Comment mettre en place un dispositif d'alerte conforme à la loi Sapin II ?

La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin II, a instauré une obligation de mettre en place des procédures d'alerte pour recueillir les signalements émanant du personnel ou des collaborateurs extérieurs ou occasionnels des personnes morales de droit public et des personnes morales de droit privé de plus de cinquante salariés[1].

La procédure a vocation à protéger les lanceurs d’alerte qui dénoncent de manière désintéressée et de bonne foi un crime, un délit, une violation grave et manifeste du droit ou une menace ou un préjudice grave pour l’intérêt général, dont ils ont eu personnellement connaissance. Il s’agit donc de mettre en place une procédure efficace pour d’une part, recueillir et traiter les signalements et d’autre part, sécuriser et protéger les lanceurs d’alerte.

Il faut préciser que la loi Sapin II instaure deux obligations distinctes : la mise en place du dispositif d’alerte de droit commun de l’article 8 pour les acteurs publics et les entreprises de plus de cinquante salariés mais aussi le dispositif d’alerte spécifique de l’article 17 II 2[2] pour signaler les conduites et situations contraires au code de conduite anticorruption.

Comme préconisé par l’AFA, pour plus de clarté pour les collaborateurs, il est conseillé de mettre en place un dispositif technique unique de recueil des signalements sous réserve d’ouvrir la possibilité de signalement aux personnels mais aussi aux collaborateurs extérieurs et occasionnels (personnel intérimaire, stagiaire, prestataire de service etc.).

Un dispositif d’alerte pouvant être géré en interne ou par un prestataire externe, avec le support d’une plateforme SaaS

Le décret de 2017 relatif aux procédures de recueil des signalements laisse le champ libre aux acteurs pour déterminer les modalités de cette procédure[3]. Les acteurs peuvent gérer leur dispositif en interne ou faire appel aux services d’un tiers, comme une plateforme SaaS. La gestion externalisée par une plateforme experte apporte généralement une sécurisation accrue sur le volet hébergement des données, par essence sensibles, qui sont collectées et facilite le traitement des alertes, en cloisonnant de manière plus efficace la circulation de l’information au sein de l’entité et en facilitant la gestion collaborative.

Tel que souligné par l’AFA, le sous-traitant doit disposer des compétences nécessaires au bon traitement des alertes et doit garantir la confidentialité. Il est donc conseillé aux assujettis de procéder à des contrôles réguliers pour vérifier que ces conditions sont bien remplies par le prestataire choisi.

Les étapes clés pour mettre en place un dispositif d’alerte interne

• Identification de(s) personne(s) en charge de la réception du signalement et du traitement des alertes: la personne qui recueille les alertes peut être un référent interne (supérieur hiérarchique direct ou indirect, employeur ou référent désigné par celui-ci) ou externe. Il est possible que plusieurs référents soient désignés en fonction du type d’alertes. En tout état de cause, il est nécessaire que les collaborateurs sachent vers qui est orienté leur signalement.

• Mise en place d’un processus clair et sécurisé précisant les modalités pour effectuer un signalement, échanger des informations et explicitant les modalités de traitement des alertes: les utilisateurs potentiels doivent en effet être informés des modalités de recueil et de traitement des alertes. Ils doivent être assurés du respect de la confidentialité des informations qu’ils transmettent.

• Mise en place d’un dispositif d’alerte conforme aux exigences du RGPD: à ce titre, il est nécessaire de suivre les prescriptions du Référentiel relatif au traitement de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles de la CNIL notamment s’agissant des destinataires des informations, des durées de conservation, de l’information du lanceur d’alerte et des personnes visées par le signalement etc. Le Référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

• Information et communication sur la mise en place du dispositif d’alerte auprès des collaborateurs en interne et en externe : le dispositif doit être présenté dans le code de conduite pour les assujettis à l’article 17 II 1° et doit faire l’objet d’une communication auprès de tous. La diffusion du dispositif doit se faire par tous moyens (note de la direction, affichage, site intranet, remise en main propre, etc.). Il est donc nécessaire de s’adapter à son public cible (notamment en prenant en compte l’accessibilité aux moyens de communication électronique).

• Formation et sensibilisation pour les personnels impliqués dans la gestion et le traitement des alertes : Ces personnes doivent être spécifiquement formées notamment sur les enjeux de confidentialité. Il est en effet important de souligner que la loi Sapin II précise que les procédures mises en œuvre pour recueillir les signalements doivent garantir une stricte confidentialité de l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies dans le cadre du traitement du signalement. La divulgation d’éléments confidentiels est susceptible d’être pénalement sanctionnée[4]. Il est également important de sensibiliser les collaborateurs à la protection que leur confère le statut de lanceur d’alerte et les conditions pour que cette qualité soit retenue. La formation et la sensibilisation doit également alerter les collaborateurs sur les risques inhérents à un usage abusif du dispositif.

• Mise en place d’un processus de suivi et d’évaluation du dispositif d’alerte : l’article 13 de la loi Sapin II précise que des sanctions pénales peuvent être prononcées à l’encontre des personnes qui font obstacle à la transmission des signalements[5]. Il est donc nécessaire de s’assurer qu’un dispositif jugé inadéquat et peu efficace ne puisse être susceptible de constituer un obstacle au signalement. De plus, en application de l’article 17 II 8° de la loi Sapin II, les assujettis doivent mettre en œuvre «un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre» donc notamment du dispositif d’alerte interne anticorruption. Il est donc nécessaire de mettre en place des contrôles à différents niveaux ainsi que des indicateurs (notamment sur le nombre d’alertes reçues, l’issue donnée après traitement de l’alerte, les délais de traitement, les problématiques soulevées) afin d’apprécier la qualité et l’efficacité du dispositif mis en œuvre.

[1] Article 8 de la loi n° 2016-1691 du 9 décembre 2016 (« III. – Des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels sont établies par les personnes morales de droit public ou de droit privé d’au moins cinquante salariés, les administrations de l’Etat, les communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions, dans des conditions fixées par décret en Conseil d’Etat »).

[2] Article 17 II 2° de la loi n° 2016-1691 du 9 décembre 2016 («2° Un dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société»).

[3] Article 1 du décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat (« I. – Les personnes morales de droit public autres que l’Etat ou les personnes morales de droit privé d’au moins cinquante agents ou salariés, les communes de plus de 10 000 habitants, les départements et les régions ainsi que les établissement publics en relevant et les établissements publics de coopération intercommunale à fiscalité propre regroupant au moins une commune de plus de 10 000 habitants établissent les procédures de recueil des signalements prévues au III de l’article 8 de la loi du 9 décembre 2016 susvisée, conformément aux règles qui régissent l’instrument juridique qu’ils adoptent »).

[4] Article 9 de la loi n° 2016-1691 du 9 décembre 2016 («I. – Les procédures mises en œuvre pour recueillir les signalements, dans les conditions mentionnées à l’article 8, garantissent une stricte confidentialité de l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement. Les éléments de nature à identifier le lanceur d’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de celui-ci […] II. – Le fait de divulguer les éléments confidentiels définis au I est puni de deux ans d’emprisonnement et de 30 000 € d’amende.»).

[5] Article 13 de la loi n° 2016-1691 du 9 décembre 2016 (« I. – Toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d’un signalement aux personnes et organismes mentionnés aux deux premiers alinéas du I de l’article 8 est punie d’un an d’emprisonnement et de 15 000 € d’amende.
II. – Lorsque le juge d’instruction ou la chambre de l’instruction est saisi d’une plainte pour diffamation contre un lanceur d’alerte, le montant de l’amende civile qui peut être prononcée dans les conditions prévues aux articles 177-2 et 212-2 du code de procédure pénale est porté à 30 000 € »).