Conformité à la Loi Waserman et à la Directive UE 2019/1937 #
La Loi Waserman (n° 2022-401 du 21 mars 2022) transpose en droit français la Directive européenne 2019/1937 sur la protection dès lanceurs d’alerte. Elle renforce et remplace les dispositions de la Loi Sapin II (2016-1691) en matière de signalement.
EthicsPortal est conçu pour maintenir votre organisation en conformité avec la Loi Waserman et le RGPD. Chaque fonctionnalité correspond directement à une exigence légale — pas de fonctionnalités superflues, pas de ventes additionnelles.
La présente page constitue la correspondance exigence-fonctionnalité : chaque article de la directive est associé à la capacité spécifique d’EthicsPortal qui y répond. Pour la manière dont EthicsPortal interprète les dispositions ambiguës de ces articles — seuil de 50 travailleurs, « suivi diligent », justifications de la durée de conservation, base juridique RGPD, primauté du droit national — consultez la méthodologie distincte.
Dernière mise à jour : 2026-05-17.
§1. Spécificités françaises (Loi Waserman) #
La Loi Waserman va au-delà de la Directive européenne sur plusieurs points :
- Fin du signalement en cascade — les lanceurs d’alerte peuvent signaler directement aux autorités externes sans passer d’abord par le canal interne (Art. 8 )
- Sanctions pénales — l’obstruction d’un signalement est punie de 60 000 € d’amende et d’un an d’emprisonnement ; les représailles sont punies de 60 000 € et de trois ans d’emprisonnement
- Protection élargie — les facilitateurs (personnes aidant le lanceur d’alerte) et les personnes en lien àvec le lanceur d’alerte sont également protégés
- Durée de conservation — les données des signalements doivent être conservées pendant 5 ans maximum (Décret n° 2022-1284 )
§2. Canaux de signalement (Art. 8) #
Les organisations de 50 employés ou plus doivent mettre en place des canaux de signalement internes sécurisés.
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Canal sécurisé pour le signalement | Portail web chiffré avec URL unique par organisation |
| Confidentialité de l’identité du lanceur d’alerte | Chiffrement de bout en bout de toutes les données personnelles, aucune journalisation des adresses IP, suppression automatique des métadonnées des fichiers joints |
| Accessible à tous les travailleurs | Portail web fonctionnant sur tout appareil, aucune installation d’application ni création de compte requise |
| Personnalisable pour l’organisation | Catégories configurables, logo et message de bienvenue |
§3. Procédures de signalement (Art. 9) #
| Exigence | Article | Comment EthicsPortal y répond |
|---|---|---|
| Désigner une personne ou un département impartial | Art. 9(1)(c) | Système d’assignation des dossiers avec contrôle d’accès basé sur les rôles — seuls les gestionnaires autorisés voient les signalements |
| Accuser réception dans les 7 jours | Art. 9(1)(b) | Suivi automatique des délais avec notifications par e-mail aux gestionnaires à l’approche ou au dépassement du délai de 7 jours |
| Suivi diligent par la personne désignée | Art. 9(1)(d) | Gestion des dossiers avec circuit de statut (reçu, accusé de réception, en cours d’investigation, clôturé), notes internes pour la collaboration entre gestionnaires et journal d’audit complet |
| Fournir un retour dans les 3 mois | Art. 9(1)(f) | Suivi automatique du délai de 3 mois avec alertes de retard envoyées à tous les administrateurs de l’organisation. Les lanceurs d’alerte voient le calendrier sur le portail et peuvent consulter le statut à tout moment à l’aide de leur code d’accès et de leur code secret |
| Permettre le signalement oral (téléphone, messagerie vocale ou rencontre physique à la demande) | Art. 9(2) | Numéro de téléphone configurable affiché sur le portail ; les gestionnaires peuvent enregistrer les signalements par téléphone, en personne et par courrier directement dans le système |
| Informer sur les possibilités de signalement externe | Art. 9(1)(g) | Le portail affiche des informations sur le droit du lanceur d’alerte de contacter les autorités compétentes, conformément à la Loi Waserman (qui supprime l’obligation de signalement interne préalable) |
§4. Champ de la protection (Art. 4) #
La Directive protège non seulement les employés, mais aussi les contractants, fournisseurs, actionnaires et autres tiers.
EthicsPortal affiche des indications claires sur le portail précisant que le signalement est ouvert àux employés, contractants, fournisseurs et tout autre tiers.
§5. Anti-représailles (Art. 6, 19–21) #
Les lanceurs d’alerte doivent être informés que les représailles sont interdites par la loi.
EthicsPortal affiche un avis de protection contre les représailles sur chaque page du portail, en référence à la Loi Waserman, avant que le lanceur d’alerte ne soumette son signalement.
§6. Confidentialité de l’identité (Art. 16) #
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Identité non divulguée au-delà du personnel autorisé | Contrôle d’accès basé sur les rôles — seuls les administrateurs, le responsable principal et les participants explicitement ajoutés (juridique, RH, etc.) peuvent consulter un signalement. Les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés ou auxquels ils ont été ajoutés comme participants |
| Anonymat du gestionnaire vis-à-vis du lanceur d’alerte | Les lanceurs d’alerte voient « Gestionnaire du dossier » dans les messages, jamais le nom réel ni l’adresse e-mail du gestionnaire |
| Données sensibles chiffrées | Les noms dès lanceurs d’alerte, leurs coordonnées, les descriptions des signalements et le contenu des messages sont chiffrés au repos avec un chiffrement non déterministe |
Aucun traitement par IA du contenu des signalements. La confidentialité visée par l’Art. 16 couvre également quels tiers voient le signalement. EthicsPortal ne transmet ni le contenu des signalements, ni l’identité des lanceurs d’alerte, ni les communications relatives au dossier à un grand modèle de langage ou à un service d’inférence IA — ni pour la catégorisation, ni pour la synthèse, ni pour la traduction. Aucun fournisseur d’IA (OpenAI, Anthropic, Google, Mistral ou autre) n’est sous-traitant ultérieur. Cela retire une catégorie entière de divulgations de sous-traitants de votre DPA et écarte les considérations relatives à l’Art. 22 (décision automatisée) de votre AIPD. Voir la liste des sous-traitants pour l’entrée correspondante.
Deux raisons supplémentaires pour lesquelles il s’agit d’une décision de niveau confidentialité, et non d’une préférence fonctionnelle :
- Aucune hallucination dans la chaîne de preuve de conformité. Les grands modèles de langage produisent des sorties probabilistes. Une synthèse indiquant « ce signalement ne paraît pas urgent » est une probabilité, pas un fait, et ne peut être ni reproduite ni auditée. EthicsPortal consigne l’acteur, l’action et l’horodatage de manière déterministe — le journal d’audit est une preuve, pas une conjecture.
- Aucune surface d’attaque par injection d’invite sur les signalements. Les saisies des lanceurs d’alerte sont par définition non fiables. Les acheminer dans un LLM crée une classe d’attaques où des instructions dissimulées dans le texte du signalement peuvent manipuler la sortie destinée aux gestionnaires (réponses suggérées, synthèses, catégorisation). EthicsPortal supprime entièrement cette surface en n’effectuant aucune inférence sur le contenu des signalements.
§7. Conservation des documents (Art. 18) #
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Conserver un registre de chaque signalement | Journal d’audit complet de toutes les actions : soumissions, changements de statut, messages, assignations et consultations de signalements |
| Documents stockés de manière sécurisée | Tous les champs sensibles sont chiffrés au repos |
| Documents récupérables | Export complet du dossier en PDF incluant les métadonnées, le fil de messages, la liste des pièces jointes et le journal d’audit. Rapport PDF de conformité au niveau de l’organisation disponible pour les auditeurs — incluant une liste de contrôle de la Directive, des indicateurs SLA et un résumé de la protection des données sans exposer les données sensibles des signalements |
| Supprimer les documents lorsqu’ils ne sont plus nécessaires | Durée de conservation configurable (12, 24, 36 ou 60 mois) avec suppression automatique des signalements clôturés expirés |
§8. Conformité au RGPD #
| Exigence | Article | Comment EthicsPortal y répond |
|---|---|---|
| Base légale du traitement | Art. 6(1)(c) | Le traitement est nécessaire au respect de la Directive européenne 2019/1937 |
| Information sur le traitement des données | Art. 13/14 | Avis de confidentialité affiché sur le formulaire de soumission de signalement avant que le lanceur d’alerte ne soumette |
| Minimisation des données | Art. 5(1)(c) | Seuls les champs essentiels sont collectés ; le nom et les coordonnées du lanceur d’alerte sont facultatifs |
| Limitation de la conservation | Art. 5(1)(e) | Durée de conservation configurable par organisation avec suppression automatique |
| Intégrité et confidentialité | Art. 5(1)(f) | Chiffrement au repos pour toutes les données sensibles ; aucune journalisation des adresses IP sur les routes du portail ; suppression automatique des métadonnées des fichiers |
| Droit à l’effacement | Art. 17 | Suppression automatique basée sur la durée de conservation ; suppression manuelle disponible pour les administrateurs |
§9. Mesures de sécurité #
| Mesure | Détail |
|---|---|
| Chiffrement au repos | Toutes les descriptions de signalements, noms dès lanceurs d’alerte, coordonnées et corps des messages sont chiffrés avec un chiffrement non déterministe |
| Aucune journalisation des adresses IP | Les adresses IP dès lanceurs d’alerte ne sont jamais stockées — la limitation de débit utilise des hachages irréversibles à sens unique |
| Suppression des métadonnées des fichiers | Les données EXIF (coordonnées GPS, modèle de l’appareil photo, informations sur l’auteur) sont automatiquement supprimées des images téléchargées avant le stockage |
| Identité anonyme du gestionnaire | Les lanceurs d’alerte ne voient jamais le nom réel du gestionnaire — les messages affichent « Gestionnaire du dossier » |
| Limitation de débit | Les points d’accès publics du portail sont limités en débit pour prévenir les abus |
| Contrôle d’accès | Les permissions basées sur les rôles garantissent que seuls les gestionnaires autorisés peuvent consulter les signalements ; les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés ou auxquels ils ont été ajoutés comme participants |
| Journal d’audit | Chaque action est enregistrée avec horodatage, acteur et type d’action — en ajout seul et toujours disponible pour un examen réglementaire |
§10. Ce que votre organisation doit encore faire #
EthicsPortal gère les exigences techniques. Votre organisation est responsable de :
- Désigner un responsable des signalements — assignez au moins une personne responsable du traitement des signalements
- Politique interne — adoptez une politique de protection dès lanceurs d’alerte et communiquez-la aux employés
- Formation — assurez-vous que les gestionnaires désignés comprennent les obligations de confidentialité
- Application de la non-représailles — assurez-vous que la direction comprend que les représailles constituent une infraction légale
- Consentement à la divulgation de l’identité — si l’identité d’un lanceur d’alerte doit être partagée au-delà des gestionnaires autorisés (par exemple, avec les forces de l’ordre), obtenez d’abord le consentement explicite du lanceur d’alerte (Art. 16(2) )
- Informer les travailleurs — partagez l’URL du portail avec les employés (EthicsPortal fournit un lien de partage et un QR code)
Dès questions ? #
Les administrateurs peuvent télécharger un rapport de conformité PDF directement depuis la page des paramètres du portail. Il inclut une liste de contrôle complète de la Loi Waserman et de la Directive UE 2019/1937, des indicateurs SLA, les mesures de protection des données et un résumé du journal d’audit — prêt à être remis à un auditeur sans exposer de données sensibles de signalement.
Pour les détails complets du droit français, consultez notre page dédiée à la législation française .
Pour la manière dont EthicsPortal interprète les dispositions ambiguës de la directive (seuil de 50 travailleurs, « suivi diligent », justifications de la durée de conservation, base juridique RGPD), consultez la méthodologie .
Si vous avez besoin d’aide pour démontrer votre conformité à votre équipe juridique ou à un régulateur, contactez-nous à legal@ethicsportal.eu .
Dernière mise à jour: