée notamment en intégrant l’idée d’absence de contrepartie financière directe
- Davantage de liberté est apportée aux lanceurs qui pourront choisir un signalement interne ou externe, potentiellement via une saisine de l’autorité judiciaire directe. Cela n’était pas précisé dans la loi Sapin II.
- Un allongement des durées de conservation des données de signalement pour faciliter un suivi sur le longterme
- Un renforcement des sanctions applicables aux comportements répréhensibles, notamment avec un nouveauvolet pénal
- De manière générale, un renforcement accru de la protection des lanceurs d’alertes et la mise en place decanaux sécurisés pour faire remonter les comportements dénoncés.
Des modalités qui impliquent une mise en conformité des structures publiques et privées
Ce texte concerne les entreprises de plus de 50 salariés et les collectivités de plus de 10.000 habitants. Dans les faits, les organismes concernés sont donc très nombreux et, à l’instar du RGPD, ces derniers doivent engager des procédures dès que la loi de transposition sera définitivement adoptée. Il sera important de s’y conformer car des contrôles pourront être effectués et des sanctions appliquées en cas de non-respect des procédures. La mise en œuvre des canaux de signalement par les différentes structures devra se faire au plus tard le 17 décembre 2021 pour les entreprises comptant plus de 250 employés et au plus tard le 17 décembre 2023 pour les entreprises comptant entre 50 et 249 employés.
Dposystem se tient à votre disposition pour échanger sur le sujet et engager dès maintenant une démarche de mise en conformité.
Pour dposystem, Benjamin Busson, consultant en données personnelles