Wikileaks, Luxleaks, Panama Papers… Ces dernières années, le nombre d’affaires révélées par des lanceurs d’alerte est en constante augmentation, aussi bien en France qu’à l’étranger. Elles entraînent des conséquences extrêmement lourdes aussi bien pour l’entreprise que pour le lanceur d’alerte.
Cette succession d’événements a conduit le Parlement français à adopter, le 9 décembre 2016, la loi Sapin 2. L’objectif de cette loi est notamment d’assurer une meilleure protection de ces lanceurs d’alerte et d’encadrer les signalements pour garantir le respect du secret des affaires.
L’obligation de mettre en place un dispositif de recueil des signalements
A compter du 1er janvier 2018, certains types de structures, tant publiques que privées, énumérés par la loi, devront obligatoirement mettre en place des procédures relatives au recueil des signalements. Jusqu’à présent, les recommandations de la CNIL permettaient le recueil d’un certain nombre d’alertes spécifiques émises par les employés et propres à certains secteurs. Désormais, le périmètre de ces alertes professionnelles a été étendu.
Pour ce faire, il sera nécessaire de définir en amont la procédure comme mesure de vigilance et de la diffuser en interne, afin de traiter au mieux un signalement, et ce, notamment, pour éviter un préjudice pour l’entreprise.
Le décret d’application indique plus précisément la procédure qui doit être suivie. L’organisme doit informer le lanceur d’alerte de :
- la réception de son signalement,
- le délai raisonnable et prévisible à l’examen de sa recevabilité
- et les modalités suivant lesquelles il sera informé des suites de son signalement.
Pour le traitement des signalements, les entreprises doivent désigner en interne les personnes susceptibles de recevoir de tels signalements et définir une procédure à suivre pour prendre en charge le lanceur d’alerte.
Le lanceur d’alerte : une personne protégée par la loi
Pour bénéficier de la protection accordée par la loi Sapin 2, le lanceur d’alerte doit répondre à plusieurs conditions cumulatives :
- Il doit être une personne physique,
- Désintéressé et de bonne foi
- Et il doit révéler ou signaler des faits dont il a eu personnellement connaissance tels que :
- un crime ou un délit,
- une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement de la loi ou du règlement,
- une menace ou un préjudice grave pour l’intérêt général.
Dès lors que le lanceur d’alerte remplit ces conditions, il doit bénéficier de la protection spécifique offerte par la loi. Son alerte ne pourra donc pas être considérée comme une violation du secret des affaires pour laquelle il pourrait être condamné.
Les étapes d’alerte à respecter
Sauf urgence ou péril imminent, le lanceur d’alerte doit respecter plusieurs étapes obligatoires pour bénéficier de la protection avant de rendre son alerte publique :
Le dispositif de protection
La protection du lanceur d’alerte est assurée par une immunité pénale, c’est-à-dire qu’il ne pourra être condamné pour la révélation de ces informations, à moins que celles-ci soient couvertes par le secret défense, le secret médical, ou le secret des correspondances entre l’avocat et son client.
Egalement, le lanceur d’alerte est désormais censé être protégé contre d’éventuelles représailles ou discriminations, notamment lors d’une future procédure de recrutement. C’est désormais le recruteur qui devra apporter la preuve qu’il n’y a pas eu de discriminations à l’embauche. Avant la loi Sapin 2, de nombreux lanceurs d’alerte étaient confrontés à ce type de discrimination qui était, par ailleurs, difficile à prouver. Cela a, par exemple, été le cas pour Stéphanie Gibaud, directrice de la communication chez UBS France. Elle a dénoncé des pratiques d’évasion et de fraude fiscales en bande organisée d’UBS Suisse et UBS France. Ses révélations ont permis de rapatrier plus de 12 milliards d’euros en France. Elle a cependant été licenciée à la suite de son signalement et n’a depuis pas retrouvé d’emploi.
Ainsi, c’est le changement majeur qu’a voulu opérer la loi Sapin 2 : protéger l’identité et réduire les conséquences néfastes pour les lanceurs d’alerte. Jusqu’à présent, cette disposition semble fonctionner. En effet, le mois dernier, une plainte pour diffamation a été rejetée contre une employée d’un centre d’accueil pour handicapés, qui révélait des dysfonctionnements au sein de cette structure.
Comment garantir la stricte confidentialité du lanceur d’alerte ?
Avant l’adoption de la loi Sapin 2, l’anonymat des lanceurs d’alerte était rarement préservé. Le seul contre-exemple, à ce jour, est l’affaire des Panama Papers dans laquelle la source n’a, pour le moment, pas été dévoilée.
Pour remédier à ce problème, la loi Sapin 2 impose la mise en place de procédures qui garantissent « une stricte confidentialité de l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement. ». Cette stricte confidentialité est exigée à la fois pour garantir la protection du lanceur d’alerte et pour l’encourager à dénoncer des pratiques illégales des entreprises. Les éléments de nature à identifier le lanceur d’alerte ne peuvent donc être divulgués, sauf à l’autorité judiciaire et seulement avec le consentement de celui-ci.
Les limites du dispositif
La question de stricte confidentialité continue à se poser avec l’entrée en vigueur de la loi Sapin 2. En effet, la loi précise que le lanceur d’alerte doit adresser son signalement à son supérieur hiérarchique direct ou indirect, à son employeur ou à un référent désigné. La personne qui recueille le signalement doit, par ailleurs, obligatoirement mentionner la personne à l’origine de l’alerte. Même si ces données doivent rester confidentielles, il est possible que l’information soit malencontreusement diffusée au sein de l’entreprise. L’entité concernée doit donc être particulièrement vigilante à garantir la confidentialité de ces informations car la diffusion de telles données est sévèrement punie par la loi.
C’est la raison pour laquelle le décret d’application de la loi Sapin 2 prévoit la possibilité d’externaliser le recueil des signalements en désignant un référent extérieur à l’entreprise, ce qui représente certainement la meilleure sécurité qui peut être offerte au lanceur d’alerte. Il aurait certainement fallu que cette externalisation soit une procédure obligatoire afin de réellement garantir l’anonymat du lanceur d’alerte.
Malgré une définition restrictive, la loi Sapin 2 garantit aux lanceurs d’alerte une forte protection, dans un objectif de transparence. Cependant, une directive pour la protection du secret des affaires a été adoptée par l’Union Européenne, en avril 2016. Elle a pour objet la protection du secret des affaires à l’encontre de toute obtention, utilisation ou divulgation illicite. Après sa future transposition en droit français, on peut se demander si la protection des lanceurs d’alerte ne sera pas seulement réduite au profit du secret des affaires.
Mathilde de Gournay