Par Pascal Durand-Barthez – Juin 2022
L’évolution récente de la loi relative aux lanceurs d’alerte pose à nouveau la question du contrôle par le Conseil d’administration de l’adéquation et de l’efficacité du dispositif de signalement mis en place par l’entreprise
La loi du 21 mars 2022, dite loi Waserman, a modifié une fois de plus le régime de protection des lanceurs d’alerte.
Cette notion est maintenant bien connue des entreprises françaises. Le whistleblowing, c’est-à-dire la possibilité pour les citoyens de signaler des faits illégaux ou dangereux, est une tradition ancienne dans les pays anglo-saxons, mais elle a eu plus de mal à s’imposer en France en raison d’une réticence compréhensible à ce qui s’apparente à la délation. Néanmoins, un certain nombre de lois récentes ont organisé la protection des lanceurs d’alerte, correspondant initialement à des thématiques spécifiques (lutte contre la corruption, sécurité sanitaire, éthique de la vie publique).
La loi Sapin II du 9 décembre 2016 a apporté une réforme d’ensemble au régime. Elle comporte d’une part un régime général (art. 6 et suivants) qui a été modifié par la loi du 21 mars 2022, et d’autre part un régime spécifique à la lutte contre la corruption (art. 17) qui s’applique aux sociétés employant plus de 500 salariés et générant un chiffre d’affaires supérieur à 100 millions d’euros, et qui n’a pas été modifié par la nouvelle loi.
Entre temps, l’Union européenne a adopté une directive sur le sujet le 23 octobre 2019, et le législateur français a dû la transposer en droit national. Comme il arrive souvent, il a saisi l’occasion pour aller plus loin que ne le demandait la directive. A vrai dire, le régime institué par la loi Sapin II était très critiqué par les ONG, notamment à cause des difficultés résultant du fait que le lanceur d’alerte devait obligatoirement saisir sa hiérarchie avant de poursuivre sa démarche.
Définition plus large du lanceur d’alerte
Le régime issu de la nouvelle loi s’applique à toutes les personnes morales de droit privé, donc y compris par exemple les associations, employant plus de 50 salariés. On y trouve une nouvelle définition, plus large que précédemment, du lanceur d’alerte : « une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation [du droit international] ou du droit de l’Union Européenne, de la loi ou du règlement ». ll s’agit de faits dont cette personne a connaissance dans le cadre de ses activités professionnelles, y compris dans ce cas de faits qui lui ont été rapportés, ou de faits dont elle a personnellement connaissance.
Les canaux de signalement sont simplifiés. La loi Sapin II prévoyait une alerte en trois temps : signalement interne, puis en l’absence de réaction signalement à l’autorité administrative, judiciaire ou ordinale, et « en dernier ressort » divulgation publique (c’est-à-dire à la presse ou sur les réseaux sociaux). Cette « escalade » n’est plus obligatoire, et le lanceur d’alerte peut désormais choisir entre
le signalement interne et le signalement à l’autorité publique compétente, au Défenseur des Droits ou à la justice, voire à un organe européen. Les personnes morales de droit privé employant plus de 50 salariés sont tenues d’établir une procédure interne de recueil et de traitement des signalements, après consultation des instances de dialogue social.
Sont interdites toutes les formes de représailles, énumérées dans une longue liste (sanctions disciplinaires, mesures de discrimination, etc.) que la loi de 21 mars 2022 a encore complétée : intimidation, atteinte à la réputation sur les réseaux sociaux, orientation abusive vers des soins psychiatriques, inscription sur une liste noire, etc.
Cette protection s’applique au lanceur d’alerte anonyme si son identité vient à être révélée. Elle est élargie aux « facilitateurs », c’est-à-dire à toute personne physique ou toute personne morale de droit privé à but non lucratif (notamment syndicat ou association) qui aide un lanceur d’alerte à effectuer un signalement ou une divulgation légale, ainsi qu’à l’entourage du lanceur d’alerte et aux entités pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.
Responsabilités des conseils d’administration
Il est clair que les conseils d’administration, au titre de leur fonction de contrôle des risques, doivent se préoccuper tant de la façon dont la société est organisée pour traiter les « alertes » éventuelles que de la façon dont elle réagit effectivement quand celles-ci surviennent. En premier lieu, si la société remplit les critères de l’article 17 de la loi Sapin II (au moins 500 salariés et 100 millions de chiffre d’affaires), elle est tenue de mettre en place un dispositif de prévention anti-corruption, dont un « dispositif de recueil des signalements » est l’un des éléments prescrits par la loi. Certes, l’obligation porte expressément sur les présidents, directeurs généraux, gérants et membres de directoires, mais il va de soi que le conseil d’administration doit s’assurer de l’existence et de l’adéquation du dispositif.
Mais même si ce régime spécifique ne s’applique pas, il est nécessaire de mettre en place un tel dispositif (c’est-à-dire en pratique de désigner une personne dans l’organisation pour traiter les signalements, et lui dédier une ligne téléphonique ou une adresse de messagerie protégée), ce qui permet d’inciter les lanceurs d’alerte internes éventuels à emprunter en priorité la voie interne.
Faut-il pour autant que les administrateurs, ou l’un d’entre eux, soient impliqués directement dans le processus ? A notre avis, c’est inutile et générateur de confusion. Tout d’abord, l’expérience prouve que ces lignes directes font remonter une grande proportion de problèmes mineurs ou infondés (dénonciations calomnieuses, sanctions ou refus de promotion attribués à une discrimination, etc.) qu’il faut désamorcer à l’échelon qu’ils méritent. Mais le conseil doit veiller à recevoir un rapport régulier sur les signalements, qu’ils soient ou non issus du dispositif ainsi mis en place, et sur la suite qui leur est donnée.
Dans tous les cas, il est toujours préférable d’avoir perdu du temps sur une affaire qui apparait ultérieurement dépourvue de signification que d’avoir négligé ou laissé fermer les yeux sur le signalement d’une situation réellement dangereuse pour l’entreprise.