Canal de signalement (Lanceur d'alerte)

La Directive européenne sur la protection des lanceurs d’alerte

La Directive UE 2019/1937 sur la protection des personnes qui signalent des violations du droit de l’Union a établi un cadre minimum commun à tous les États membres de l’UE pour la protection des lanceurs d’alerte. Ses objectifs principaux sont de :

• Garantir que les personnes signalant des violations du droit de l’UE sont protégées contre les représailles
• Obliger les organisations dépassant certains seuils à établir des canaux de signalement internes
• Désigner des autorités compétentes pour recevoir les signalements externes
• Garantir la confidentialité de l’identité des lanceurs d’alerte

La transposition espagnole : la Loi 2/2023

L’Espagne a transposé la Directive via la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. La loi est entrée en vigueur en mars 2023, avec un calendrier de conformité échelonné :

• Mars 2023 : entités du secteur public et entreprises privées de 250 salariés ou plus
• Décembre 2023 : entreprises privées de 50 à 249 salariés

L’Espagne est allée au-delà du standard minimum européen sur plusieurs points importants — la loi couvre non seulement les violations du droit de l’UE mais aussi les violations du droit national espagnol, et s’étend aux infractions pénales et administratives dans tous les domaines réglementaires (sans se limiter aux domaines spécifiques du droit de l’UE énumérés dans la Directive).

Qui doit se conformer ?

En vertu de la Loi 2/2023, les entités suivantes doivent établir un canal de signalement interne :

• Secteur privé : toutes les entreprises de 50 salariés ou plus
• Partis politiques, syndicats et organisations patronales bénéficiant de financements publics
• Fondations : quelle que soit leur taille si elles reçoivent des fonds publics
• Secteur public : toutes les administrations publiques, entités étatiques et organismes de droit public
• Entreprises des services financiers : quelle que soit leur taille (soumises à la réglementation sectorielle)

Pour les groupes de sociétés privées, chaque filiale de 50 salariés ou plus doit établir son propre canal, ou le groupe peut établir un canal commun (sous réserve que les exigences de confidentialité soient respectées pour chaque entité).

Exigences pour un canal de signalement conforme

Un canal conforme en vertu de la Loi 2/2023 doit :

• Permettre les signalements anonymes (la loi n’exige pas l’anonymat mais impose que les signalements anonymes soient reçus et traités)
• Protéger l’identité du lanceur d’alerte et de tout tiers mentionné dans le signalement (la confidentialité est obligatoire)
• Fournir un accusé de réception dans les 7 jours calendaires
• Fournir une réponse substantielle au lanceur d’alerte dans les 3 mois (extensible à 6 mois dans les cas complexes)
• Être indépendant — géré par une personne ou un organe désigné avec une indépendance fonctionnelle
• Permettre les signalements écrits et oraux (l’option orale peut être satisfaite par une ligne téléphonique avec enregistrement vocal ou un entretien)
• Être sécurisé — adéquatement protégé contre les accès non autorisés

Exigences en matière de protection des données (intersection RGPD)

Le canal de signalement traite nécessairement des données personnelles — l’identité du lanceur d’alerte (même si elle n’est pas divulguée aux enquêteurs), l’identité de la personne mise en cause et les détails de toute enquête. Cela implique que :

• Une analyse d’impact relative à la protection des données (AIPD) est généralement requise (le traitement systématique de données relatives à des irrégularités présumées relève des critères de risque élevé de l’article 35 du RGPD)
• Les données du canal doivent être conservées séparément des autres systèmes de données RH
• Des durées de conservation s’appliquent : les données doivent être supprimées une fois l’enquête conclue et toute procédure en découlant finalisée (généralement pas plus de 10 ans)
• Le droit d’information de la personne mise en cause doit être géré avec soin — celle-ci doit être notifiée in fine, mais la notification peut être différée pendant l’enquête

L’exigence d’un gestionnaire indépendant

La Loi 2/2023 exige que le canal soit géré par une personne ou un organe désigné à cet effet avec une indépendance fonctionnelle. Pour les entreprises de taille réduite, il s’agit généralement :

• D’un responsable de la conformité interne (à condition qu’il bénéficie d’une véritable indépendance)
• D’un prestataire tiers externe spécialisé dans la gestion des signalements
• D’un conseiller juridique externe gérant le canal dans le cadre d’un contrat de service

Le modèle externalisé est recommandé pour les organisations de taille modeste où la véritable indépendance vis-à-vis de la direction est difficile à garantir en interne, et particulièrement lorsque le signalement peut concerner la direction générale.

Sanctions en cas de non-conformité

L’Autorité indépendante de protection des lanceurs d’alerte (Autoridad Independiente de Protección del Informante — A.A.I.) supervise la conformité à la Loi 2/2023. Les sanctions sont les suivantes :

• Infractions très graves (ex. représailles contre les lanceurs d’alerte, destruction de preuves) : jusqu’à 1 million d’euros pour les entités privées ; montants plus élevés pour les entités publiques
• Infractions graves (ex. violation de la confidentialité, absence de canal de signalement) : jusqu’à 300 000 euros
• Infractions mineures (manquements procéduraux) : jusqu’à 100 000 euros

Comment BMC peut vous aider

Nous mettons en place des canaux de signalement conformes pour les entreprises, en couvrant la conception du canal, la rédaction de la politique interne, l’AIPD, la communication et la formation du personnel, la désignation d’un gestionnaire de canal indépendant, ainsi que le traitement continu des dossiers et le rapport annuel au conseil d’administration.