Skip to main content Obligatoire dans l'UE pour les organisations de plus de 50 employés →

Checklist de conformité à la directive européenne sur les lanceurs d’alerte #

La directive européenne 2019/1937 impose aux organisations de 50 salariés ou plus de mettre en place des canaux internes de signalement et de protéger les personnes qui signalent des violations du droit de l’Union. La plupart des États membres ont transposé la directive en droit national, et son application est effective.

Cette checklist vous guide à travers les douze étapes vers une conformité complète. Pour chaque point, nous citons l’article pertinent de la directive, partageons des conseils pratiques et indiquons comment les outils peuvent vous aider.

La checklist #

1. Déterminer si votre organisation est concernée #

Référence directive : Article 8(3–4)

Toutes les entités juridiques du secteur privé employant 50 travailleurs ou plus doivent établir des canaux de signalement internes. Les entités du secteur public, les municipalités et les entités de certains secteurs réglementés (services financiers, sécurité aérienne, maritime, etc.) sont concernées quelle que soit leur taille.

Conseil pratique : Comptez tous les travailleurs, pas seulement les salariés à temps plein. Le personnel à temps partiel, les prestataires travaillant sur site et les intérimaires peuvent être pris en compte dans le seuil selon la loi de transposition de votre État membre.

2. Mettre en place un canal de signalement interne #

Référence directive : Article 8(1), Article 9(1)(a)

Le canal doit permettre les signalements par écrit (formulaire en ligne, e-mail, courrier postal) ou oralement (téléphone, messagerie vocale), ou les deux. Sur demande, il doit également permettre des réunions en personne dans un délai raisonnable.

Conseil pratique : Un portail en ligne est l’option la plus pratique — il est accessible 24h/24, crée un enregistrement automatique et permet une communication anonyme bidirectionnelle. Évitez d’utiliser des adresses e-mail génériques ; elles ne disposent ni de chiffrement, ni d’anonymat, ni de piste d’audit.

Comment EthicsPortal vous aide : Fournit un portail en ligne personnalisé avec signalement anonyme chiffré et messagerie bidirectionnelle, prêt en quelques minutes.

3. Désigner une personne ou un service impartial pour traiter les signalements #

Référence directive : Article 9(1)(c)

Vous devez désigner une personne ou un service compétent pour assurer le suivi des signalements. Cette personne doit être impartiale — elle ne doit pas avoir de conflit d’intérêts avec l’objet des signalements.

Conseil pratique : Les choix courants incluent un responsable conformité, un conseiller juridique, un directeur des ressources humaines ou un médiateur externe. Pour les petites organisations, le dirigeant peut remplir ce rôle s’il est peu probable qu’il fasse l’objet de signalements. Envisagez de désigner un suppléant.

4. Mettre en place le processus d’accusé de réception (délai de 7 jours) #

Référence directive : Article 9(1)(b)

Vous devez accuser réception d’un signalement dans les sept jours calendaires. Cela s’applique à tous les signalements, y compris les signalements anonymes.

Conseil pratique : Automatisez ce processus. Un traitement manuel risque de dépasser le délai de sept jours pendant les vacances ou les absences.

Comment EthicsPortal vous aide : Suit le délai d’accusé de réception pour chaque signalement et indique aux gestionnaires de cas quels signalements nécessitent une attention.

5. Définir le processus de retour d’information (délai de 3 mois) #

Référence directive : Article 9(1)(f)

Vous devez fournir un retour d’information à l’auteur du signalement dans les trois mois suivant l’accusé de réception. Ce retour comprend : si le signalement est en cours d’évaluation, fait l’objet d’une enquête ou a été clôturé, ainsi que le résultat de toute enquête.

Conseil pratique : Le « retour d’information » n’exige pas de divulguer l’intégralité des conclusions de l’enquête. Informer le lanceur d’alerte que l’affaire a fait l’objet d’une enquête et que des mesures appropriées ont été prises est suffisant. Pour les lanceurs d’alerte anonymes, le retour d’information doit être disponible via le canal de signalement (par exemple, via un code d’accès).

Comment EthicsPortal vous aide : Suit le délai de retour d’information de trois mois par dossier et permet la messagerie bidirectionnelle avec les lanceurs d’alerte anonymes via des codes d’accès.

6. Mettre en oeuvre des mesures de confidentialité #

Référence directive : Article 16

L’identité de l’auteur du signalement ne doit être divulguée à personne en dehors des gestionnaires de cas autorisés sans le consentement explicite du lanceur d’alerte. Cela couvre également les informations permettant de déduire indirectement l’identité du lanceur d’alerte.

Conseil pratique : Limitez strictement l’accès aux signalements. Ne partagez pas les détails des signalements lors de réunions où des personnes non autorisées sont présentes. Lorsque vous transmettez des dossiers en interne, anonymisez les informations identifiant le lanceur d’alerte. Assurez-vous que vos systèmes informatiques appliquent des contrôles d’accès.

Comment EthicsPortal vous aide : Le contrôle d’accès basé sur les rôles garantit que seuls les gestionnaires de cas désignés peuvent consulter les signalements. L’identité du lanceur d’alerte n’est jamais exposée sauf si celui-ci la partage volontairement.

7. Établir des protections contre les représailles #

Référence directive : Articles 19, 20, 21

Les auteurs de signalements, les facilitateurs et les tiers liés doivent être protégés contre les représailles. La directive définit les représailles de manière large : licenciement, rétrogradation, intimidation, inscription sur liste noire, et plus encore. La charge de la preuve est inversée — si un lanceur d’alerte subit un préjudice après avoir fait un signalement, l’employeur doit prouver que le préjudice n’est pas lié au signalement.

Conseil pratique : Documentez cette protection dans votre politique de lancement d’alerte. Formez les managers sur ce qui constitue une représaille. Suivez les décisions concernant le personnel impliquant toute personne ayant fait un signalement, afin de pouvoir démontrer que les décisions ont été prises sur des bases légitimes.

8. Former les gestionnaires de cas #

Référence directive : Article 9(1)(c–f) (implicite)

La directive ne prescrit pas de formation spécifique, mais les gestionnaires de cas doivent être compétents pour remplir les obligations qu’elle crée : maintenir la confidentialité, fournir un accusé de réception dans les sept jours, assurer un suivi diligent et fournir un retour d’information dans les trois mois.

Conseil pratique : Au minimum, formez les gestionnaires de cas sur : l’utilisation du canal de signalement, les obligations de confidentialité, les bases de l’enquête, les règles anti-représailles et la protection des données. Documentez la formation. Renouvelez-la chaque année.

9. Informer les employés de l’existence du canal de signalement #

Référence directive : Article 9(1)(g)

Vous devez fournir des informations claires et facilement accessibles sur la manière d’utiliser le canal de signalement interne. Vous devez également informer les employés de leur droit de signaler directement aux autorités compétentes.

Conseil pratique : Publiez les informations sur votre intranet, intégrez-les dans les documents d’accueil et affichez-les dans les espaces communs. Un QR code renvoyant vers le portail de signalement est un moyen efficace de rendre le canal facilement accessible.

Comment EthicsPortal vous aide : Génère un QR code et un lien partageable pour votre portail que vous pouvez imprimer et distribuer.

10. Mettre en place la conservation et la suppression des données #

Référence directive : Article 17(1–3)

Les données personnelles contenues dans les signalements ne doivent pas être conservées plus longtemps que nécessaire. Les données manifestement non pertinentes doivent être supprimées rapidement. Les durées de conservation spécifiques dépendent de la législation de votre État membre, mais le principe est : conserver aussi longtemps que nécessaire pour l’enquête et les procédures qui en résultent, puis supprimer.

Conseil pratique : Définissez une durée de conservation dans votre politique (les choix courants sont de deux à cinq ans après la clôture du dossier, selon la législation nationale). Programmez des rappels pour examiner et supprimer les dossiers clôturés.

11. Rédiger une politique écrite de lancement d’alerte #

Référence directive : Articles 8, 9 (implicite), ainsi que la plupart des lois nationales de transposition

Bien que la directive n’impose pas explicitement un document de politique distinct, la plupart des lois nationales de transposition le font, et c’est pratiquement nécessaire pour remplir les obligations d’information de l’article 9(1)(g).

Conseil pratique : Votre politique devrait couvrir : le champ d’application, qui peut signaler, ce qui peut être signalé, comment signaler, la confidentialité, la protection contre les représailles, le processus d’enquête, les délais de retour d’information et la protection des données. Consultez notre modèle gratuit de politique de lancement d’alerte pour un document prêt à l’emploi.

12. Documenter la conformité pour les contrôles réglementaires #

Référence directive : Article 11(2) (canaux externes), lois nationales de transposition (internes)

Plusieurs États membres exigent des organisations qu’elles documentent le respect de leurs obligations et mettent cette documentation à disposition des régulateurs sur demande.

Conseil pratique : Conservez des traces de : la date de mise en place du canal de signalement, l’identité des gestionnaires de cas désignés, les registres de formation, la politique de lancement d’alerte (avec historique des versions) et les statistiques agrégées sur les signalements reçus et traités. Ne conservez pas les détails individuels des dossiers au-delà de la durée de conservation autorisée.

Prochaines étapes #

Si vous avez coché chaque case ci-dessus, votre organisation est conforme aux exigences fondamentales de la directive 2019/1937. La conformité n’est pas un événement ponctuel — révisez votre dispositif chaque année, reformez les gestionnaires et mettez à jour votre politique à mesure que la législation nationale évolue.

Besoin d’un canal de signalement ? EthicsPortal vous offre un portail de signalement anonyme et conforme en quelques minutes — 49 €/mois tout compris, sans tarification par employé, sans appel commercial. Commencez dès aujourd’hui.