Un an après l'entrée en vigueur de la Ley 2/2023 du 20 février, relative à la protection des personnes qui signalent des infractions à la réglementation et à la lutte contre la corruption — transposant la Directive (UE) 2019/1937 du Parlement européen et du Conseil —, le paysage de la mise en œuvre en Espagne affiche des progrès inégaux. De nombreuses grandes entreprises disposent d'un canal opérationnel, mais la mise en œuvre effective dans le segment des 50 à 249 salariés — le plus nombreux — présente des taux de conformité insuffisants, avec un risque de sanction croissant à mesure que l'Autorité indépendante de protection des informateurs (A-IPI) consolide ses capacités de supervision.
Le cadre réglementaire : la Ley 2/2023 et la directive sur les lanceurs d’alerte
La Directive (UE) 2019/1937 du 23 octobre 2019 a établi un standard européen minimum pour la protection des personnes signalant des infractions au droit de l’UE. L’Espagne a transposé la directive tardivement — le délai expirait le 17 décembre 2021 — par le biais de la Ley 2/2023, publiée au Journal officiel de l’État le 21 février 2023. La loi espagnole dépasse le minimum de la directive à plusieurs égards : elle étend la protection aux informateurs signalant des infractions au droit national (et pas uniquement au droit de l’UE) et crée une autorité administrative indépendante spécifique (l’A-IPI) chargée de la supervision et du soutien aux informateurs.
Le champ d’application subjectif de l’obligation de maintenir un canal interne couvre les entités du secteur privé comptant 50 salariés ou plus, les partis politiques, les syndicats et les organisations patronales bénéficiant de financements publics, ainsi que les fondations du secteur privé. Les municipalités de moins de 10 000 habitants peuvent partager un canal avec le conseil provincial.
Exigences relatives au canal interne : ce qu’impose la Ley 2/2023
L’article 5 de la Ley 2/2023 établit les exigences minimales pour le canal d’information interne :
Accessibilité et voies de communication. Le canal doit permettre la transmission d’informations tant par écrit qu’oralement et, dans ce dernier cas, l’informateur peut demander un entretien en personne avec le responsable du système. Le canal peut être géré en interne (par le responsable de la conformité, la fonction d’audit interne ou un organe ad hoc) ou externalisé auprès d’un tiers de confiance, à condition que la confidentialité de l’informateur soit garantie.
Confidentialité et identité de l’informateur. L’identité de l’informateur est strictement confidentielle. Les données susceptibles d’identifier l’informateur ne peuvent être communiquées qu’à l’autorité judiciaire ou au ministère public sur demande. Les signalements anonymes doivent être acceptés et traités (bien que la loi ne l’exige pas formellement, l’A-IPI a indiqué que le refus de traiter les signalements anonymes peut être révélateur d’un système de signalement déficient).
Accusé de réception et suivi. Le responsable du système doit envoyer un accusé de réception dans les sept jours ouvrables suivant la réception de l’information. Dans les trois mois suivant l’accusé de réception, le responsable du système doit informer l’informateur des mesures envisagées ou prises à la suite de l’information.
Responsable du système. La loi exige la désignation d’une personne physique ou d’une unité en qualité de responsable du système d’information interne. Cette personne doit agir en toute indépendance fonctionnelle, doit avoir accès à toutes les informations nécessaires au traitement du signalement et ne peut être sanctionnée ni désavantagée dans l’exercice de ses fonctions.
Protection des informateurs. Les informateurs qui remplissent les conditions de bonne foi et de vraisemblance ne peuvent subir aucune forme de représailles : licenciement, rétrogradation, modification des conditions de travail, harcèlement, exclusion de toute promotion ou toute autre mesure préjudiciable. La loi établit une présomption de représailles en faveur de l’informateur : si, dans l’année suivant la soumission du signalement, l’informateur subit une mesure préjudiciable, celle-ci est présumée constituer des représailles sauf si l’employeur prouve le contraire.
Le régime de sanctions : l’A-IPI
L’Autorité indépendante de protection des informateurs (A-IPI), prévue à l’article 25 de la Ley 2/2023, est l’organe chargé de veiller au respect de la loi, d’accompagner les informateurs et de mener les procédures de sanction. Son organisation et son fonctionnement sont régis par le Real Decreto 1101/2023.
Le régime de sanctions de la Ley 2/2023 (articles 61 à 70) distingue les infractions très graves, graves et mineures :
Infractions très graves : violation de la confidentialité de l’informateur, exercice de représailles, obstruction à l’enquête ou divulgation de l’identité de l’informateur. Amende de 601 001 € à 1 000 000 € pour les personnes morales (de 300 001 € à 600 000 € pour les personnes physiques).
Infractions graves : absence de canal d’information obligatoire, gestion inadéquate du canal, défaut de traitement des informations reçues ou absence de mesures de suivi. Amende de 100 001 € à 600 000 € pour les personnes morales (de 50 001 € à 300 000 € pour les personnes physiques).
Infractions mineures : non-conformités procédurales formelles. Amende pouvant atteindre 100 000 € pour les personnes morales (jusqu’à 50 000 € pour les personnes physiques).
Bilan de la première année : erreurs récurrentes de mise en œuvre
L’analyse des systèmes de canaux de signalement mis en œuvre au cours de la première année révèle une série d’erreurs récurrentes qui compromettent à la fois l’efficacité du canal et sa solidité en cas de procédure de sanction :
Canal dépourvu d’accusé de réception automatique. L’obligation d’envoyer un accusé de réception dans les sept jours ouvrables est l’une des plus fréquemment violées. Les systèmes qui ne génèrent pas automatiquement l’accusé de réception laissent l’informateur sans confirmation et exposent l’entreprise à des sanctions pour déficience procédurale.
Responsable du système sans véritable indépendance. La désignation du directeur des ressources humaines ou du responsable juridique en qualité de responsable du canal crée un conflit d’intérêts manifeste lorsque le signalement concerne la direction. L’indépendance du responsable doit être fonctionnellement et visiblement réelle, et non simplement formelle.
Canal limité aux infractions au droit de l’UE. Certains systèmes ont été conçus exclusivement pour les infractions au droit de l’UE couvertes par la directive, ignorant que la Ley 2/2023 étend la protection aux infractions au droit espagnol dans des domaines tels que les marchés publics, la prévention du blanchiment de capitaux, la sécurité au travail, l’environnement et la protection des données.
Absence de politique de gestion de l’information. La loi n’exige pas formellement une politique documentée, mais l’A-IPI la considère comme un élément essentiel du système. En l’absence d’une politique approuvée par l’organe de direction, il est difficile de démontrer dans le cadre d’une procédure de sanction que le canal fonctionne selon les standards requis.
Défaut de formation des salariés. La loi exige que les salariés soient informés de l’existence et du fonctionnement du canal. La simple publication sur l’intranet ne suffit pas ; une formation documentée est requise concernant le canal, les droits des informateurs et l’interdiction des représailles. Au cours de la première année, de nombreuses entreprises ont pu démontrer qu’elles disposaient d’un canal, mais non que leurs salariés en avaient connaissance ou comprenaient les droits qui leur sont conférés par la loi.
Considérations sectorielles
Secteur financier et entités réglementées : les entreprises supervisées par la Banque d’Espagne, la CNMV ou la DGSFP ont des obligations de conformité préexistantes en vertu de réglementations sectorielles spécifiques (MIFID II, AML/CFT, Solvabilité II). La Ley 2/2023 ne remplace pas ces obligations sectorielles mais ajoute une couche supplémentaire. Les entités réglementées doivent s’assurer que leur canal de signalement couvre à la fois les obligations sectorielles spécifiques et le périmètre plus large de la Ley 2/2023.
Sociétés cotées : les sociétés cotées sur les marchés boursiers espagnols sont soumises aux exigences supplémentaires de la Ley del Mercado de Valores (LMV) en matière de communication des irrégularités. L’A-IPI et la CNMV ont commencé à coordonner leurs activités de supervision afin d’éviter les lacunes réglementaires.
Groupes multinationaux : les sociétés mères établies hors d’Espagne peuvent être soumises à la directive sur les lanceurs d’alerte telle que transposée dans leur pays d’origine. Au sein des groupes présents dans plusieurs juridictions de l’UE, un canal interne partagé est possible à condition qu’il réponde aux exigences minimales de la législation de transposition de chaque État membre. Compte tenu des différences entre les transpositions nationales (notamment en ce qui concerne le périmètre et le traitement des signalements anonymes), un examen juridique du canal partagé au regard de chaque juridiction applicable est vivement recommandé.
Chez BMC, notre équipe juridique accompagne les entreprises dans la mise en œuvre de leur canal de signalement, les audits de première année et la défense dans le cadre des procédures de l’A-IPI. Découvrez nos services de conformité en matière de signalement.
