Qui doit se conformer a la Directive europeenne sur les lanceurs d’alerte ? #
Reponse courte : si votre organisation compte 50 employes ou plus et opere dans l’UE, vous avez presque certainement besoin d’un canal de signalement interne. Ce n’est pas facultatif. C’est la loi dans les 27 Etats membres de l’UE.
Voici tout ce que vous devez savoir pour determiner si vous devez vous conformer, ce que la conformite exige reellement et ce qui se passe si vous ne le faites pas.
Le seuil : 50 employes #
La Directive europeenne 2019/1937, articles 8(3)-(4), etablit l’obligation :
- 250+ employes : Doivent disposer d’un canal de signalement interne depuis le 17 decembre 2021 (echeance initiale de transposition).
- 50 a 249 employes : Doivent disposer d’un canal de signalement interne depuis le 17 decembre 2023 (echeance prorogee).
Si vous avez 50 employes ou plus dans l’UE, l’echeance est deja passee. Vous devriez avoir un canal en place maintenant.
Comment les employes sont comptes #
La Directive ne definit pas « employe » de maniere restrictive. Les Etats membres comptent :
- Les salaries a temps plein et a temps partiel (le temps partiel peut etre compte proportionnellement dans certains pays)
- Les travailleurs a duree determinee et les travailleurs temporaires
- Dans certains Etats membres : les travailleurs detaches, les stagiaires et les apprentis
Le decompte est base sur votre entite juridique, pas sur votre groupe. Si vous faites partie d’un groupe d’entreprises, chaque entite de 50 employes ou plus a besoin de son propre canal — bien que les entites de 50 a 249 employes puissent mutualiser les ressources pour la reception et l’investigation des signalements (Art. 8(6)).
Qui est concerne au-dela de l’effectif #
Plusieurs categories d’organisations doivent se conformer independamment du nombre d’employes :
Services financiers (Art. 8(4)) #
Toutes les entites operant dans les services financiers — banques, societes d’investissement, compagnies d’assurance, etablissements de paiement, fournisseurs de crypto-actifs — doivent disposer d’un canal de signalement quelle que soit leur taille. Cela s’applique meme si vous avez 5 employes. La Directive renvoie a la legislation sectorielle europeenne listee dans la partie I.B et la partie II de l’annexe.
Secteur public (Art. 8(9)) #
Les Etats membres peuvent exiger des municipalites et d’autres organismes publics qu’ils mettent en place des canaux internes. Beaucoup l’ont fait, souvent avec des seuils plus bas, voire aucun seuil.
Extensions nationales #
Certains Etats membres vont au-dela du minimum de la Directive :
- Italie : Les organisations ayant un programme de conformite « Modele 231 » doivent se conformer quelle que soit leur taille.
- Belgique : Les entreprises de 250+ employes doivent accepter les signalements anonymes (plus strict que le seuil de la Directive).
- France : Les obligations de la loi Sapin II s’appliquent aux entreprises de 500+ employes et 100 M EUR+ de chiffre d’affaires, ajoutant des exigences supplementaires a celles de la Directive.
Qui peut signaler #
La Directive protege une large categorie de « personnes effectuant un signalement » — pas seulement les employes. En vertu de l’article 4, les personnes suivantes sont protegees lorsqu’elles signalent via votre canal :
- Travailleurs (salaries, fonctionnaires, stagiaires, apprentis)
- Travailleurs independants (prestataires, freelances)
- Actionnaires et membres du conseil d’administration
- Benevoles
- Fournisseurs et leurs travailleurs (toute personne dans votre chaine d’approvisionnement)
- Candidats a l’emploi (personnes ayant eu connaissance de fautes pendant le processus de recrutement)
- Anciens travailleurs (personnes ayant eu connaissance de fautes pendant un emploi precedent)
Votre canal de signalement doit etre accessible a tous ces groupes, pas seulement aux employes actuels.
Ce que la conformite exige concretement #
Disposer d’un canal signifie satisfaire aux exigences des articles 8, 9 et 16 de la Directive. Voici le minimum :
1. Un canal de signalement securise (Art. 8) #
Un canal interne permettant le signalement par ecrit (et eventuellement oralement). Il doit :
- Etre accessible a toutes les personnes couvertes par la Directive (employes, prestataires, fournisseurs, etc.)
- Proteger la confidentialite de l’identite du lanceur d’alerte
- Ne pas exiger que le lanceur d’alerte s’identifie (le signalement anonyme est autorise dans la plupart des Etats membres)
2. Une procedure documentee (Art. 9) #
Le canal doit suivre une procedure definie :
| Exigence | Delai | Article |
|---|---|---|
| Accuser reception du signalement | Sous 7 jours | Art. 9(1)(b) |
| Designer une personne ou un service impartial pour le traiter | A reception | Art. 9(1)(a) |
| Assurer un suivi diligent | En continu | Art. 9(1)(c) |
| Fournir un retour au lanceur d’alerte | Sous 3 mois | Art. 9(1)(f) |
| Informer le lanceur d’alerte des options de signalement externe | A la soumission | Art. 9(1)(g) |
3. Protections de la confidentialite (Art. 16) #
L’identite du lanceur d’alerte ne doit pas etre divulguee a quiconque en dehors du personnel charge du traitement, sans le consentement explicite du lanceur d’alerte. Cela signifie :
- Controles d’acces : seuls les referents autorises voient les signalements
- Pas d’enregistrement d’IP ni de suivi susceptible d’identifier les lanceurs d’alerte anonymes
- Donnees chiffrees au repos
4. Conservation des dossiers (Art. 18) #
Les signalements doivent etre stockes de maniere securisee et conserves conformement a la legislation nationale. Vous avez besoin d’une piste d’audit capable de demontrer la conformite aux regulateurs.
5. Mesures anti-represailles (Art. 19–21) #
Vous ne devez pas exercer de represailles contre les lanceurs d’alerte. Cela inclut le licenciement, la retrogradation, le blocage de promotion, la modification des fonctions ou toute autre forme de prejudice. Les lanceurs d’alerte doivent etre informes de cette protection.
Ce qui ne constitue PAS une mise en conformite #
Certaines pratiques que les organisations tentent et qui ne repondent pas aux exigences de la Directive :
- Une adresse email generique (par exemple, [email protected]). Cela ne protege pas la confidentialite, ne suit pas les delais et ne cree pas de piste d’audit.
- Une boite a suggestions anonyme. Pas de communication bidirectionnelle, pas d’accuse de reception, pas de mecanisme de retour.
- Une page dans le reglement interieur. Le canal doit etre operationnel, pas seulement documente.
- Une ligne telephonique tierce sans gestion des dossiers. Si les signalements arrivent par telephone mais ne sont pas suivis dans un systeme avec delais et piste d’audit, vous n’etes pas conforme a l’Art. 9.
Que se passe-t-il en cas de non-conformite #
Chaque Etat membre a defini des sanctions. Elles varient considerablement :
| Pays | Sanction pour absence de canal de signalement | Source |
|---|---|---|
| Espagne | Jusqu’a 1 000 000 EUR | Law 2/2023 |
| Belgique | 24 000 a 576 000 EUR + jusqu’a 3 ans de prison | CMS Expert Guide |
| Allemagne | 20 000 a 500 000 EUR (personnes morales) | HinSchG §40 |
| Italie | 10 000 a 50 000 EUR | D.Lgs. 24/2023 |
| Pologne | Jusqu’a 1 080 000 PLN (~250 000 EUR) | Act of 14 June 2024 |
L’application n’est pas theorique. En mars 2025, la Cour de justice de l’UE a inflige a cinq Etats membres des amendes totalisant 39 millions d’euros pour retard de transposition de la Directive. Les autorites nationales de controle sont desormais operationnelles dans la plupart des pays et prononcent activement des sanctions.
Consultez notre page complete des sanctions par pays pour les 27 Etats membres.
Le chemin le plus rapide vers la conformite #
Si votre organisation compte 50 employes ou plus, l’echeance est passee. Voici comment vous mettre en conformite :
- Mettez en place un canal de signalement. EthicsPortal se configure en quelques minutes — inscrivez-vous, configurez votre portail, partagez le lien. 49 EUR/mois, tout inclus.
- Designez un referent. Nommez au moins une personne impartiale pour recevoir et investiguer les signalements.
- Informez les employes. Partagez l’URL du portail et le QR code via des affiches, des supports d’integration et des communications internes.
- Documentez votre procedure. Adoptez une politique interne de protection des lanceurs d’alerte decrivant le processus, les delais et les protections anti-represailles.
Le logiciel est la partie facile. L’ensemble de la mise en place — canal, configuration, QR code — peut etre fait pendant une pause dejeuner. Les etapes organisationnelles (designation du referent, politique, formation) prennent plus de temps mais sont simples.
Pour une analyse article par article de la facon dont EthicsPortal repond aux exigences de la Directive, consultez notre page de conformite.