Le 16 avril, le Parlement européen a adopté une nouvelle directive relative à l’instauration d’un statut protecteur pour les lanceurs d’alerte. Bien que largement aligné sur les principes en vigueur de la loi Sapin 2, ce texte peut légitiment surprendre dans la mesure où il vient remettre en cause un mouvement encore fragile en France mais indispensable en matière de politique anti-corruption au sein des entreprises. Désormais, tout va se jouer au niveau des Etats membres qui ont un délai de deux ans pour transposer le dispositif européen.
Par Nicolas Guillaume, associé, Grant Thornton
Dès lors, l’enjeu principal pour les directions concernées (générale, financière, juridique, risques, RH…) est d’accorder cette nouvelle mouture avec les mesures effectives des huit piliers prévus par la loi Sapin 2. Rappelons d’ailleurs à ce titre l’étude menée par Grant Thornton qui indiquait qu’une écrasante majorité d’entreprises avaient déjà entrepris les travaux nécessaires pour permettre aux lanceurs d’alerte de s’exprimer tout en étant protégés. Plus précisément encore, elles n’étaient que 12 % à se déclarer «non conformes» sur ce sujet précis. La prochaine entrée en vigueur du texte européen impliquerait-elle alors un retour à la case départ pour les entreprises hexagonales ?
Fort heureusement, non ! La directive est proche des exigences de la législation française sur de nombreux points et l’architecture globale est relativement semblable.
Pour autant, certaines dispositions diffèrent et peuvent engendrer des risques accrus pour les entreprises. Ces dernières devront être vigilantes dans la conception de leurs dispositifs et encore plus dans leur mise en œuvre.
Procédure d’escalade, champ des personnes protégées et caractère désintéressé sont les priorités
Il s’agit certainement de l’évolution majeure qui pourrait impacter considérablement les pratiques. La loi française prévoit une procédure d’escalade passant progressivement d’une voie interne, auprès de la ligne hiérarchique ou d’un référent éthique désigné par l’entreprise, à une voie externe auprès des autorités judiciaires ou administratives avant un troisième et ultime niveau de «la révélation publique». La directive maintient ces trois voies de communication, mais elle permet au lanceur de l’alerte de privilégier le canal externe. Autrement dit, il peut donc informer directement les autorités. Charge aux entreprises de communiquer clairement sur cette possibilité et sur les procédures externes accessibles. Ce changement de paradigme peut légitiment se traduire par une anticipation inflationniste de déclenchements et donc d’impacts potentiels non négligeables, les alertes étant prises en charge par des acteurs externes à l’organisation.
Le second aspect notable porte sur le champ des personnes protégées. Alors que jusqu’à présent seuls les membres du personnel et les collaborateurs extérieurs ponctuels pouvaient bénéficier de ce statut, la directive va plus loin. Les actionnaires, les fournisseurs et sous-traitants sont désormais concernés mais également l’entourage du lanceur d’alerte qui intègre les personnes impliquées dans le déclenchement, les personnes morales et plus largement tous les tiers pouvant faire l’objet de représailles. Cette évolution doit conduire l’entreprise à revoir ses modalités de communication pour toucher l’ensemble des parties prenantes concernées. Elle doit également déployer ses mécanismes de prévention des représailles sur un périmètre élargi.
Enfin, la directive fait disparaître le caractère «désintéressé» du lanceur d’alerte, caractéristique requise par la loi Sapin 2 pour que ces derniers puissent bénéficier du régime de protection associé. Cette absence ouvre clairement la voie à la rémunération de l’auteur du signalement, piste qui avait d’ailleurs été ouvertement évoquée par l’Agence française anticorruption lors de différentes interventions. Au-delà de la question pécuniaire, ce changement pose également la question du statut pour les victimes. Ces dernières peuvent désormais obtenir réparation et peuvent donc de facto entrer dans le champ de la protection. Il convient encore une fois pour les entreprises d’en mesurer la portée. Si les champs du statut du lanceur d’alerte et de sa protection sont élargis, le nombre de signalements devrait naturellement croître.
Sanctions, protection des données, mécanismes d’information et assistance aux lanceurs d’alertes
En matière de sanctions, la directive vient compléter et préciser l’arsenal existant à ce jour dans l’Hexagone. Elle précise la nature des représailles interdites en donnant une liste plus exhaustive (harcèlement, dommage à la réputation…) et y ajoute également les procédures vexatoires. Les textes français identifiaient jusqu’alors seulement trois situations – l’entrave, le non-respect de la confidentialité et la diffamation – sans expliciter les sanctions associées. Ce sera désormais chose faite avec l’entrée en vigueur de cette directive. Pour le lanceur d’alerte également, les sanctions se renforcent avec une possibilité de dommages et intérêts en cas de signalement diffamatoire. Le montant est toutefois laissé à la discrétion des Etats membres.
Les mécanismes d’information en cas d’alerte évoluent également. Le texte européen précise les délais de communication, soit sept jours pour accuser réception et trois mois pour donner un suivi sur le traitement de l’alerte. Toutefois, il n’évoque pas les conditions d’information de la personne visée par l’alerte, au risque de fragiliser les «droits de la défense».
Sans surprise, la directive est en cohérence avec le RGPD et appelle à une gestion pertinente des données personnelles en autorisant une conservation pour une durée «nécessaire et proportionnée». Cependant, elle invite à garantir une traçabilité totale des alertes reçues ce qui implique de facto la mise en place de solutions technologiques adaptées. Le dernier point du texte concerne les lanceurs d’alerte. Elle prévoit en effet qu’il appartient aux Etats de veiller à ce que ces derniers aient un accès à une assistance juridique et des conseils indépendants gratuits.
Ainsi, si cette nouvelle approche européenne ne constitue pas pour les entreprises françaises une révolution au regard des mesures déjà prévues par la loi Sapin 2, elle s’inscrit malgré tout dans une dynamique de renforcement de ces dispositifs. Un plus grand nombre d’acteurs pourra lancer des alertes. Ils pourront s’affranchir de la voie interne, ils seront mieux protégés, ainsi que leur entourage, et ils pourront même être assistés dans leur démarche.
Tous ces éléments plaident pour que les entreprises professionnalisent encore plus leur dispositif en mettant des processus structurés et outillés mais également en mobilisant les compétences nécessaires, que ce soit en formant leurs collaborateurs à cette activité exposée ou en recherchant les compétences nécessaires à l’extérieur.
Plus encore, il est essentiel pour les entreprises de garder la main sur ce dispositif en incitant au mieux les collaborateurs à utiliser le canal de communication interne. Ceci passe indiscutablement par une communication précise sur le dispositif et un engagement sans équivoque sur les conditions de traitement des alertes et de protection de leurs émetteurs.
Enfin, même si les enjeux de compliance sont bien évidemment prégnants sur ce sujet, il est toujours bon de garder en tête que lorsque les conditions sont réunies, les dispositifs d’alertes constituent une des mesures les plus efficaces qui soit pour détecter des cas de fraude et de corruption. C’est donc l’intérêt premier des entreprises d’avoir des dispositifs bien conçus et rassurants pour leurs parties prenantes afin d’être en mesure de capter ces signaux faibles et d’apporter des réponses efficaces.
