La Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dites Loi SAPIN II a introduit un régime général de protection des lanceurs d’alerte ainsi qu’une obligation spécifique pour certains organismes de mettre en place une procédure de recueil des alertes de leurs salariés et collaborateurs. Néanmoins, qu’il soit général ou spécial, le lancement de l’alerte doit également répondre à certaines conditions spécifiques posées par la Loi ainsi que le Code du travail et la Loi informatique et Libertés.
I. Le régime de protection du lanceur d’alerte
A. Les personnes concernées
L’article 6 de la Loi Sapin II définit le lanceur d’alerte comme étant « une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ». Toutefois, poursuit l’article, « les faits, informations ou documents, quel que soit leur forme ou leur support, couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client sont exclus du régime de l’alerte défini par le présent chapitre ».
Au sens de cette Loi, le lanceur d’alerte ne peut pas être une personne morale. Par ailleurs, le législateur a souhaité exclure de la qualité de lanceur d’alerte[1] :
- les journalistes ;
- les victimes des agissements, objet de l’alerte ;
- les témoins appelés à comparaître devant une juridiction ou interrogés dans le cadre d’une enquête ;
- les agents publics dénonçant des faits dont il ont connaissance, par leur métier, et qu’ils leurs appartiennent, par leurs fonctions, de réprimer.
Enfin, le lanceur d’alerte doit être de bonne foi et agir de manière désintéressée. Cela exclut tout informateur qui agirait avec l’intention de nuire à autrui et toute rétribution financière à l’émission de l’alerte.
B. Les alertes protégées
L’alerte doit avoir pour objet un crime ou un délit, ou une violation grave et manifeste d’un engagement international ou encore d’une menace ou d’un préjudice grave pour l’intérêt général.
Cette définition est assez floue puisque les notions de « préjudice grave pour l’intérêt général » ou de « violation grave et manifeste d’un engagement international » ne sont pas définies par la Loi.
La pratique et la jurisprudence serviront à nous éclairer sur ce point.
C. L’interdiction des représailles
Tout lanceur d’alerte tel que défini précédemment est protégé par la Loi contre toute forme de représailles. Ainsi et tout d’abord, la Loi interdit d’écarter le lanceur d’alerte d’une procédure de recrutement, de l’accès à un stage, une formation. Il ne peut être sanctionné, licencié ou faire l’objet de mesures discriminatoires directes ou indirectes en matière de rémunération, mesures d’intéressement, de reclassement, d’affectation, de qualification, de promotion etc. (article 10 de la Loi ayant modifié l’article L1132-3-3 du Code du travail).
Par ailleurs, le lanceur d’alerte ne sera pas sanctionné pour avoir révélé un secret protégé par la Loi (les secrets d’affaires, de fabrication, les savoir-faire…) dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause (article 7 de la Loi Sapin II).
II. Le lancement de l’alerte
Il convient de distinguer le recueil des alertes ordinaires (A) et le dispositif spécial instauré par la Loi et devant être obligatoirement mis en place par certains organismes (B).
A. Le recueil des alertes dans les cas les plus courants
La Loi prévoit trois niveaux de canaux de signalement de l’alerte :
1/ Le signalement de l’alerte est porté à la connaissance du supérieur hiérarchique, direct ou indirect, de l’employeur ou d’un référent désigné.
2/ Si la personne alertée n’entreprend aucune diligence, le lanceur d’alerte peut, dans un délai raisonnable, adresser son signalement à l’autorité judiciaire, l’autorité administrative ou à l’ordre professionnel duquel il relève.
3/ En dernier ressort, dans un délai de trois mois suivants le signalement aux autorités compétentes, le lanceur d’alerte peut rendre son alerte publique.
Précisons également qu’en cas de danger grave et imminent, l’alerte peut être directement donnée aux autorités compétentes et rendue publique.
Toute personne peut également adresser son signalement au Défenseur des droits.
B. Le recueil de l’alerte spéciale
Une spécificité a été introduite dans la Loi concernant les personnes morales de droit public ou de droit privé d’au moins cinquante salariés, les administrations de l’Etat, les communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions. En effet, ces organismes doivent mettre en place, obligatoirement, des procédures appropriées de recueil des signalement émis par leur personnel ou par leurs collaborateurs extérieurs et occasionnels.
Le décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’État vient préciser les modalités de recueil des signalements.
Aux termes du décret, un process de recueil des alertes doit être rédigé et préciser :
- l’identité du référent susceptible de recevoir les alertes (le référant pouvant être interne à l’entreprise ou externe : avocat, société tierce) ;
- les modalités selon lesquelles l’auteur du signalement (i) adresse son signalement à son supérieur hiérarchique, direct ou indirect, à l’employeur ou au référent désigné, (ii) fournit les faits, informations ou documents quel que soit leur forme ou leur support de nature à étayer son signalement lorsqu’il dispose de tels éléments, (iii) fournit les éléments permettant le cas échéant un échange avec le destinataire du signalement ;
- les dispositions prises par l’entreprise (i) pour informer sans délai l’auteur du signalement de la réception de son signalement, ainsi que du délai raisonnable et prévisible nécessaire à l’examen de sa recevabilité et des modalités suivant lesquelles il est informé des suites données à son signalement, (ii) pour garantir la stricte confidentialité de l’auteur du signalement, des faits objets du signalement et des personnes visées, (iii) pour détruire les éléments du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et celle des personnes visées par celui-ci lorsqu’aucune suite n’y a été donnée, (iv) pour informer l’auteur du signalement et les personnes visées par celui-ci de la clôture du dossier, lorsqu’aucune suite n’est donnée au signalement ;
- mentionner la mise en œuvre d’un traitement automatisé des signalements.
Le décret ne précisant pas dans quel document la procédure doit figurer, il importe peu que cette dernière figure dans le code de conduite de l’organisme ou dans un document séparé.
Concernant la diffusion de la procédure, le décret préconise qu’elle se fasse par tout moyen «notamment par voie de notification, affichage ou publication, le cas échéant sur son site internet, dans des conditions propres à permettre à la rendre accessible aux membres de son personnel ou à ses agents, ainsi qu’à ses collaborateurs extérieurs ou occasionnels. Cette information peut être réalisée par voie électronique ».
Si l’organisme décide d’externaliser la procédure auprès d’un tiers il conviendra que ce tiers respecte bien la législation applicable, notamment la loi informatiques et libertés (cf.infra).
Si le recueil de l’alerte est assuré par un ou plusieurs salariés, attention également à bien inclure dans leur contrat de travail une clause de confidentialité.
Sur ce point, il est également recommandé de vérifier que les clauses de confidentialité des salariés n’excluent pas la possibilité pour eux de recourir aux alertes professionnels. Ainsi, il serait plus prudent de préciser dans les accords et clauses de confidentialité conclus avec les salariés, qu’ils s’appliquent sans préjudice du droit d’alerte du salarié concerné.
III. Autres modalités relatives aux alertes
A. Les obligations posées par le Code du travail
Tout d’abord, pour pouvoir mettre en place un dispositif d’alerte professionnel, il convient d’informer et de consulter les représentants du personnel.
Une transmission à l’inspection du travail pour vérification de la conformité du dispositif au Code du travail n’est pas nécessaire, sauf à ce que la procédure d’alerte soit intégrée dans le règlement intérieur.
Par ailleurs, parce que le dispositif suppose que des données personnelles des salariés soient collectées, les salariés doivent être informés individuellement de la mise en place de tout dispositif de recueil des alertes, de ses objectifs, de son utilisation et de sa finalité. Ils doivent également être informés de leurs droits d’accès et de rectification de leurs données personnelles collectées et traitées dans le cadre des alertes.
B. La Loi informatique et libertés
La mise en place d’une procédure de recueil des alertes professionnelles doit également respecter les dispositions de la Loi informatique et libertés n°78-17 du 6 janvier 1978 et du RGPD.
Le 11 octobre 2018, la CNIL a adopté une Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. Les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnel en fait partie. Pour plus d’informations sur les analyses d’impact, voir le site de la CNIL.
Antérieurement, la CNIL avait adopté une Délibération portant autorisation unique aux termes de laquelle elle encadrait les dispositifs d’alertes professionnelles, ce référentiel est donc une source non négligeable quant aux attentes de la CNIL en la matière.
1. Les catégories de données collectées
Les catégories de données suivantes peuvent être traitées :
- identité, fonctions et coordonnées de l’émetteur de l’alerte professionnelle ;
- identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
- identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
- faits signalés ;
- éléments recueillis dans le cadre de la vérification des faits signalés ;
- compte rendu des opérations de vérification ;
- suites données à l’alerte.
L’émetteur de l’alerte professionnelle doit s’identifier mais son identité est traitée de façon confidentielle par l’organe chargé de la gestion des alertes.
Par exception, l’alerte peut être anonyme. Dans ce cas, elle devra être traitée sous les conditions suivantes :
- la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ;
- le traitement de cette alerte doit s’entourer de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif.
Par ailleurs, les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, et seulement avec le consentement de la personne.
Quant aux éléments de nature à identifier la personne mise en cause par un signalement, ils ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
2. Les durées de conservation
Selon la CNIL, lorsqu’une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.
Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.
Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure.
Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédures contentieuses.
3. Information des personnes
Concernant l’information des salariés, il convient de se reporter au III, A.
Concernant la personne visée par l’alerte, elle est informée du traitement de ses données par le responsable du dispositif dès la collecte des données la concernant, afin de lui permettre de s’opposer au traitement de ces données. Cette exigence de la CNIL est surprenante dans la mesure où l’opposition aurait pour conséquence de laisser l’alerte sans suite. La CNIL précise néanmoins : « Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures. »
Cette information, qui est réalisée selon des modalités permettant de s’assurer de sa bonne délivrance à la personne concernée, précise notamment :
- l’entité responsable du dispositif ;
- les faits qui sont reprochés ;
- les services éventuellement destinataires de l’alerte ;
- Les modalités d’exercice des droits d’accès et de rectification.
4. La mise en œuvre de mesures de sécurités appropriées
Parce que les données faisant l’objet de l’alerte sont particulièrement sensibles, il convient de mettre en œuvre des mesures de sécurités renforcées pour éviter tout risque de perte, d’altération des données.
Ainsi, la CNIL préconise que les accès aux traitements de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification. Ces accès sont enregistrés et leur régularité est contrôlée.
L’identité de l’émetteur d’une alerte et des personnes visées par l’alerte ainsi que les informations recueillies par l’ensemble des destinataires du signalement sont traitées de façon confidentielle.
IV. Les sanctions
Toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’une alerte est punie d’un an d’emprisonnement et de 15 000 euros d’amende.
Enfin, en cas de plainte pour diffamation abusive ou dilatoire contre un lanceur d’alerte, le plaignant est passible d’une sanction civile pouvant atteindre 30 000 euros.
Parce que la mise en place d’un tel dispositif fait appel à de nombreuses règles de droit qu’il convient de respecter, n’hésitez pas à vous faire conseiller par des professionnels du secteur (avocats, prestataires informatiques, juristes etc.).
[1] https://www.senat.fr/rap/l15-712-1/l15-712-111.html#toc79
Charlotte GALICHET
Sophie RENAUDIN