La Ley 2/2023 du 20 février, relative à la protection des personnes qui signalent des infractions normatives et à la lutte contre la corruption, a transposé la Directive (EU) 2019/1937 — la Directive sur les lanceurs d'alerte — en droit espagnol. En vigueur depuis mars 2023, elle impose des obligations spécifiques et exécutoires aux entreprises du secteur privé comptant cinquante salariés ou plus, créant un nouveau cadre réglementaire destiné à transformer la culture du signalement interne au sein des organisations espagnoles.
Champ d’application : qui est soumis à l’obligation
Le seuil principal est de cinquante salariés. Le calcul des effectifs couvre l’ensemble des salariés permanents, en contrat à durée déterminée et à temps partiel, ces derniers étant pondérés par leurs heures de travail effectives au cours des douze mois précédents. Les groupes de sociétés peuvent centraliser le canal au niveau du groupe, à condition que les salariés de chaque entité puissent y accéder.
Certaines entités sont soumises à l’obligation indépendamment de leur effectif : les entités du secteur financier soumises à la supervision de la CNMV ou du Banco de España, les entités assujetties aux obligations de lutte contre le blanchiment de capitaux, les contractants et concessionnaires publics, les partis politiques, les syndicats et les organisations patronales bénéficiant de financements publics. Les organismes du secteur public — les communes de plus de 10 000 habitants, les entités du secteur public institutionnel national et les organes régionaux de contrôle des comptes — sont également soumis à la loi.
Le Sistema Interno de Información (SII) : exigences de conception
Le SII est le terme utilisé par la loi pour désigner le canal de dénonciation interne. Les principales exigences de conception sont les suivantes :
Accès multicanal : les lanceurs d’alerte doivent pouvoir soumettre leurs signalements par écrit — sous forme physique ou électronique — et oralement, y compris par le biais d’un entretien en personne. Un canal exclusivement écrit ne satisfait pas à l’exigence légale.
Confidentialité renforcée : l’identité du lanceur d’alerte et toute information susceptible de la révéler indirectement ne doivent être accessibles qu’au responsable du canal. Les informations ne peuvent être communiquées à des tiers que lorsque cela est nécessaire à l’enquête ou requis par une autorité compétente, et uniquement après notification préalable au lanceur d’alerte.
Indépendance fonctionnelle : le responsable du SII — qu’il soit interne ou externe — doit disposer d’une pleine autonomie pour traiter les signalements sans ingérence de la direction de l’entreprise. Lorsqu’un organe collégial de conformité gère le canal, celui-ci doit comprendre au moins un membre doté d’une formation juridique et de garanties statutaires d’indépendance.
Délais stricts : accusé de réception dans un délai de sept jours ouvrables ; communication au lanceur d’alerte des mesures prévues ou prises dans un délai maximum de trois mois à compter de l’accusé de réception.
Information sur le canal externe : le SII doit informer les lanceurs d’alerte de leur droit de recourir au canal externe de l’AAPI.
Canal interne et canal externe : le système à double voie
La loi crée un système à double voie. Le canal interne — le SII de l’entreprise — constitue la voie privilégiée, mais les lanceurs d’alerte peuvent s’adresser directement au canal externe de l’AAPI sans avoir préalablement utilisé le canal interne et sans avoir à justifier ce choix.
L’AAPI — un organisme indépendant rattaché au parlement espagnol (Cortes Generales) — peut recevoir des signalements anonymes, mener des enquêtes, engager des procédures de sanction et ordonner des mesures de protection provisoires. Elle est désormais opérationnelle pour la réception des signalements, et ses pouvoirs de sanction sont progressivement mis en œuvre.
Sanctions : jusqu’à 1 million d’euros
Le régime de sanctions est nettement plus sévère que celui du droit du travail ordinaire :
| Niveau d’infraction | Exemples | Amende pour les personnes morales |
|---|---|---|
| Très grave | Représailles, obstruction aux signalements, violation de la confidentialité | 300 001 – 1 000 000 € |
| Grave | Absence de mise en place du SII, non-respect des délais, défaut d’indépendance | 100 001 – 300 000 € |
| Mineure | Irrégularités procédurales | Jusqu’à 100 000 € ou blâme |
L’AAPI peut publier les résolutions de sanction sur son site internet, ce qui engendre un risque réputationnel significatif au-delà de la sanction financière. Dans les cas les plus graves, elle peut également recommander l’inhabilitación temporaire des dirigeants responsables.
Protection contre les représailles : inversion de la charge de la preuve
Le mécanisme de protection le plus novateur de la loi est la présomption de lien : lorsqu’une mesure défavorable est prise après un signalement, la loi présume l’existence d’un lien entre les deux, et c’est à l’entreprise qu’il incombe de démontrer que la mesure reposait sur des motifs objectifs sans rapport avec le signalement.
Les actes de représailles interdits comprennent le licenciement, la rétrogradation professionnelle, la modification des horaires, la suspension du contrat, l’intimidation, le harcèlement, l’exclusion de promotions ou de formations, les références négatives et tout autre traitement défavorable. Les lanceurs d’alerte ont droit à une assistance juridique gratuite dans le cadre des procédures liées aux représailles.
Canaux externalisés : avantages et exigences
L’externalisation du canal auprès d’un prestataire tiers spécialisé est une approche valable et de plus en plus adoptée, en particulier par les PME ne disposant pas des ressources internes nécessaires pour gérer le canal avec les garanties requises.
Les principaux avantages sont les suivants : une indépendance perceptible vis-à-vis de la direction — renforçant la confiance des lanceurs d’alerte —, une disponibilité technique 24 heures sur 24, 7 jours sur 7, une gestion assurée par des spécialistes formés professionnellement et une réduction du risque de fuites internes. Les contrats avec les prestataires doivent inclure les clauses de sous-traitance des données prévues à l’article 28 du RGPD, des engagements renforcés de confidentialité et des protocoles d’escalade pour les cas nécessitant une action urgente.
Intégration avec la conformité pénale
Le canal de dénonciation est un élément nécessaire — mais non suffisant — d’un programme efficace de conformité pénale pouvant ouvrir droit à l’exemption ou à l’atténuation de la responsabilité pénale de l’entreprise en vertu de l’art. 31 bis du Código Penal. Le Tribunal Supremo a souligné que le programme doit être authentique et effectif : le canal doit être connu, accessible et activement utilisé, avec un registre des signalements reçus et des enquêtes menées.
L’intégration fonctionnelle complète entre le canal, la cartographie des risques pénaux, les protocoles de réponse et un organe de conformité autonome doté d’un pouvoir de supervision constitue le socle d’un modèle conforme à la norme UNE 19601 relative aux systèmes de gestion de la conformité pénale.
Feuille de route de mise en œuvre
Une mise en œuvre correcte du SII suit les étapes suivantes : (1) diagnostic de conformité actuel et analyse des risques sectoriels ; (2) conception du canal — interne ou externalisé — et des procédures de traitement des signalements ; (3) désignation et formation du responsable du système ; (4) approbation de la politique interne au niveau du conseil d’administration ; (5) communication à l’ensemble du personnel et publication sur l’intranet ; (6) enregistrement des signalements reçus et suivi des actions ; et (7) audit annuel du fonctionnement du système.
La mise en œuvre n’est pas un projet ponctuel mais un système vivant nécessitant une maintenance continue, une formation permanente et des mises à jour au fil de l’évolution du cadre réglementaire.
