Le 16 décembre 2019, la directive européenne sur les lanceurs d’alerte relative à la protection des personnes qui signalent des violations du droit de l’Union est entrée en vigueur. Les États membres sont tenus de transposer la directive dans leur législation nationale jusqu’au 17 décembre 2021.
Le champ d’application de la directive est immense. Elle réglemente la matière sur l’ensemble du continent, qui compte 450 millions de citoyens et 22,5 millions de PME, dont beaucoup seront directement touchées par la directive.
La directive exige que les entités juridiques mettent en place des canaux internes de notification et des procédures internes pour la réception et le suivi des rapports. Voici quelques-uns des principaux points à retenir pour les praticiens.
Les seuils généraux à retenir sont 50 travailleurs et/ou 10.000 habitants. La directive européenne sur les dénonciateurs s’applique aux entités juridiques du secteur privé comptant au moins 50 travailleurs. Dans certains secteurs, ce seuil ne s’applique pas du tout et les canaux internes sont obligatoires, quelle que soit la taille de l’effectif.
Dans le secteur public, l’obligation de disposer d’un canal de communication interne s’applique à toutes les entités juridiques. Toutefois, il faudra également se référer au droit national, car les États membres sont autorisés à prévoir des dérogations à cette règle générale. C’est-à-dire qu’ils peuvent exempter les municipalités de moins de 10 000 habitants ou de 50 travailleurs, ainsi que d’autres entités du secteur public de moins de 50 travailleurs.
Le canal de signalement doit permettre le signalement par écrit, oralement ou les deux. Chaque rapport reçu doit être enregistré. Dans le cas d’un signalement oral, la personne concernée doit pouvoir demander une rencontre physique avec les membres du personnel dans un délai raisonnable. La réunion peut être documentée soit par un enregistrement de la conversation sous une forme durable et récupérable, soit par un compte rendu précis de la réunion préparé par les membres du personnel chargés de traiter le rapport.
Le rapporteur doit avoir la possibilité de vérifier, rectifier et approuver le procès-verbal de la réunion en le signant. Des dispositions similaires s’appliquent à l’enregistrement d’autres rapports oraux soumis par téléphone ou par d’autres systèmes de messagerie vocale. La durée de conservation d’un rapport dépend de ce qui est nécessaire et proportionné pour se conformer à la directive, au droit de l’Union ou au droit national.
Le canal de notification interne doit être mis à la disposition des travailleurs de l’entité.
La directive européenne sur les lanceurs d’alerte elle-même n’exige pas que le portail d’alerte soit également accessible à d’autres personnes (par exemple, les fournisseurs, les sous-traitants…) pour signaler des informations sur les violations. Toutefois, ces derniers peuvent à tout moment soumettre leurs rapports par le biais de canaux de communication externes. L’utilisation de ces derniers n’est pas conditionnée par l’utilisation préalable des canaux de notification internes.
La loi sur les dénonciateurs ne prévoit pas d’obligation générale d’accepter et de donner suite aux rapports anonymes de violations. Les États membres sont libres de décider d’introduire ou non une telle exigence dans leur législation nationale. Toutefois, la décision d’accepter et de suivre uniquement les rapports dont l’identité des personnes déclarantes est divulguée peut s’avérer difficile à prendre. En effet, les méthodes de confirmation de l’identification sont limitées et constituent un obstacle supplémentaire pour un dénonciateur. En outre, une telle approche n’est pas conforme aux meilleures pratiques. Ne pas accepter un rapport uniquement parce qu’il a été fait de manière anonyme et indépendamment de son contenu n’a guère de sens. Très souvent, l’anonymat peut être la meilleure, voire la seule, protection du dénonciateur contre les représailles.
L’identité du déclarant ne peut être divulguée qu’avec le consentement explicite de cette personne, ou lorsque cette divulgation est nécessaire et proportionnée en vertu du droit de l’Union ou du droit national.
Le canal de notification est tenu d’assurer la protection de la confidentialité de l’identité de la personne notifiée et de tout tiers mentionné dans la notification et d’empêcher l’accès à celle-ci par des membres du personnel non autorisés.
L’identité du déclarant ne peut être divulguée à quiconque en dehors du personnel autorisé sans le consentement explicite de cette personne, ou lorsque cette divulgation est nécessaire et proportionnée en vertu du droit de l’Union ou du droit national. La personne concernée doit être informée de cette dernière avant la divulgation, sauf si cette information risque de compromettre les enquêtes ou les procédures judiciaires en cours. Le même devoir de confidentialité s’applique également à toute autre information dont l’identité du déclarant peut être directement ou indirectement déduite.
Les entités juridiques doivent établir des procédures pour les rapports internes et leur suivi diligent. Les informations doivent être claires et facilement accessibles.
Les procédures doivent donc réglementer le signalement lui-même, ainsi que toute mesure qui sera prise par le destinataire d’un signalement pour évaluer l’exactitude des allégations faites dans le signalement et, le cas échéant, pour remédier à la violation signalée, y compris par des actions telles qu’une enquête interne, une investigation, des poursuites, une action en recouvrement de fonds ou la clôture de la procédure.
En vertu de la loi sur la dénonciation, les informations relatives à l’utilisation des canaux de signalement internes et aux procédures de signalement externe aux autorités compétentes doivent être claires et facilement accessibles.
Selon la directive européenne sur les dénonciations, les rapports peuvent être traités en interne ou par un prestataire tiers. l’indépendance et l’absence de conflit d’intérêts doivent être assurées. Une personne ou un service doit être désigné pour gérer les canaux de rapport internes.
Ce dernier comprend la réception des rapports et le maintien de la communication avec le déclarant, ainsi que la demande d’informations complémentaires et le retour d’informations à ce déclarant. Cette tâche peut être confiée à des prestataires tiers tels que des avocats externes, des fournisseurs de plateformes de reporting externes, des cabinets d’avocats, des auditeurs, des représentants des employés, etc. Des garanties et des sauvegardes efficaces en matière d’indépendance, de confidentialité, de protection des données et de secret doivent également être mises en place chez les prestataires de services tiers. Le suivi du rapport peut être effectué par une personne ou un service désigné, compétent et impartial. Cette personne ou ce service peut être le même que celui qui exploite le canal de reportage. L’identité de cette personne ou de ce service dépend de la taille et de la structure de chaque organisation. Cependant, la personne ou le service le plus approprié doit avoir cette fonction dans l’organisation, afin de garantir l’indépendance et l’absence de conflit d’intérêts. Ces tâches sont généralement accomplies par un responsable de la conformité ou des ressources humaines, un responsable de l’intégrité, un responsable juridique ou de la confidentialité, un responsable financier, un responsable de l’audit ou un membre du conseil d’administration. Les entités juridiques privées comptant entre 50 et 249 travailleurs sont autorisées à partager les ressources pour la réception des rapports et la conduite des enquêtes qui s’ensuivent.
En vertu de la directive européenne sur les dénonciateurs, la personne concernée doit être informée de la réception du rapport dans les sept jours et recevoir un retour d’information au plus tard trois mois après. Un accusé de réception doit être envoyé à la personne concernée dans les sept jours suivant la réception du rapport. Il n’y a pas d’exemption à cette obligation, alors qu’en cas de déclaration externe, l’autorité compétente peut omettre cet accusé de réception lorsque la personne déclarante le demande explicitement ou lorsqu’elle estime raisonnablement que cela compromettrait la protection de l’identité de la personne déclarante.
Les procédures internes doivent définir un délai raisonnable pour fournir un retour d’information à la personne concernée. Celle-ci ne peut excéder trois mois à compter de l’accusé de réception ou de l’expiration du délai de sept jours susmentionné.
Le retour d’information est tenu d’informer le déclarant de l’action envisagée ou entreprise à titre de suivi et des motifs de ce suivi. Si aucune mesure appropriée n’est prise dans ce délai, le déclarant peut divulguer publiquement la violation et continuer à bénéficier de la protection contre les représailles prévue par la loi sur la dénonciation. Bien entendu, le caractère approprié du suivi est une norme juridique et son évaluation dépendra des circonstances de chaque cas et de la nature des règles qui ont été signalées comme ayant été violées.
Il n’y a pas de délai défini dans lequel les actions de suivi de l’entité doivent avoir été réalisées. Cependant, plus ils prennent du temps, plus il est probable que les actions, le cas échéant, seront considérées comme inappropriées, ce qui incitera la personne concernée à utiliser des canaux de signalement externes ou à rendre publique la violation.
Contrairement aux rapports externes, il n’y a pas d’obligation explicite de communiquer au déclarant le résultat final des enquêtes déclenchées par le rapport.
Trusty est une plateforme de conformité construite par des experts de premier plan pour soutenir les entreprises dans leur démarche de conformité. Elle propose des solutions de dénonciation gratuites pour les PME et une large gamme de solutions de gestion de la conformité instantanées et abordables. www.trusty.report
To use Trusty for your company free of charge, please fill out the following form. You will receive the link to your personal login and all further information from us shortly.
Pour utiliser Trusty gratuitement pour votre entreprise, veuillez remplir le formulaire suivant.
Vous recevrez sous peu le lien vers votre login personnel et toutes les informations complémentaires.