Lanceurs d’alerte : quelles évolutions significatives après la loi de transposition ?
La directive européenne du 23 octobre 2019 a pour but de renforcer la protection des personnes qui signalent des violations du droit de l’Union. Elle a été élaborée pour accentuer la protection des lanceurs d’alerte en raison de l’approche « inégale et fragmentée » au niveau national, selon les propos de la Commission européenne. Les États membres de l’Union européenne avaient donc jusqu’au 17 décembre 2021 pour la transposer en droit interne. Aucun ne l’a fait dans les temps impartis, mais plusieurs pays ont adopté une loi de transposition en janvier. Au jour de la réunion de cette table ronde, la France discute encore des contours de la loi au Parlement. Mais cette transposition va-t-elle vraiment révolutionner le système français qui bénéficie, depuis 2016, des dispositions de la loi Sapin 2 ? Quels sont les apports du texte et les changements pratiques pour les entreprises ? Quelles sont leurs craintes ?
Avec : Jean-Baptiste Carpentier, directeur de la conformité, groupe Veolia, Valérie-Esther Penda, responsable du pôle conformité (éthique, risques & assurances), Solocal, Christophe Mistral, general counsel - litigation & compliance, Renault, Olivier Dorgans, associé, Ashurst, Lucie Chevallereau, responsable du pôle reporting et risques, direction éthique, compliance et privacy, Engie, Nicola Bonucci, associé, Paul Hastings, Marie-Victoire Barsi, group legal & compliance director, Babilou, Constance Rivière, secrétaire générale, Défenseur des Droits, Bernard Cazeneuve, associé, August Debouzy ;
Le contexte international de l’adoption de cette directive
Nicola Bonucci : La directive européenne du 23 octobre 2019 a été adoptée dans un contexte international porteur. Dans un premier temps, les textes sur les lanceurs d’alerte étaient plutôt élaborés aux niveaux nationaux, comme en France avec la loi Sapin 2, puis les textes internationaux se sont enchaînés. Une résolution du groupe de travail anticorruption du G20 a été adoptée, sous la présidence japonaise, en 2019. Une recommandation de l’OCDE, publiée le 26 novembre 2021, comprend une section sur les lanceurs d’alerte. Le mouvement est donc également lancé sur le plan international. La directive européenne, qui vise à éviter une fragmentation de l’approche de la protection des lanceurs d’alerte, a-t-elle pour autant atteint son but ? Les débats au sein de chaque pays de l’Union européenne tendent pour l’instant à indiquer le contraire.
Olivier Dorgans : Les pays européens ont des maturités juridiques différentes sur les problématiques touchant aux lanceurs d’alerte. Les droits de la compliance – notamment dans les protections offertes aux lanceurs d’alerte – ne sont pas au même degré d’avancement. À l’époque où le Royaume-Uni faisait encore partie de l’Union européenne, il était en avance de phase sur ces thématiques. Le Brexit a mis en exergue les disparités qui existaient au sein de l’Union en matière de protection des lanceurs d’alerte et de gestion de ces mêmes alertes. On retrouve de manière schématique, les blocs scandinaves et allemand d’un côté, les blocs d’Europe de l’Est et une partie de l’espace méditerranéen de l’autre, et enfin la France, qui a longtemps fait figure de fer de lance en la matière. Cette fragmentation européenne appelait très clairement l’adoption d’un texte européen imposant une harmonisation a minima.
Mais cette harmonisation, qui, rappelons-le, porte avant tout sur les contraventions au droit de l’Union, n’est pas sans poser de difficultés pour des pays comme la France qui disposent déjà d’un cadre réglementaire robuste qu’il va falloir adapter sans pour autant revenir sur des droits nationaux acquis déjà consacrés (au nom du principe dit de non-régression). Cet exercice de réconciliation entre cadres européen et français a déjà donné lieu à de vifs débats et passe d’armes entre l’Assemblée nationale et le Sénat et une Commission mixte paritaire se tiendra, dans quelques jours, le 1er février 2022. La France, qui est déjà dotée d’un dispositif efficace, pourrait être tentée par une surtransposition et une surprotection des lanceurs d’alerte, comme certains sénateurs l’ont déjà relevé et la question de l’équilibre entre les textes n’a toujours pas été tranchée.
Christophe Mistral General counsel - litigation & compliance, Renault
Bernard Cazeneuve : Au début des années 2010, la France a souhaité mettre en place un statut des lanceurs d’alerte et son positionnement volontariste en Europe n’a pas été sans effet sur la dynamique d’adoption de la directive européenne n° 4398, visant à améliorer la protection des lanceurs d’alerte. Le premier texte français qui évoque la possibilité pour des lanceurs d’alerte d’être reconnus dans leurs droits et protégés date en réalité de 2013. C’est au lendemain de l’affaire, dite Cahuzac, que le gouvernement français a pris un ensemble de dispositions législatives en vue de lutter contre la fraude fiscale et la grande délinquance financière et à assurer la transparence de la vie publique. Ces deux textes veillaient à recréer de la confiance entre les responsables publics et les citoyens. Dans la loi n° 2013-1117 du 6 décembre 2013, relative à la lutte contre la fraude fiscale et la grande délinquance financière, est évoquée la possibilité pour les lanceurs d’alerte d’être protégés, à condition toutefois que leur action dénonce des infractions pénales graves, qu’elle soit engagée de bonne foi et que les faits dénoncés aient été portés à leur connaissance dans le cadre de leur activité professionnelle. Entre 2013 et 2016, certaines organisations non gouvernementales (ONG) ont considéré que la France était mal classée parmi les pays qui luttent contre la corruption. Elles ont alors demandé le rehaussement des dispositifs législatifs français relatifs à ces matières. Un groupe de travail parlementaire a alors été constitué, animé par les parlementaires Karine Berger et Pierre Lellouche, qui a constaté que la faiblesse des dispositions législatives destinées à prévenir et à sanctionner la corruption expliquait, en partie, l’extraterritorialité de l’intervention du juge américain. De ce constat a résulté le rehaussement de la législation française.
Dans la loi n° 2016-1691 du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin 2, deux lignes d’alerte ont été instituées. D’abord celle des articles 6 et suivants qui permet de lancer des alertes sur tout manquement à des obligations issues des textes législatifs et réglementaires nationaux et aux engagements internationaux de la France. Le spectre des sujets couverts était donc très large. S’agissant des entreprises de plus de 50 salariés, les alertes pouvaient être lancées par des collaborateurs permanents ou occasionnels. Le dispositif d’alerte pouvait se déployer en plusieurs étapes : il convenait dans un premier temps de saisir le référent éthique, désigné au sein de l’entreprise. Si l’alerte n’était pas traitée dans un délai raisonnable, le lanceur d’alerte pouvait choisir un canal externe. Seules des circonstances particulièrement graves pouvaient justifier de la mobilisation du canal externe sans saisine préalable du référent désigné par l’entreprise. La directive européenne apporte encore plus de souplesse à ce dispositif. Elle ajoute notamment les infractions liées au droit de l’Union à toutes les autres. La seconde ligne d’alerte, prévue par l’article 17 de la loi Sapin 2 concernait les manquements au code de conduite de l’entreprise.
Les points bloquants de la transposition de la directive
Nicola Bonucci : Les pays scandinaves ont longuement débattu de l’article 8 de la directive – discussion qui n’est d’ailleurs pas apparue officiellement dans le débat législatif français. Or cette disposition est très importante pour les entreprises. La directive européenne permet-elle d’avoir un mécanisme consolidé de signalement pour des entreprises ayant des filiales dans plusieurs pays de l’Union européenne ? La lecture qui a été faite par le Parlement danois vise à accorder une certaine flexibilité sur ce point. La Commission, elle, a une lecture bien plus restrictive de cette disposition : si une entreprise a une, ou plusieurs, filiales comprenant plus de 250 salariés dans différents pays de l’Union, elle doit avoir un système local, filiale par filiale. La Commission propose une sorte de système dual dans lequel le mécanisme d’alerte doit être instauré par filiale, avec une possibilité de reporting au niveau central, mais seulement avec le consentement du lanceur d’alerte. Pour des spécialistes de la conformité, ce système n’a aucun sens et peut être dangereux car l’entreprise risque ainsi de perdre des informations. Toute la philosophie de la directive européenne visant à avoir une approche aussi harmonisée et consolidée que possible est mise à mal sur un point qui est fondamental pour toute entreprise devant gérer des signalements.
Nicola Bonucci Associé, Paul Hastings
La loi française ne tranche pas cette question et semble laisser la possibilité d’avoir une approche centralisée. La position de la Commission est cependant très claire et a été exposée publiquement : la centralisation n’est pas possible pour toute filiale comptant plus de 250 salariés. Il y a donc une incertitude juridique et les entreprises doivent concrètement se poser la question de savoir si leur système consolidé unique pourra perdurer une fois que la Commission aura introduit des actions contre les États ayant mal transposé le texte de la directive.
Jean-Baptiste Carpentier : À bien des points de vue, la directive ne va pas révolutionner les pratiques des entreprises déjà soumises aux dispositions de la loi Sapin 2. Cependant, au stade où en sont les grandes entreprises qui ont privilégié les systèmes centralisés, il est clair que décentraliser le dispositif à hauteur de 250 salariés n’a aucun sens. Ce n’est d’ailleurs pas dans l’intérêt des salariés qui recherchent une garantie de confidentialité et une efficacité des alertes. J’estime même que ce système est contre-productif, car il risque de casser la machine de confiance à laquelle participent essentiellement ces lignes d’alerte. Si plus personne ne comprend l’articulation du système et si l’opacité s’immisce, il n’est plus efficace.
Constance Rivière : Cette question de l’article 8 n’est, de notre point de vue, pas centrale par rapport à une culture de l’alerte éthique qui nous semble bien trop peu diffusée encore aujourd’hui. Si des dispositifs existaient partout où ils sont obligatoires, le progrès serait déjà immense ! En tant que Défenseur des Droits, le rôle qui nous a été confié par la loi Sapin 2 est paradoxal. Nous sommes chargés d’orienter les personnes qui se perdent dans le maquis d’une procédure extrêmement formelle. S’ils se trompent dans leur démarche, ils ne bénéficient plus d’aucune forme de protection. C’est pourquoi, sans que le législateur ne nous ait précisément confié cette mission, nous enquêtons pour savoir si les grandes administrations et entreprises ont mis en place des dispositifs permettant que le canal interne soit saisi par les salariés. Force est de constater un grand retard dans l’appropriation des dispositifs de canal interne pour les alertes dans les grandes administrations. Le constat est plus nuancé dans les grandes entreprises qui ont une culture de la compliance depuis plusieurs années. La situation est bien différente dans les PME. La Défenseure des Droits déplore d’ailleurs, qu’au-delà des contrôles exercés par l’Agence française anticorruption (AFA), les évolutions législatives en cours ne prévoient pas de sanction en cas de carence des entités publiques ou privés à mettre en place des procédures.
Bernard Cazeneuve : La France est, là encore, dans une situation différente de celle d’autres pays de l’Union européenne. Les entreprises qui sont à la fois soumises à la loi Sapin 2 et à la loi relative au devoir de vigilance, ont eu à mettre en œuvre trois lignes d’alerte : celle prévue aux articles 6 et suivants de la loi Sapin 2, celle prévue par l’article 17 de cette même loi et celle résultant de l’article 1er de la loi relative au devoir de vigilance. Les entreprises, qui ont dû mettre en place la ligne d’alerte issue de l’article 17, sont susceptibles de faire l’objet d’un contrôle de l’AFA. Les auditeurs de l’AFA vérifient alors les conditions dans lesquelles les entreprises ont porté à la connaissance des salariés l’existence de cette ligne et les ont informés pleinement des conditions de son utilisation. Il existe donc, dans les entreprises qui relèvent des seuils de la loi Sapin 2 et auxquelles s’applique le devoir de vigilance, une connaissance plus grande des dispositifs propres à ces lignes d’alerte. Beaucoup d’entre elles ont d’ailleurs mis en place un dispositif informatique et technique, utilisé pour les trois lignes d’alerte.
Olivier Dorgans : Les dispositifs existants vont être concurrencés par un nivellement entre le canal interne et le canal externe que prévoient les différents projets de transposition. La hiérarchie introduite par la loi Sapin 2 est donc abandonnée. Canaux interne et externe pourront ainsi être saisis successivement, ou alternativement.
Constance Rivière : On peut y voir aussi une invitation pour les entreprises à prévoir un canal interne qui soit suffisamment clair, transparent et attractif pour que les gens s’en saisissent. Les lanceurs d’alerte qui nous contactent semblent préférer passer par le canal interne. Cela leur permet de s’adresser à des personnes qu’ils connaissent, en qui ils ont confiance et dont ils ont l’impression qu’elles vont pouvoir répondre à l’alerte, plutôt que de s’engager dans un parcours administratif ou judiciaire lourd.
Olivier Dorgans : Cette concurrence peut néanmoins conduire l’entreprise à s’interroger sur l’attractivité de son canal interne afin d’essayer de continuer à en faire le canal privilégié d’alerte.
Marie-Victoire Barsi Group legal & compliance director, Babilou
Marie-Victoire Barsi : Je tiens à porter la réalité pragmatique que cette loi de transposition contient pour les entreprises. Les grandes entreprises, celles qui sont largement au-dessus des seuils de la loi, ont sans doute plus de facilités pour s’organiser rapidement. Quant à celles qui les dépassent de peu, elles sont tenues aux mêmes obligations, alors qu’elles ne sont pas aussi structurées ou matures pour y faire face.
Le groupe Babilou s’est notamment construit par croissance externe successive. Il est implanté aujourd’hui dans douze pays. Nous avons fait le choix, à ce jour, d’avoir recours à un prestataire externe unique, garant de la confidentialité et de la procédure d’application, pour gérer les alertes internes au niveau global. Et ce afin de répondre à la réalité de nos organisations locales. En effet, certains de nos réseaux de crèches, qui dépassent les seuils de 250 salariés, comptent pourtant peu de personnel au sein du siège car les employés sont principalement situés dans les établissements d’accueil eux-mêmes. Il n’y a dès lors pas de sens de leur demander d’ajouter un canal indépendant qui serait a fortiori moins confidentiel s’il devait être interne. Il est donc compliqué de répondre à toutes ces couches de réglementation qui se superposent et de mettre en place des procédures internes adaptées et efficaces pour garantir les intérêts de tous : le groupe et les lanceurs d’alerte, évidemment.
Christophe Mistral : Les textes européens et français sont, par construction même, centrés sur le lanceur d’alerte et sa protection. Mais il me semble néanmoins fondamental de ne pas oublier le volet suivant qui est la bonne gestion et le traitement adéquat de l’alerte notamment par l’entreprise. Concrètement, pour reprendre cette question de l’article 8, l’éventuelle gestion au niveau local, par des filiales qui ne compteraient qu’un peu plus de 250 salariés avec des moyens évidemment beaucoup moins importants que ceux de la société mère en termes de gestion de risques ou de compétences techniques mobilisables, me semble contre-productif en vue de cet objectif de traitement efficace de l’alerte.
Lucie Chevallereau : Au sein du groupe Engie, nous avons un double système de remontée d’alerte éthique, interne et externe, qui couvre notamment le devoir de vigilance. Si l’on doit mettre en place un système décentralisé, nos difficultés porteront d’abord sur la réception de l’alerte et toutes ses conséquences financières relatives à la gestion d’un prestataire externe et la multitude de contrats qui devront être mis en place. Nous devrons aussi nous assurer que les personnes qui diligentent les enquêtes soient formées et que toute la chaîne d’enquête interne soit efficiente et adaptée : le traçage, les sanctions, etc. Il sera extrêmement lourd et compliqué, d’un point de vue organisationnel, de mettre en place ce système décentralisé pour les entreprises.
Jean-Baptiste Carpentier : Ma crainte porte sur l’illisibilité pour le salarié lanceur d’alerte. En complexifiant le système, on risque de perdre cette capacité à donner confiance au lanceur d’alerte vis-à-vis de nos canaux.
Constance Rivière : Dans les premiers textes, le choix a été fait de se centrer sur la protection des personnes fragilisées parce qu’elles ont lancé une alerte, sans penser que l’alerte pouvait aussi constituer une chance pour les entreprises, ou les administrations, en ce qu’elle permet de déceler toute une série d’irrégularités ou d’illégalités qui les mettent en danger. Dans les échanges parlementaires, y compris au moment de l’adoption de la loi Sapin 2, des freins ont été institués de peur d’avoir des dénonciateurs malveillants plutôt que des véritables lanceurs d’alerte. Sans doute, les textes n’ont pas assez appréhendé la manière dont le traitement de l’alerte pouvait aussi être une chance si le dispositif était suffisamment clair et lisible.
Valérie-Esther Penda : Chez Solocal, nous considérons que l’alerte est une opportunité d’être informé d’éventuelles atteintes aux biens et aux personnes de l’entreprise. Évidemment, nous préférerions ne pas en avoir. Mais finalement, n’est-ce pas sain qu’il y en ait ? Notre rôle est de nous saisir des sujets signalés impactants pour les traiter à travers une enquête interne. Pour cela, il faut impérativement créer de la confiance pour le lanceur d’alerte qui a une position souvent difficile. Le défendre et le protéger n’est à mon sens pas incompatible avec la protection des intérêts de l’entreprise, au contraire. Un lanceur d’alerte doit se sentir en confiance pour que sa parole soit libre et qu’il puisse remonter d’éventuels dysfonctionnements. Quant à la suppression de la possibilité d’avoir une procédure commune de gestion des signalements aux entités d’un même groupe, on a du mal à comprendre ce choix. Cela pourrait avoir du sens au sein de très grands groupes. Mais pourquoi l’imposer ? Il faut laisser la possibilité aux entreprises d’organiser leurs dispositifs. Chez Solocal, dans un souci de lisibilité et de simplicité opérationnelle, nous avons mis en place un dispositif unique et centralisé de signalement qui fonctionne. Nous avons eu des alertes que nous avons traitées, à la suite d’investigations menées après avoir saisi notre Comité de traitement des alertes composé de fonctions transverses (RH, risques, éthique, DPO, audit et contrôles internes).
Marie-Victoire Barsi : Il est indispensable d’instaurer cette confiance du lanceur d’alerte dans le processus interne du groupe. Lui donner envie de venir vers nous, plutôt que de s’adresser à un canal externe tel que le Défenseur des Droits, ou autres organismes publics tels qu’ils seront confirmés par décret.
Valérie-Esther Penda : La plateforme que nous avons mise en place chez Solocal est cryptée du début à la fin. Ainsi, tous les signalements sont traités de la même manière, anonymes ou pas. Même si nous avions ce qu’il fallait en interne pour garantir la confidentialité des échanges, nous ne voulions pas que notre dispositif d’alerte soit le maillon faible d’une longue démarche vers la conformité. Nous avons ainsi associé, dès le départ, notre DPO qui a été intégré aux discussions. Nous nous sommes interrogés sur le choix du meilleur dispositif (numéro de hotline, e-mail etc.) pour créer de la confiance. Un collaborateur voulant faire une alerte s’interroge forcément sur la fiabilité du dispositif. Garantir la confidentialité était une priorité pour nous, car cela permet de protéger les personnes et de libérer la parole. C’est pourquoi, nous avons choisi une plateforme externalisée, complètement détachée de notre SI, avec un système crypté de bout en bout qui permet de faire des signalements anonymes, pour rassurer nos collaborateurs. La confidentialité est d’ailleurs renforcée dans notre dispositif avec la signature d’accords de confidentialité aux enquêteurs et membres du Comité de traitement des alertes, spécifiquement créés pour gérer les alertes. À ce dispositif, est associé une procédure d’alerte (disponible sur notre intranet), qui en précise les modalités de manière détaillée. Tout est mis en œuvre pour que le lanceur d’alerte se sente en confiance. Dans le fond, peu importe l’identité d’un lanceur d’alerte, ce qui compte c’est de savoir si la concordance des faits et pièces signalés sont suffisants pour agir.
Bernard Cazeneuve Associé, August Debouzy
Une définition et une protection plus larges du lanceur d’alerte
Constance Rivière : Le texte de l’Assemblée nationale et celui du Sénat après le passage en Commission étaient sensiblement différents. Celui de l’Assemblée nationale donne une définition du lanceur d’alerte, après transposition, assez proche de celle contenue dans la loi Sapin – en tout cas, qui reste identique dans son champ matériel et personnel. L’élément problématique dans la première proposition du Sénat était de considérer que, pour certains manquements, il fallait reconnaître une forme de gravité, alors que, pour d’autres, le seul manquement suffisait. Compte tenu de la complexité introduite par une telle distinction, on ne peut que se féliciter de l’unification de la définition du lanceur d’alerte par le maintien du texte issu de l’Assemblée nationale en première lecture.
Se pose également la question du facilitateur, dont je ne sais pas à ce jour ce qu’elle deviendra.
Certains d’entre vous l’ont dit tout à l’heure et nous l’observons régulièrement, les lanceurs d’alerte sont dans une position d’extrême isolement et de très grande fragilité (personnelle, psychologique, dans leurs relations professionnelles et familiales, etc.). La plupart des lanceurs d’alerte que nous recevons sont des personnes abîmées. Nous ne pouvons pas les laisser seules dans ce combat. C’est pourquoi nous plaidons pour que les facilitateurs puissent être aussi des personnes morales.
Olivier Dorgans : Il existe une grande ambiguïté sur la notion de facilitateur. Dans les reproches soulevés par le rapport de la Commission des lois au Sénat, il y a une confusion, me semble-t-il, entre les associations activistes et les facilitateurs. Il ne faut pas confondre la protection des facilitateurs personnes morales et celle des associations activistes lanceuses d’alerte. Les associations activistes sont des personnes morales qui pourraient, de fait, être tentées de pénétrer dans des locaux d’entreprises pour faire certains constats et lancer des alertes, ce qui inquiète certains lobbys, notamment dans le secteur agroalimentaire. À ce titre et quel que soit le statut de protection in fine accordé au facilitateur personne morale, ces associations activistes ne bénéficient pas aujourd’hui et ne bénéficieront pas à l’avenir (quelle que soit la transposition retenue) du statut de lanceur d’alerte et donc de sa protection. Les débats sur la transposition de la directive européenne ne portent pas sur l’extension de la qualité de lanceur d’alerte aux personnes morales.
Une fois cette confusion écartée, il est primordial de souligner le rôle clef que les facilitateurs jouent dans l’appui et la lutte contre l’isolement de certains lanceurs d’alerte. Les députés et sénateurs n’ont pas, à ce stade, réussi à s’entendre sur l’extension de la protection due aux facilitateurs personnes morales. Le texte de la directive ne la propose qu’aux facilitateurs personnes physiques mais une position intermédiaire intéressante a été proposée par le député Sylvain Waserman : autoriser cette protection à des personnes morales de droit privée à but non lucratif qui sont un relai et ont un rôle à jouer, à mon sens essentiel, dans la rupture de l’isolement des lanceurs d’alerte. Cette position a pour l’instant été rejetée par les sénateurs, ce qui est regrettable tant ces facilitateurs personnes morales (principalement dans le milieu associatif) sont susceptibles de contribuer activement, aussi bien à la protection du lanceur d’alerte, qu’au bon traitement de l’alerte en tant que telle.
Bernard Cazeneuve : Ce débat a existé dès l’origine des travaux législatifs français. Il a porté sur la capacité d’intervention du lanceur d’alerte et sur le niveau de la protection dont il pouvait bénéficier. Le législateur a toujours craint que ce qui était conçu comme un moyen de dénoncer des infractions graves soit détourné de son objet pour déstabiliser certaines entreprises par le biais de dénonciations malveillantes… De ce point de vue, l’équilibre auquel pourrait parvenir la discussion parlementaire sur le texte de transposition devrait permettre de garantir que le lanceur d’alerte agira conformément à l’esprit du législateur, en évitant tout détournement de la loi en vue d’atteindre d’autres objectifs que ceux pour lesquels celle-ci a été conçue et mise en œuvre.
Lucie Chevallereau Responsable du pôle reporting et risques, direction éthique, compliance et privacy, Engie
Nicola Bonucci : Ce qui est paradoxal dans la discussion parlementaire, c’est que les entreprises étaient relativement satisfaites du texte de l’Assemblée nationale. Je comprends parfaitement ce que vous dites, car il est important de faire attention à ce que ce mécanisme ne soit pas abusé à des fins indues et de pression. En même temps, j’ai l’impression qu’il y a peut-être eu du zèle du Sénat par rapport à des inquiétudes que je n’ai pas entendues en parlant avec les entreprises.
Je crois que la divergence entre les deux textes a été réduite, notamment sur la question fondamentale de la définition. Nous pouvons donc espérer qu’un compromis soit trouvé sur le texte de la Commission mixte paritaire et que la loi puisse être adoptée rapidement.
Bernard Cazeneuve : Je tiens à souligner que dans mon propos précédent, je me plaçais du point de vue de l’intérêt général, de l’esprit qui a présidé aux décisions du législateur. Ce dernier est soucieux, lorsqu’il adopte des dispositions de cette nature, de prendre en compte les objectifs de lutte contre la corruption, de promotion des objectifs de la RSE et de défense des salariés dans les risques multiples qui peuvent aussi se présenter à eux. D’ailleurs, la disposition sur le désintéressement du lanceur d’alerte vient en partie du fait, qu’il pouvait être considéré, que ceux qui étaient parfois victimes de manquements au sein de l’entreprise ne pouvaient pas avoir recours au dispositif d’alerte, au motif qu’ils étaient intéressés à le voir aboutir.
N’oublions pas aussi que nous vivons dans un monde qui peut exposer les entreprises à des risques inédits. Je pense ici aux comportements d’un certain nombre de pays, qui utilisent des moyens hybrides pour faire prévaloir leurs propres intérêts, ceux de l’État, mais aussi ceux de groupes privés qui ont recours à la cyberattaque, à l’espionnage et à la violence pour attendre leur but. Il est essentiel que les États, par les dispositions qu’ils prennent, soient capables de défendre des objectifs d’intérêt général, de protéger leurs intérêts vitaux, ainsi que ceux de leurs entreprises et de leurs salariés, face à des phénomènes nouveaux, susceptibles de vulnérabiliser les intérêts économiques d’une nation…
Lucie Chevallereau : Le point de vue théorique est une chose, mais l’application pratique en est une autre. La protection du lanceur d’alerte en entreprise est souvent plus large que la définition théorique. Lorsqu’une plateforme de signalement, respectant le critère de l’anonymat, est instaurée, d’un point de vue opérationnel, l’entreprise est extrêmement liée par cet anonymat. En réalité, l’entreprise ne se borne pas à vérifier les critères d’application et de n’allouer qu’à ceux qui rempliraient ces critères, les garanties de protection du lanceur d’alerte issus de la loi Sapin 2 ou de la directive. Nous avons une acception beaucoup plus large de sa définition.
Jean-Baptiste Carpentier : Il y a effectivement une énorme différence entre des débats tout à fait légitimes (législatifs et juridiques) et la réalité pratique. Dans la vraie vie, je ne me reconnais toujours pas dans ces débats juridiques, parfois très théoriques. Dans de nombreux cas, comme vient de le dire Lucie Chevallereau, nous n’allons pas vraiment avoir les moyens de savoir si, concrètement ou pas, nous sommes dans le champ de la loi. Dans le doute, nous nous comportons comme si la personne bénéficiait de la protection du lanceur d’alerte. Mais toutes les entreprises ne peuvent pas se permettre d’en faire autant.
Dans les débats médiatiques et juridiques, le lanceur d’alerte est perçu comme une personne dénonçant des faits très médiatiques, notamment de corruption. Mais dans la réalité, il s’agit de problématiques de droit du travail dans 70 % des cas, très importantes pour lui, mais moins médiatiques.
Nicola Bonucci : Il est intéressant de noter que ce mécanisme de lanceurs d’alerte est né, en France, sur fond d’affaire Cahuzac. Dans l’esprit de l’OCDE et du G20, il a été créé pour lutter contre la corruption. Or le mécanisme est devenu beaucoup plus large. Il est utilisé pour toute une série d’autres raisons. D’ailleurs, c’est l’une des difficultés des entreprises. Beaucoup d’alertes visent plutôt des questions de gestion interne, de ressources humaines, voire de harcèlement. Si la philosophie originelle concernait essentiellement les malversations financières, le mécanisme s’est démocratisé, utilisé par des personnes de bonne foi, vivant une situation professionnelle compliquée.
Constance Rivière : Le droit est peut-être théorique pour les entreprises qui le mettent en œuvre, mais absolument pas pour le Défenseur des Droits, qui intervient lorsque le lanceur d’alerte a été victime de représailles. Pour le protéger dans le cadre d’une situation conflictuelle, prendre en compte la question des critères et la manière dont il a lancé l’alerte est absolument déterminante pour nous.
Nous voyons beaucoup de cas relevant du droit de l’environnement, du droit de la santé ou encore de dysfonctionnements de foyers de protection de l’enfance. Sur toutes les catégories de lanceur d’alerte (usagers ou personnes dans une relation de travail) et sur l’ensemble des dossiers reçus, les signalements se rattachent autant au secteur privé qu’au secteur public, les variations annuelles, relativement faibles, jouant au profit de l’un ou l’autre des secteurs. Les situations sont variées : elles vont du garde champêtre qui voit des malversations électorales, au salarié d’une grande banque qui identifie des faits de corruption importants. Il est compliqué d’avoir un dispositif qui couvre des champs aussi divers. C’est ce qui peut sûrement expliquer les malentendus ou difficultés sur la question du facilitateur personne morale. À titre personnel, j’étais très sceptique au départ, car je craignais une diminution de la protection des personnes physiques, étant celles qui sont vraiment mises en difficulté et ont besoin de protection. Depuis, j’ai réalisé qu’une association locale d’une petite commune sur laquelle va venir s’appuyer un lanceur d’alerte, ayant perçu des pratiques extrêmement délétères pour l’environnement, peut se retrouver privée de financement du jour au lendemain, ce qui est une forme de représailles. J’ajoute qu’un lanceur d’alerte, dépourvu d’appui, ne peut pas faire grand-chose. Or si elle décide de l’accompagner, l’association sait qu’elle peut en subir les conséquences.
Valérie-Esther Penda Responsable du pôle conformité (éthique, risques & assurances), Solocal
Valérie-Esther Penda : Concernant la définition du lanceur d’alerte, il faut se réjouir que les sénateurs soient revenus sur leurs positions du mois de décembre. Limiter les violations aux droits et au domaine purement professionnel était trop réducteur. Cela contrevenait, me semble-t-il, à l’esprit de la directive. Quant à la suppression des notions de désintéressement et de gravité, cela permet d’étendre le champ d’application de la protection, ce qu’il faut saluer. Même s’il est vrai que tout le monde n’est pas lanceur d’alerte – il est important de le rappeler. En cas de signalement, les critères qui permettent d’être considéré comme tel et de bénéficier de la protection légale doivent être analysés. Pour autant, cela ne veut pas dire que les signalements ne seront pas traités par les entreprises, loin de là. Mais il faut tout de même conserver un minimum de cadre. Il est également important de rappeler que d’autres dispositifs d’alerte existent dans l’entreprise, en complément du dispositif d’alerte de la loi Sapin 2. C’est d’ailleurs ce que nous avons clairement rappelé dans notre procédure interne.
La concurrence entre les différents canaux de signalement
Constance Rivière : Le lanceur d’alerte n’est désormais plus obligé de passer par le canal interne, il a la possibilité de passer directement à la deuxième étape, par le canal externe.
Olivier Dorgans : C’est le fameux nivellement des canaux d’alertes dont nous discutions un peu plus tôt. Certaines entreprises rencontrent aujourd’hui de grandes difficultés pour inciter leurs salariés et collaborateurs occasionnels à faire usage du canal d’alerte interne quand la situation l’impose, canal qui n’est pas toujours perçu comme efficace et pertinent. La question du nivellement des canaux interne et externe – qui pourront être utilisés alternativement – et l’assouplissement des conditions pour recourir au canal de divulgation publique va nécessairement amener une vraie concurrence entre ces canaux. Les entreprises sont susceptibles de voir leur canal interne concurrencé, a fortiori dans la mesure où ce canal est parfois perçu par le lanceur d’alerte comme inefficace ou partial. Dans le cadre d’enquêtes internes, j’ai parfois rencontré des lanceurs d’alerte, qui, pensant que le canal interne de l’entreprise ne leur conférait pas protection et confiance suffisantes, préféreraient le canal externe. Dès lors que le canal externe, devant des autorités compétentes désignées par décret en Conseil d’État, le Défenseur des Droits, ou les autorités judiciaires, est directement ouvert au lanceur d’alerte, il y a fort à parier que celui-ci aura peut-être la préférence du lanceur d’alerte qui pourra, par ailleurs, et notamment en cas « de danger grave, imminent et manifeste » ou en cas « de risque de représailles », choisir également l’option de la divulgation publique. Le nivellement des canaux est, à ce titre, susceptible d’engendrer une multiplication des alertes, rendues ainsi plus aisées, et de concurrencer les efforts de communication et de pédagogie sur le canal interne déjà déployés par l’entreprise.
Jean-Baptiste Carpentier : Avec un point de vue légèrement biaisé, du fait de mon appartenance à une grande entreprise, je vais nuancer ce changement de paradigme que constitue la suppression des paliers. Les lanceurs d’alerte peuvent, depuis toujours, s’adresser à l’extérieur, par exemple à des journaux satiriques bien connus, et donc le risque lié à l’externalité de l’alerte existe depuis longtemps. Certes, la personne n’aurait pas bénéficié du statut du lanceur d’alerte, mais il existe déjà des outils pour recevoir des alertes de façon totalement anonyme et protéger la personne. Dans un tel cas, les dégâts médiatiques pour l’entreprise sont tels que, qu’il y ait une directive ou non, celle-ci a tout intérêt à traiter toutes les alertes, sans considération de paliers.
Bernard Cazeneuve : Avec la loi Sapin 2, qui prévoit le recours à un référent interne, on a eu tendance à considérer que la personne qui lançait l’alerte était nécessairement un salarié de l’entreprise. Il n’est pour autant pas expressément interdit par le texte que le lanceur d’alerte soit extérieur à la société. Or la directive européenne autorise le lanceur d’alerte à pouvoir utiliser le canal d’alerte externe, sans passer par le référent interne. À partir du moment où le lanceur d’alerte n’est plus obligé de passer par le canal interne de l’entreprise, d’une part, et que, d’autre part, la seule condition qui lui permet de lancer son alerte est le fait d’avoir eu, lui-même, connaissance des éléments relatifs à l’alerte, une personne qui n’est pas salariée de l’entreprise, ou son collaborateur occasionnel, peut désormais utiliser directement la voie externe. Ce n’est sans doute pas un grand changement pour les grandes entreprises qui ont l’habitude de la gestion de crises aiguës, mais lorsqu’une alerte est lancée par un inconnu, elle relève incontestablement d’une gestion plus délicate pour l’entreprise.
Olivier Dorgans Associé, Ashurst
Constance Rivière : Ce canal externe sera précisé par décret. Il y aura une liste d’autorités et d’administrations chargées de traiter l’alerte et le Défenseur des Droits aura la compétence pour suivre la prise en charge de celle-ci, qu’elle ait été donnée par le canal interne ou externe. Les personnes qui ne se sentent pas en confiance avec la voie interne, n’ont pas été entendues, ou qui préfèrent s’adresser à une autorité externe pour une autre raison, pourront ainsi s’assurer que leur alerte soit prise en charge sans avoir besoin de passer par un canal médiatique. On peut aussi y voir une forme de sécurité, même s’il est évidemment plus confortable pour une entreprise de traiter l’alerte elle-même.
Bernard Cazeneuve : Rien n’interdit dans les dispositions législatives, y compris en vigueur aujourd’hui, de passer à l’étape suivante, dès lors que l’étape de l’alerte interne a été franchie et que le lanceur d’alerte estime ne pas avoir obtenu de réponse satisfaisante de l’entreprise dans des délais raisonnables.
Constance Rivière : Rien ne l’en empêche puisque la protection offerte est celle de ne pas subir de représailles de la part de l’employeur. C’est bien pourquoi la divulgation, par un journal satirique, cause des dégâts à l’entreprise, mais aussi à celui qui décide d’aller publiquement contre une entreprise. Dès lors que la personne est identifiée, il y a une immense prise de risques pour le lanceur d’alerte qui, dans bien des cas, se retrouve au chômage, inemployable, souvent totalement obsédé par la mécanique dans laquelle il s’est mis, avec des dégâts humains très importants.
Christophe Mistral : Au-delà de la nécessaire protection des lanceurs d’alerte sur laquelle on ne peut transiger, il convient d’être attentif à l’équilibre général avec les autres objectifs d’un système d’alertes, notamment la protection des personnes visées et bien sûr le traitement optimum de l’alerte. À ce titre, les délais de traitement de l’alerte constituent un point particulièrement important. Les textes peuvent créer l’impression et l’espoir qu’une alerte soit réglée en trois mois et que, si ce n’est pas le cas, l’alerte a été enterrée. Mais c’est faux ! Il ne peut, pour les cas complexes, y avoir de réponse ferme et définitive en si peu de temps. On risque donc de créer des espoirs déçus et ainsi détourner les lanceurs d’alerte du canal interne alors qu’il s’agit, dans bien des cas, du meilleur moyen de contribuer à la résolution rapide et efficace de l’alerte.
Constance Rivière Secrétaire générale, Défenseur des Droits
Valérie-Esther Penda : Concernant les délais, il ne s’agit pas forcément d’apporter une solution ferme et définitive, mais de maintenir une communication régulière avec le lanceur d’alerte. S’il se sent délaissé, non écouté, il aura tendance à multiplier les signalements et pas forcément auprès de l’entreprise. Quant à la concurrence entre les canaux de signalement, la liberté de choix du canal est une différence majeure avec la loi Sapin 2 (qui conditionne le recours à l’externe, à la défaillance du signalement interne). La société française doit aller vers plus de transparence et créer une culture de l’alerte avec la protection effective associée pour ceux qui prennent des risques. Mais avec cette concurrence des canaux externes, on peut s’interroger sur le rôle que l’on veut donner aux enquêtes internes. Laissera-t-on la possibilité aux entreprises d’agir ? Ce nouveau choix devrait a minima encourager les entreprises qui ne l’étaient pas à être plus attractives. J’entends que les lanceurs d’alerte préfèrent privilégier le canal interne. J’espère qu’ils continueront à le faire, car il est essentiel de permettre aux organisations de répondre aux dysfonctionnements qui les concernent. Nous aurons besoin d’avoir rapidement une clarification sur le rôle et les missions de ces nouvelles autorités externes.
La rétribution du lanceur d’alerte
Nicola Bonucci : Rappelons, sur ces sujets d’alerte, l’importance de l’acteur américain. La SEC a publié son rapport pour 2021. Elle a reçu 12 000 signalements, soit 76 % de plus qu’en 2020, et a redistribué 564 M$ à 108 individus. Le rapport précise les sources des signalements qui, bien évidemment, proviennent du monde entier. Pour les pays du G7, il est fait état de 248 signalements issus du Canada, 132 du Royaume-Uni, 60 de l’Allemagne, 17 de l’Italie, seulement 16 de la France et 6 du Japon. Dans ce cadre, la personne qui a envie de lancer l’alerte et qui veut être rétribuée, peu lui importe de savoir si elle va être protégée ou non. Elle a un autre canal à disposition, pour autant que les États-Unis aient une compétence.
Jean-Baptiste Carpentier Directeur de la conformité, groupe Veolia
Marie-Victoire Barsi : La loi Sapin 2 avait justement pour objet de protéger les lanceurs d’alerte, y compris des autorités américaines. Personne ne peut remettre en cause le bon sens de vouloir protéger les lanceurs d’alerte ou de lancer des programmes anticorruptions. Alors que la France était un peu à la traîne, elle montre aujourd’hui le chemin en Europe.
Olivier Dorgans : Le soutien financier à apporter aux lanceurs d’alerte est un sujet sur lequel la France, – dans la lignée de la décision du Conseil constitutionnel de décembre 2016 – n’a pas tranché. C’est regrettable, car il existe une prise de risque financière (souvent doublée d’une vraie détresse psychologique) des lanceurs d’alerte. Il existe certainement une voie médiane entre les dérives parfois perçues comme outrancières du modèle capitaliste américain et l’absence totale de rétribution éventuelle du lanceur d’alerte. N’oublions pas qu’une grande partie des scandales médicaux, sanitaires et environnementaux ont été révélés par des lanceurs d’alerte qui l’ont, pour certains, payé d’un arrêt brutal de leur carrière professionnelle et d’une précarité immense dont il est pour eux difficile de se relever.
Constance Rivière : Il est important d’avoir conscience que, dans certains climats d’entreprises, il est impossible de signaler des faits, aussi graves soient-ils, de lancer une alerte. Le canal externe est, à cet égard, utile, notamment pour les salariés. Mais, pour celui qui n’est pas dans l’entreprise et qui n’a donc aucun risque de subir les représailles de l’employeur, le fait de ne pas s’adresser d’abord au responsable peut davantage interroger.
Jean-Baptiste Carpentier : Il faut aussi tenir compte du risque de voir des règlements de comptes personnels dans les entreprises par le biais des alertes. Plus le système d’alerte va se développer, plus il y aura de dérives. C’est inéluctable. Il faudra donc aussi se préoccuper des personnes qui font l’objet d’une alerte à tort, car les dégâts causés par une alerte injustifiée, voire malveillante, peuvent être considérables. La nature humaine étant ce qu’elle est, l’alerte peut, comme tout outil, être dévoyée et détournée de son objectif. Il faut donc souhaiter que le législateur fasse preuve d’équilibre et de nuance.