Qui doit se conformer à la Loi Waserman (lanceurs d’alerte) ? #
Réponse courte : si votre organisation compte 50 salariés ou plus et opère en France, vous avez besoin d’un canal de signalement interne. Ce n’est pas facultatif. La Loi Waserman (n° 2022-401) transpose en droit français la Directive UE 2019/1937 et est en vigueur depuis septembre 2022.
Voici tout ce que vous devez savoir pour déterminer si vous devez vous conformer, ce que la conformité exige réellement et ce qui se passe si vous ne le faites pas.
Le seuil : 50 employés #
La Directive européenne 2019/1937, articles 8(3)-(4), établit l’obligation :
- 250+ employés : Doivent disposer d’un canal de signalement interne depuis le 17 décembre 2021 (échéance initiale de transposition).
- 50 à 249 employés : Doivent disposer d’un canal de signalement interne depuis le 17 décembre 2023 (échéance prorogée).
Si vous avez 50 employés ou plus dans l’UE, l’échéance est déjne passée. Vous devriez avoir un canal en place maintenant.
Comment les employés sont comptés #
La Directive ne définit pas « employé » de manière restrictive. Les États membres comptent :
- Les salariés à temps plein et à temps partiel (le temps partiel peut être compté proportionnellement dans certains pays)
- Les travailleurs à durée déterminée et les travailleurs temporaires
- Dans certains États membres : les travailleurs détachés, les stagiaires et les apprentis
Le décompte est basé sur votre entité juridique, pas sur votre groupe. Si vous faites partie d’un groupe d’entreprises, chaque entité de 50 employés ou plus a besoin de son propre canal — bien que les entités de 50 à 249 employés puissent mutualiser les ressources pour la réception et l’investigation des signalements (Art. 8(6)).
Qui est concerné au-delà de l’effectif #
Plusieurs catégories d’organisations doivent se conformer indépendamment du nombre d’employés :
Services financiers (Art. 8(4)) #
Toutes les entités opérant dans les services financiers — banques, sociétés d’investissement, compagnies d’assurance, établissements de paiement, fournisseurs de crypto-actifs — doivent disposer d’un canal de signalement quelle que soit leur taille. Cela s’applique même si vous avez 5 employés. La Directive renvoie à la législation sectorielle européenne listée dans la partie I.B et la partie II de l’annexe.
Secteur public (Art. 8(9)) #
Les États membres peuvent exiger des municipalités et d’autres organismes publics qu’ils mettent en place des canaux internes. Beaucoup l’ont fait, souvent avec des seuils plus bas, voire aucun seuil.
Extensions nationales #
Certains États membres vont au-delà du minimum de la Directive :
- Italie : Les organisations ayant un programme de conformité « Modèle 231 » doivent se conformer quelle que soit leur taille.
- Belgique : Les entreprises de 250+ employés doivent accepter les signalements anonymes (plus strict que le seuil de la Directive).
- France : La Loi Waserman (2022-401) transposant la Directive a supprimé l’obligation d’utiliser les canaux internes avant les autorités externes — les signalants peuvent désormais choisir l’un ou l’autre. Les obligations anti-corruption plus larges de la Loi Sapin II (distinctes du canal de signalement) s’appliquent toujours aux entreprises de 500+ employés et 100 M EUR+ de chiffre d’affaires.
Qui peut signaler #
La Directive protège une large catégorie de « personnes effectuant un signalement » — pas seulement les employés. En vertu de l’article 4, les personnes suivantes sont protégées lorsqu’elles signalent via votre canal :
- Travailleurs (salariés, fonctionnaires, stagiaires, apprentis)
- Travailleurs indépendants (prestataires, freelances)
- Actionnaires et membres du conseil d’administration
- Bénévoles
- Fournisseurs et leurs travailleurs (toute personne dans votre chaîne d’approvisionnement)
- Candidats à l’emploi (personnes ayant eu connaissance de fautes pendant le processus de recrutement)
- Anciens travailleurs (personnes ayant eu connaissance de fautes pendant un emploi précédent)
Votre canal de signalement doit être accessible à tous ces groupes, pas seulement aux employés actuels.
Ce que la conformité exige concrètement #
Disposer d’un canal signifie satisfaire aux exigences des articles 8, 9 et 16 de la Directive. Voici le minimum :
1. Un canal de signalement sécurisé (Art. 8) #
Un canal interne permettant le signalement par écrit (et éventuellement oralement). Il doit :
- Être accessible à toutes les personnes couvertes par la Directive (employés, prestataires, fournisseurs, etc.)
- Protéger la confidentialité de l’identité du lanceur d’alerte
- Ne pas exiger que le lanceur d’alerte s’identifie (le signalement anonyme est autorisé dans la plupart des États membres)
2. Une procédure documentée (Art. 9) #
Le canal doit suivre une procédure définie :
| Exigence | Délai | Article |
|---|---|---|
| Accuser réception du signalement | Sous 7 jours | Art. 9(1)(b) |
| Désigner une personne ou un service impartial pour le traiter | À réception | Art. 9(1)(a) |
| Assurer un suivi diligent | En continu | Art. 9(1)(c) |
| Fournir un retour au lanceur d’alerte | Sous 3 mois | Art. 9(1)(f) |
| Informer le lanceur d’alerte des options de signalement externe | À la soumission | Art. 9(1)(g) |
3. Protections de la confidentialité (Art. 16) #
L’identité du lanceur d’alerte ne doit pas être divulguée à quiconque en dehors du personnel chargé du traitement, sans le consentement explicite du lanceur d’alerte. Cela signifie :
- Contrôles d’accès : seuls les référents autorisés voient les signalements
- Pas d’enregistrement d’IP ni de suivi susceptible d’identifier les lanceurs d’alerte anonymes
- Données chiffrées au repos
4. Conservation des dossiers (Art. 18) #
Les signalements doivent être stockés de manière sécurisée et conservés conformément à la législation nationale. Vous avez besoin d’une piste d’audit capable de démontrer la conformité aux régulateurs.
5. Mesures anti-représailles (Art. 19–21) #
Vous ne devez pas exercer de représailles contre les lanceurs d’alerte. Cela inclut le licenciement, la rétrogradation, le blocage de promotion, la modification des fonctions ou toute autre forme de préjudice. Les lanceurs d’alerte doivent être informés de cette protection.
Ce qui ne constitue PAS une mise en conformité #
Certaines pratiques que les organisations tentent et qui ne répondent pas aux exigences de la Directive :
- Une adresse email générique (par exemple, conformité@entreprise.com). Cela ne protège pas la confidentialité, ne suit pas les délais et ne crée pas de piste d’audit.
- Une boîte à suggestions anonyme. Pas de communication bidirectionnelle, pas d’accusé de réception, pas de mécanisme de retour.
- Une page dans le règlement intérieur. Le canal doit être opérationnel, pas seulement documenté.
- Une ligne téléphonique tierce sans gestion des dossiers. Si les signalements arrivent par téléphone mais ne sont pas suivis dans un système avec délais et piste d’audit, vous n’êtes pas conforme à l’Art. 9.
Que se passe-t-il en cas de non-conformité #
Chaque État membre a défini des sanctions. Elles varient considérablement :
| Pays | Sanction pour absence de canal de signalement | Source |
|---|---|---|
| Espagne | Jusqu’à 1 000 000 EUR | Law 2/2023 |
| Belgique | 24 000 à 576 000 EUR + jusqu’à 3 ans de prison | CMS Expert Guide |
| Allemagne | 20 000 à 500 000 EUR (personnes morales) | HinSchG §40 |
| Italie | 10 000 à 50 000 EUR | D.Lgs. 24/2023 |
| Pologne | Jusqu’à 1 080 000 PLN (~250 000 EUR) | Act of 14 June 2024 |
L’application n’est pas théorique. En mars 2025, la Cour de justice de l’UE a infligé à cinq États membres des amendes totalisant 39 millions d’euros pour retard de transposition de la Directive. Les autorités nationales de contrôle sont désormais opérationnelles dans la plupart des pays et prononcent activement des sanctions.
Consultez notre page complète des sanctions par pays pour les 27 États membres.
Le chemin le plus rapide vers la conformité #
Si votre organisation compte 50 employés ou plus, l’échéance est passée. Voici comment vous mettre en conformité :
- Déployez un canal de signalement. EthicsPortal fournit la configuration du portail, l’intake sécurisé, le suivi des délais et les exports d’audit pour 60 EUR/mois.
- Désignez un référent. Nommez au moins une personne impartiale pour recevoir et investiguer les signalements.
- Informez les employés. Partagez l’URL du portail et le QR code via des affiches, des supports d’intégration et des communications internes.
- Documentez votre procédure. Adoptez une politique interne de protection des lanceurs d’alerte décrivant le processus, les délais et les protections anti-représailles.
Le logiciel est la partie facile. L’ensemble de la mise en place — canal, configuration, QR code — peut être fait pendant une pause déjeuner. Les étapes organisationnelles (désignation du référent, politique, formation) prennent plus de temps mais sont simples.
Pour une analyse article par article de la façon dont EthicsPortal répond aux exigences de la Directive, consultez notre page de conformité .
Dernière mise à jour: