Lanceurs d’alerte : êtes-vous préparés
aux nouvelles obligations introduites
par le projet de loi n° 7945 ?
La directive sur la protection des personnes qui signalent des violations du droit de l’Union européenne(1) (« les lanceurs d’alerte ») a été adoptée le 23 octobre 2019 (la « directive »).
À la lumière des cas rencontrés ces dernières années, il est évident que les lanceurs d’alerte jouent un rôle essentiel dans la défense de l’intérêt public. Néanmoins, ces derniers peuvent être dissuadés d’effectuer des signalements par peur de représailles ou de poursuites pénales. Il est donc apparu nécessaire au législateur européen d’introduire un cadre légal qui les protège spécifiquement. L’objectif de la directive est de pallier la fragmentation des législations actuelles dont la conséquence est la protection inégale des lanceurs d’alerte dans les États membres de l’Union européenne.
Au Luxembourg, la protection des lan- ceurs d’alerte repose actuellement sur plusieurs dispositifs épars, notamment par le biais de lois spécifiques dans le secteur financier(2). Le gouvernement luxembourgeois a déposé le 10 janvier 2022 à la Chambre des députés le projet de loi n° 7945 visant à transposer la directive (le « projet de loi »), alors que la date butoir de trans- position était fixée au 17 décembre 2021. Le présent article se propose de synthétiser le futur cadre juridique relatif aux lanceurs d’alerte en présentant le champ d’application matériel et personnel du projet de loi, les différents canaux de signalement à la disposition des lanceurs d’alerte ainsi que les conditions de protection de ces derniers.
Quelles sont les violations concernées et qui sont les lanceurs d’alerte protégés par le projet de loi ?
Si la directive vise à protéger les personnes qui signalent des violations dans un certain nombre de domaines spécifiques du droit de l’Union européenne, le projet de loi étend la protection du lanceur d’alerte à « toute violation du droit national et européen », sans exigence d’un degré de gravité particulier, dès lors que cette dernière est « constatée dans un contexte professionnel ».
Certaines informations seront toutefois exclues du régime de protection telles que les informations classifiées, celles ayant trait à la sécurité nationale ou encore celles couvertes par un secret (secret médical, secret des relations entre un avocat et son client ou secret de l’instruction). S’agissant du lanceur d’alerte, il est défini de manière extensive puisqu’il couvre les travailleurs au sens large (salariés du secteur public ou privé, fonctionnaires, stagiaires et bénévoles, anciens salariés et personnes en cours de recrutement), les partenaires commerciaux (les travailleurs indépendants, les salariés de sous-traitants et fournisseurs) ainsi que les membres de la gouvernance (actionnaires, membres de l’organe d’administration, de direction ou de surveillance).
Comment l’alerte sur la violation peut-elle être lancée ?
Lorsqu’elle aura des informations, y compris des soupçons raisonnables, concernant des violations, la personne pourra lancer l’alerte par le biais d’un ou plusieurs des canaux de signalement prévus par la directive, à savoir le canal interne (auprès de l’entité juridique), le canal externe (auprès des autorités compétentes) et la divulgation publique. Il s’agit d’un système par palier ayant pour objectif de maximiser les chances de résolution en interne et surtout d’éviter que le signalement ne soit porté à l’intention du public en première intention.
1. Le signalement interne
Le lanceur d’alerte devra privilégier le signalement en interne dès lors qu’il « est possible de remédier efficacement à la violation au sein de l’entité juridique » et lorsqu’il « estime qu’il n’y a pas de risque de représailles ». Cette seconde condition introduit ainsi une part de subjectivité dans le chef du lanceur d’alerte. Dans ce contexte, les entités juridiques de droit privé qui comptent 50 travailleurs ou plus et les entités juridiques du secteur public, y compris les administrations des communes de plus de 10.000 habitants, seront tenues de mettre en place une procédure de signalement interne. Il est à noter que ce seuil ne s’applique pas aux entités qui relèvent de certains secteurs déjà couverts par des règles spécifiques comme le secteur financier(3). Les entreprises concernées devront suivre de près l’état d’avancement du projet de loi car l’obligation de mettre en place un canal de signalement interne sera applicable dès l’entrée en vigueur de la future loi sauf pour les entités juridiques occupant entre 50 et 249 salariés qui auront un délai jusqu’au 17 décembre 2023.
Alors que le projet de loi prévoit que les entités juridiques précitées(4) pourront partager des ressources en ce qui concerne la réception des signalements et le suivi à effectuer, il reste silencieux sur la situation des groupes de sociétés qui ont déjà mis en place un canal de signalement interne centralisé et géré au niveau de la société mère de ce groupe. Il semble toutefois que ce canal « groupe » ne dispensera pas les entités concernées de mettre en place un canal interne propre(5). La justification de cette exigence serait l'efficacité des canaux de signalement, notamment en assurant leur proximité avec le lanceur d'alerte et la conformité avec les règles locales qui peuvent différer entre les pays européens.
La procédure de signalement interne devra présenter un certain nombre de garanties, à savoir préserver la confiden- tialité de l’identité de l’auteur du signale- ment et de tout tiers mentionné dans le signalement, et empêcher l’accès auxdits canaux aux personnes non autorisées. L’entité juridique devra désigner un res- ponsable du signalement qui pourra aussi bien être une personne, un service désigné au sein de l’entreprise ou un prestataire externe impartial pour qu’un suivi diligent des signalements puisse être effectué. Un accusé de réception devra être envoyé à l’auteur du signalement dans un délai de 7 jours à compter de la réception du signalement et le délai pour fournir un retour d’information ne devra pas excéder 3 mois à compter de l’accusé de réception.
Eu égard aux sanctions prévues à l’encontre des entités qui ne mettraient pas en place, dans le délai imparti, un canal de signalement interne (à savoir une amende administrative allant de 1.500 EUR à 250.000 EUR), il est fortement conseillé aux entreprises de se pencher dès à présent sur l’élaboration de leur procédure de signalement interne. Par ailleurs, compte tenu de la transversalité du sujet, les entreprises luxembourgeoises s’étant déjà volontairement soumises à cet exercice soulignent l’utilité de mobiliser différentes compétences internes et/ou externes (département des ressources humaines, département juridique et com- pliance, avocats, etc.) afin d’appréhender tous les aspects.
Il va sans dire que l’élaboration de la procédure de signalement interne devra intervenir dans le respect des attributions de la délégation du personnel, si elle existe au sein de l’entité juridique (procédure d’information-consultation ou codécision selon la taille de l’entité) ainsi que dans le respect des règles relatives à la pro- tection des données (en particulier les règles découlant du Règlement Général sur la Protection des Données).
2. Le signalement externe
Sur la base du texte actuel, 22 autorités seront compétentes pour recevoir des signalements dans les limites de leurs missions et attributions respectives. Il s’agit notamment de la Commission de Surveillance du Secteur Financier, le Com- missariat aux Assurances, le Conseil de la Concurrence, l’Inspection du Travail et des Mines, la Commission Nationale pour la Protection des Données, certaines administrations...
Il ne pourra être recouru au canal de signalement externe que dans certaines circonstances, à savoir lorsque les deux conditions du signalement interne ne sont pas remplies ou lorsque le signalement interne effectué en premier lieu est resté infructueux, ou enfin lorsque l’entité juridique n’a pas mis en place de canal interne (par défaillance ou lorsqu’elle compte moins de 50 salariés). Tout comme pour la procédure de signalement interne, le signalement externe pourra se faire par écrit ou oralement, a minima dans l’une des trois langues officielles du Luxembourg.
L’autorité compétente devra assurer un suivi diligent de tous les signalements reçus, sauf en cas de violation mineure ou en présence de signalements répétitifs et ne contenant aucune nouvelle information significative par rapport au signalement précédent. Un accusé de réception et un retour d’information devront être effectués dans les mêmes conditions que celles applicables en cas de signalement interne (le délai de retour d’information pourra toutefois être augmenté à 6 mois lorsqu’il sera justifié). Les autorités compétentes dispose- ront d’un pouvoir d’investigation et de sanctions assez large.
Un office des signalements sera aussi mis en place afin notamment d’informer et aider dans sa démarche toute personne souhaitant effectuer un signalement interne ou externe.
3. La divulgation publique
Par divulgation publique il faut entendre la mise à disposition d’informations sur des violations dans la sphère publique, par exemple dans la presse ou via les réseaux sociaux. En principe, la divulgation publique ne peut intervenir qu’« à titre subsidiaire » lorsque l’auteur du signalement a d’abord effectué un signalement interne et externe (ou externe directement) mais qu’aucune mesure appropriée n’a été prise. Un recours direct à la divulgation publique reste toutefois possible si le lan- ceur d’alerte a des motifs raisonnables de croire que la violation peut présenter un danger imminent ou manifeste pour l’intérêt public ou, lorsqu’en cas de signalement externe il existe un risque de représailles ou il y a peu de chance qu’il soit remédié à la violation en raison de circonstances particulières (destruction ou dissimulation de preuves, par exemple).
Quelle est la protection dont bénéficient les lanceurs d’alerte et sous quelles conditions ?
À condition qu’elles aient « des motifs raisonnables de croire que les informations étaient véridiques au moment du signa- lement et qu’elles relevaient du champ d’application de la loi », les personnes ayant lancé l’alerte conformément aux dispositions légales seront protégées contre toutes les formes de représailles, y compris les menaces et tentatives de représailles (licenciement, modification de contrat, discrimination, mise sur liste noire, etc).
Ainsi, si un lanceur d’alerte subit une mesure de représailles, il pourra faire constater en justice la nullité de la mesure ou solliciter des dommages et intérêts. Dans le cadre de cette procédure, le lanceur d’alerte pourra se prévaloir d’une présomption de représailles, pour autant qu’il puisse établir qu’il a effectué un signalement ou une divulgation publique et qu’il a subi un préjudice. Le projet de loi ne précise pas combien de temps, après le signalement ou la divulgation, il pourra être présumé que la mesure prise est liée au signalement ou à la divulgation publique, ce qui crée une certaine insécurité juridique.
Par ailleurs, les lanceurs d’alerte bénéficient d’une exclusion de responsabilité civile et pénale(6) par rapport à la révéla- tion de l’information, à condition qu’ils aient « des motifs raisonnables de croire que le signalement ou la divulgation était nécessaire pour révéler la violation ». A contrario, des sanctions pénales sont prévues à l’encontre du lanceur d’alerte qui aura sciemment signalé ou divulgué publiquement de fausses informations (peine d’emprisonnement de 3 jours à 3 mois de prison et une amende de 1.500 EUR à 50.000 EUR), sans préjudice de la possibilité pour l’entité de demander réparation du dommage subi devant la juridiction compétente. Un an après son dépôt, le projet de loi est toujours en discussion et suscite de nombreuses critiques.
Il y a donc fort à parier qu’il ne sera pas voté en l’état. Il n’en demeure pas moins que les entités dans le champ du projet de loi devraient d’ores et déjà anticiper la rédaction de leur future Whistleblowing policy, se rap- procher d’un prestataire de plateforme digitale de recueil et de traitement des alertes, et revoir leurs règles de gouver- nance internes, afin de se tenir prêtes dès l’entrée en vigueur de la loi.
(1) Directive 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union. (2) Loi du 5 avril 1993 relative au secteur financier ; loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme. (3) Article 8 paragraphe 4 de la directive. (4) Entités juridiques qui emploient entre 50 et 249 salariés. (5) Cf. Compte rendu de la cinquième réunion du groupe d'experts de la Commission sur la directive (UE) 2019/1937 du 14 juin 2021. (6) En cas d’atteinte à un secret protégé : exclu- sion de responsabilité pénale uniquement et sous certaines conditions.
PwC Legal