Une étude conduite en 2018[1] révèle l’ampleur du phénomène : près de 40 % des dirigeants d’entreprise ont quitté leur fonction pour des manquements à « l’éthique »[2], ce motif étant prévalant par rapport à celui lié aux performances financières. Selon cette étude, ce chiffre presque doublé par rapport à 2017 (26 %). Il est donc logique que les autorités européennes aient décidé d’obliger les entreprises à se doter d’un dispositif permettant d’améliorer l’efficacité du droit de l’Union au travers des alertes. Dans un mouvement similaire à la loi Sapin 2, la directive 2019/1937 du 23 octobre 2019 institue un cadre destiné à protéger les personnes qui signalent des violations du droit de l’Union (ci-après « la Directive »).
Un champ d’application étendu
Champ materiae. Le périmètre de la Directive est vaste et concerne tout le droit de l’Union (art. 1er). En comparaison, la loi Sapin 2[3] (art. 6) vise « […] une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement [sans précision de l’origine européenne ou non de ce règlement), ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ». Il s’agit d’établir des normes minimales communes pour la protection des personnes signalant les violations du droit de l’Union notamment en matière de : marchés publics et de services, produits et marchés financiers, prévention du blanchiment de capitaux et du financement du terrorisme, protection des consommateurs[4], protection de la vie privée et des données à caractère personnel, et sécurité des réseaux et des systèmes d’information[5]. Pour les établissements financiers, les domaines concernant sont directement les relations avec la clientèle de détail[6].
En tout état de cause, la Directive ne conduira pas à une réduction du champ d’application des signalements et divulgations puisqu’elle permet aux états d’étendre sa protection à l’ensemble des violations d’une loi ou d’un règlement (art. 2.2). Enfin, l’article 25-2 de la Directive prévoit que sa mise en œuvre « ne peut, en aucun cas, constituer un motif pour réduire le niveau de protection déjà offert par les États membres dans les domaines régis par la présente directive ».
Une protection destinée à un nombre croissant de personnes. Les personnes placées sous la protection de la Directive (article 4) sont également plus nombreuses que dans le dispositif de droit interne. On trouve, notamment, les actionnaires et les membres de l’organe d’administration, de direction ou de surveillance d’une entreprise, y compris les membres non exécutifs, les « facilitateurs »[7], ainsi que les tiers en lien avec les auteurs de signalements risquant de faire l’objet de représailles dans un contexte professionnel (collègues ou proches des lanceurs d’alerte). On soulignera que, dans le régime d’alerte anticorruption de la loi Sapin 2, ne sont visées que les personnes physiques membres du personnel, collaborateurs extérieurs et occasionnels ou les employés (art. 17).
La Directive semble ainsi rompre avec une ligne de démarcation fixée par le Conseil constitutionnel[8] lors de l’examen de la loi Sapin 2. Celle-ci ne concerne que les lanceurs d’alerte « émettant un signalement visant l’organisme qui les emploie ou l’organisme auquel ils apportent leur collaboration dans un cadre professionnel. Elle ne s’applique pas aux lanceurs d’alertes “externes” ». Cette évolution du texte laisse planer le risque d’une confusion entre alerte « professionnelle » et militantisme, notamment au travers des « facilitateurs » dont rien ne nous dit qu’ils doivent appartenir à l’entité concernée.
Une protection étendue
Conditions de la protection. La protection des lanceurs d’alerte est abordée de plusieurs façons. Tout d’abord, comme en droit français, cette protection est soumise à trois conditions cumulatives. Pour la loi Sapin 2, le signalement doit être fait « de manière désintéressée et de bonne foi » (art. 6). Pour la directive (art. 6-1, a et b), les auteurs de signalement bénéficiant d’une protection pour autant qu’ils aient eu des « motifs raisonnables de croire » que les informations signalées sur les violations étaient véridiques au moment du signalement et que ces informations entrent dans le champ d’application de la présente directive et qu’un signalement ait eu lieu, de manière interne[9], externe[10], ou publiquement[11].
On retiendra essentiellement que la condition liée au fait que le lanceur d’alerte ait personnellement connaissance des faits qu’il signale (art. 6, al. 1er) a disparu. La directive ne s’attarde pas sur la façon dont les informations sont connues, il serait ainsi possible de rapporter des faits constatés par autrui. La condition liée à l’action désintéressée, c’est-à-dire l’absence d’avantages en contrepartie de la dénonciation n’apparaît pas (cf. infra, aide financière). Cette évolution rendra caduque la jurisprudence[12] estimant qu’« il ne peut être considéré [que le lanceur d’alerte] avait agi de manière désintéressée » dans la mesure où sa démarche « concernait sa situation personnelle et ses rapports conflictuels avec sa direction ».
Enfin, les « motifs raisonnables de croire » doivent être vus comme la manifestation de la bonne foi du lanceur d’alerte[13]. Le caractère véridique « au moment du signalement » signifie que le lanceur d’alerte est protégé, y compris si les faits dénoncés s’avéraient finalement infondés.
L’anonymat. La Directive prévoit pour les États membres la possibilité de permettre les signalements anonymes (art. 6-2). Dans la loi Sapin 2, un droit à la confidentialité est prévu (repris à l’article 16 de la directive) au bénéfice des auteurs de signalements, des personnes visées et, plus généralement, des informations recueillies par l’ensemble des destinataires du signalement (art. 9). Cette confidentialité n’emporte pas pour autant la nécessité de garantir la possibilité pour un salarié de faire un signalement anonyme. L’article 5-I-3° du décret 2017-564 indique que la fourniture d’éléments permettant un échange avec le destinataire du signalement n’intervient que « le cas échéant », ce qui semble signifier qu’une alerte puisse ne pas donner lieu à tel échange, par exemple si elle est faite de manière anonyme. Mais ceci n’est qu’implicite.
On notera que la CNIL, dans sa délibération n° 2019-139 du 10 décembre 2019, précise (§ 5.4) que l’organisme ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et que le recours à l’anonymat est admis par défaut, si la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés.
Protection contre les représailles et aide financière. La loi Sapin 2 n’envisage de sanction disciplinaire qu’en présence d’une mauvaise foi du lanceur d’alerte.
L’article 19 de la Directive, propose une protection contre les représailles, « menaces de représailles et tentatives de représailles ». Celles-ci sont largement énumérées, de manière non limitative. On notera la mention d’une « orientation vers un traitement psychiatrique ou médical ». On soulignera que l’article 20 d prévoit que les États membres « peuvent prévoir une assistance financière et des mesures de soutien, notamment psychologique, pour les auteurs de signalement dans le cadre des procédures judiciaires ».
On se souvient que le Conseil constitutionnel[14] a censuré l’article 14 de la loi Sapin 2 prévoyant qu’une aide financière pouvait, sous certaines conditions, être accordée au lanceur d’alerte par le Défenseur des droits. Toutefois, on notera que le décret du 21 avril 2017[15] permet à l’administration fiscale, « à titre expérimental », d’indemniser « eu égard aux risques qu’elle estime prendre » la personne qui lui communique des informations conduisant à la découverte d’un manquement à certaines règles et obligations déclaratives fiscales.
Nous avons vu ci-dessus que l’action désintéressée, c’est-à-dire l’absence d’avantages en contrepartie de la dénonciation, n’est pas un critère retenu par la Directive. Les travaux de transposition auront à trancher la question de savoir si, au-delà de l’intérêt personnel, l’intérêt pécuniaire, disqualifie ou non l’alerte, faisant de la personne de son auteur, une sorte « d’indic rémunéré »[16]. Aux États-Unis, les rémunérations versées par les diverses agences évoluent entre 10 à 30 % des sommes recouvrées grâce à l’alerte[17].
Irresponsabilité. L’article 21 de la Directive prévoit qu’« aucune responsabilité d’aucune sorte » ne peut être encourue par le lanceur d’alerte si ce dernier a eu « des motifs raisonnables de croire que le signalement ou la divulgation publique de telles informations était nécessaire pour révéler une violation […] ». Le secret des affaires n’est pas un obstacle à un signalement[18].
Protection des données personnelles. Si, bien évidemment, le RGPD s’applique pleinement, on signalera que la CNIL a publié en décembre 2019[19] un référentiel relatif aux dispositifs d’alertes professionnelles (DAP), adopté le 18 juillet 2019[20]. Au titre des principales évolutions, ce document encadre les dispositifs résultant à la fois d’une obligation légale (« devoir de vigilance[21] » et loi Sapin 2 notamment), et ceux mis en place de manière volontaire (alertes « éthiques »). Il précise également les durées de conservation des données (§ 7).
Une hiérarchisation limitée des signalements
Si la loi Sapin 2 évoque les alertes, son décret d’application du 19 avril 2017 évoque quant à lui les « signalements », terme repris par la directive qui différencie les « signalements » interne et externe de la « divulgation » publique.
Au titre des signalements externes, on notera que la Banque centrale européenne elle-même, dans le périmètre décrit par le Règlement Cadre du mécanisme de surveillance unique (MSU)[22], peut recevoir des signalements relatifs à des infractions à certaines dispositions du droit de l’Union ou aux mesures nationales de transposition y afférentes[23].
Trilogie. La Directive reconnaît trois types d’« alertes ». Les signalements internes (art. 5-4)[24] et externes (art. 5-5)[25] effectués auprès d’autorités compétentes pour recevoir des signalements, fournir un retour d’informations et assurer un suivi des signalements et enfin, la divulgation publique (art. 15). Si ces trois « alertes » sont également prévues par la loi Sapin 2, la Directive rompt avec l’escalade prévue à l’article 8 de cette dernière[26].
Les articles 6, 7-2 et 15 a offrent le choix possible entre signalements internes et externes (auprès des autorités), la seule escalade étant celle de la divulgation publique. L’article 15-1-b de la Directive prévoit une exception à cette graduation en cas de danger imminent ou manifeste pour l’intérêt public, de risques de représailles, de faiblesse des chances de remédiation à la violation, de risques de dissimulation ou de destruction des preuves, ou bien encore, de collusion avec l’auteur de la violation (art. 10 – critères alternatifs). Dans ces cas, la divulgation publique est possible.
Il n’est pas certain que la mise sur un pied d’égalité des signalements internes et externes soit la réponse opportune aux questions soulevées par la notion de « délai raisonnable » laissé à l’entreprise par la loi Sapin 2 (art. 8-1, al. 2) pour traiter l’alerte avant escalade, non plus qu’à celle soulevée par le délai de trois jours(art. 8-1, al. 3) applicable aux autorités compétentes pour traiter une alerte.
Transposition : les écueils à éviter. Les travaux de transposition auront à éviter de nombreux écueils[27]. Nous en retiendrons deux principaux. Le premier est d’éviter un glissement du lanceur d’alerte vers le sycophante[28] et le second d’éviter une instrumentalisation trop aisée des signalements et divulgations.
Le premier écueil est lié à une éventuelle « vénalité » du signalement, évoquant la situation des sycophantes athéniens qui percevaient une partie, sinon la totalité, de l’amende sanctionnant un comportement répréhensible ou, plus proche de nous, celles des lanceurs d’alerte outre-Atlantique. Ainsi, l’administration fiscale américaine aurait versé 104 millions de dollars à Bradley Birkenfeld dans une affaire UBS[29]. Un acte socialement utile doit-il faire l’objet d’une rétribution ? Peut-on tout à la fois défendre les intérêts de la Société et, dans le même temps, défendre les siens propres ?
Le second est le risque d’instrumentalisation des signalements et divulgations à des fins de représailles d’un salarié ou ex-salarié, l’article 4-2 de la Directive visant les auteurs de signalements qui « signalent ou divulguent publiquement des informations sur des violations obtenues dans le cadre d’une relation de travail qui a pris fin depuis ». On ne doit pas perdre de vue que l’accroissement des domaines dans lesquels s’applique la Directive conduit à inclure dans son périmètre le droit de la consommation.
Or la directive 2019/2161 du 27 novembre 2019 relative à une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs[30] conduit à une augmentation drastique des sanctions en cas d’infraction dans le domaine qui est le sien.
Cette directive prévoit aussi des amendes au moins égales à 4 % du CA annuel dans l’État ou les États membres, ou au moins 2 millions d’euros si les informations sur le CA ne sont pas disponibles. Ces sanctions sont assorties d’un bonus malus tenant compte notamment des éventuels bénéfices retirés de l’infraction aux dispositions protectrices des consommateurs ou bien encore « toute autre circonstance aggravante ou atténuante ». En pareil cas, des informations internes sont susceptibles de peser lourdement.
Lanceurs d’alerte – Signalement – Loi Sapin 2 – Droit de l’Union – Manquements.
[1] https://www.pwc.fr/fr/espace-presse/communiques-de-presse/2019/juillet/nouveau-record-mondial-turnover-dirigeants-entreprise.html.
[2] Au sens de l’étude : manquement à l’éthique comme la destitution d’un dirigeant à la suite d’un scandale ou d’un comportement inapproprié (acte frauduleux, corruption, délit d’initié, désastre écologique, CV mensonger et harcèlement sexuel, etc.
[3] Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
[4] Sont notamment visées dans l’annexe, les directives relatives aux pratiques commerciales déloyales, à la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et à l’accès à un compte de paiement assorti de prestations de base, au crédit à la consommation et immobilier.
[5] Violations de la directive (UE) 2016/1148 dite « NIS » pour « Network and Information Security ».
[6] Notamment, à ce titre, sont notamment visées dans l’annexe les directives relatives aux pratiques commerciales déloyales, à la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et à l’accès à un compte de paiement assorti de prestations de base, au crédit à la consommation et immobilier).
[7] « […] personne physique qui aide un auteur de signalement au cours du processus de signalement dans un contexte professionnel et dont l’aide devrait être confidentielle » (art. 5, § 8).
[8] Cons. Const., n° 2016-741 DC du 8 décembre 2016, § 7.
[9] « Communication orale ou écrite d’informations sur des violations au sein d’une entité juridique du secteur privé ou public » (art. 5-4).
[10] « Communication orale ou écrite d’informations sur des violations aux autorités compétentes » (art. 5-5).
[11] « Mise à disposition dans la sphère publique d’informations sur des violations » (art. 5-6) – Divulgation à la presse.
[12] CA Lyon 24 octobre 2019 sur renvoi de la Cour de Cassation 17 oct. 2018 (n° de pourvoi : 17-80485), affaire dite TEFAL.
[13] Les dénonciations calomnieuses sont réprimées au titre de l’article 222-10 du Code pénal.
[14] Décision n° 2016-741 DC du 8 décembre 2016. Le Conseil s’est toutefois borné à dire que le Défenseur des droits était incompétent pour accorder une telle aide.
[15] Décret n° 2017-601 du 21 avril 2017 pris pour l’application de l’article 109 de la loi n° 2016-1917 du 29 décembre 2016 de finances pour 2017.
[16] Loi n° 95-73 du 21 janvier 1995, art. 15-1 al. 1er. « Les services de police et de gendarmerie ainsi que les agents des douanes habilités à effectuer des enquêtes judiciaires en application de l’article 28-1 du code de procédure pénale peuvent rétribuer toute personne étrangère aux administrations publiques qui leur a fourni des renseignements ayant amené directement soit la découverte de crimes ou de délits, soit l’identification des auteurs de crimes ou de délits. »
[17] V. D. Schimmel, « Le whistleblowing, auxiliaire de l’État ? Conventions » : http://convention-s.fr/decryptages/le-whistleblowing-auxiliaire-de-letat/.
[18] Décret n° 2017-601 du 21 avril 2017 pris pour l’application de l’article 109 de la loi n° 2016-1917 du 29 décembre 2016 de finances pour 2017.
[19] https://www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-professionnelles_decembre-2019.pdf.
[20] Délibération n° 2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles.
[21] Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.
[22] Règlement n° 468/2014 de la banque centrale européenne du 16 avril 2014 établissant le cadre de la coopération au sein du mécanisme de surveillance unique entre la Banque centrale européenne, les autorités compétentes nationales et les autorités désignées nationales (règlement-cadre MSU).
[23] Article 36 du Règlement ci-dessus.
[24] Définie comme la « […] communication orale ou écrite d’informations sur des violations au sein d’une entité juridique du secteur privé ou public ».
[25] Les États membres doivent désigner les autorités compétentes pour recevoir les signalements, fournir un retour d’informations et assurer un suivi des signalements, et mettent des ressources suffisantes à la disposition desdites autorités. L’AMF et l’ACPR se sont dotées de services ad hoc en février et décembre 2018. Cf. V. C. Mathonniere, « L’ACPR organise à son tour la protection des lanceurs d’alerte », RLDA, n° 134, 1er février 2018.
[26] Le II de l’article prévoit toutefois une dérogation à cette escalade « en cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles ».
[27] La directive prévoit que les États membres doivent mettre en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour s’y conformer au plus tard le 17 décembre 2021.
[28] Personnes qui dénonçaient les voleurs de figues à Athènes.
[29] « La rémunération des “whistleblowers” fait débat », Les Échos, 15 juill. 2015.
[30] Dir. 2019/2161 du 27 novembre 2019 : JOUE du 18 décembre.
