https://ethicsportal.eu/fr/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.fr-FRMon, 25 May 2026 01:23:22 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/fr/whistleblower-laws/luxembourg/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/whistleblower-laws/luxembourg/La loi luxembourgeoise de protection dès lanceurs d'alerte : qui est concerné, sanctions, amende de la Cour de justice de l'UE, et modalités d'application.<h1 id="loi-sur-les-lanceurs-dalerte-au-luxembourg"> Loi sur les lanceurs d’alerte au Luxembourg <a href="#loi-sur-les-lanceurs-dalerte-au-luxembourg" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Le Luxembourg a transposé la directive européenne 2019/1937 par la <strong>Loi du 16 mai 2023</strong> relative à la protection dès lanceurs d’alerte. Le Luxembourg a été condamné à une amende de 375 000 € par la Cour de justice de l’UE en mars 2025 pour transposition tardive.</p> <h2 id="loi"> Loi <a href="#loi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://legilux.public.lu/eli/%c3%a9tat/leg/loi/2023/05/16/a243/jo" rel="nofollow">Loi du 16 mai 2023</a> relative à la protection dès lanceurs d’alerte.</p> <h2 id="qui-est-concerné"> Qui est concerné <a href="#qui-est-concern%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Employeurs de 50 salariés ou plus.</p> <h2 id="sanctions"> Sanctions <a href="#sanctions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Amendes administratives en cas de non-conformité. <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52024DC0318" rel="nofollow">Source : rapport de transposition de la Commission européenne</a> </p> <h2 id="amende-de-la-cour-de-justice-de-lue"> Amende de la Cour de justice de l’UE <a href="#amende-de-la-cour-de-justice-de-lue" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Luxembourg a été condamné à une amende de <strong>375 000 €</strong> par la Cour de justice de l’UE en mars 2025 pour transposition tardive.</p> <h2 id="pour-en-savoir-plus"> Pour en savoir plus <a href="#pour-en-savoir-plus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://legilux.public.lu/eli/%c3%a9tat/leg/loi/2023/05/16/a243/jo" rel="nofollow">Loi du 16 mai 2023 — texte intégral</a> </li> <li><a href="https://whistleblowingmonitor.eu/country/luxembourg/" rel="nofollow">Luxembourg sur EU Whistleblowing Monitor</a> </li> </ul> <hr> <p><a href="/fr/pricing/">Activez votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/whistleblower-laws/belgium/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/whistleblower-laws/belgium/La loi belge de protection dès lanceurs d'alerte : qui est concerné, sanctions jusqu'à 576 000 € avec peine d'emprisonnement possible, et modalités d'application.<h1 id="loi-sur-les-lanceurs-dalerte-en-belgique"> Loi sur les lanceurs d’alerte en Belgique <a href="#loi-sur-les-lanceurs-dalerte-en-belgique" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La Belgique a transposé la directive européenne 2019/1937 par la <strong>Loi du 28 novembre 2022</strong> relative à la protection des personnes qui signalent des violations du droit de l’Union ou du droit national dans le secteur privé. La Belgique dispose de l’un des régimes de sanctions les plus sévères de l’UE, incluant des peines d’emprisonnement pour les personnes responsables.</p> <h2 id="loi"> Loi <a href="#loi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&pub_date=2022-12-15&caller=summary&numac=2022042980" rel="nofollow">Loi du 28 novembre 2022</a> relative à la protection des personnes qui signalent des violations du droit de l’Union ou du droit national dans le secteur privé.</p> <h2 id="qui-est-concerné"> Qui est concerné <a href="#qui-est-concern%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Entreprises de 50 salariés ou plus. Date limite : 15 février 2023 (250+ salariés) et 17 décembre 2023 (50–249 salariés). Les entreprises de 250 salariés ou plus doivent également permettre les signalements anonymes. <a href="https://www.vow.be/en/node/358" rel="nofollow">Source : Van Olmen & Wynant</a> </p> <h2 id="sanctions"> Sanctions <a href="#sanctions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Défaut de mise en place d’un canal de signalement : peine d’emprisonnement de 6 mois à 3 ans et/ou amendes pénales de 24 000 à 576 000 € pour les personnes morales. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/belgium" rel="nofollow">Source : CMS Expert Guide</a> </li> <li>Amendes administratives alternatives de 2 400 à 24 000 € par travailleur concerné (maximum 100 travailleurs). <a href="https://iuslaboris.com/insights/belgiums-new-whistleblowing-law/" rel="nofollow">Source : Ius Laboris</a> </li> </ul> <h2 id="application"> Application <a href="#application" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Inspections du travail et juridictions pénales.</p> <h2 id="pour-en-savoir-plus"> Pour en savoir plus <a href="#pour-en-savoir-plus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&pub_date=2022-12-15&caller=summary&numac=2022042980" rel="nofollow">Loi du 28 novembre 2022 — texte intégral</a> </li> <li><a href="https://whistleblowingmonitor.eu/country/belgium/" rel="nofollow">Belgique sur EU Whistleblowing Monitor</a> </li> </ul> <hr> <p><a href="/fr/pricing/">Activez votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/whistleblower-laws/france/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/whistleblower-laws/france/Le cadre français sous la loi Waserman : seuil de 50 salariés, autorités externes compétentes et sources officielles utiles pour la mise en œuvre.<h1 id="loi-sur-les-lanceurs-dalerte-en-france"> Loi sur les lanceurs d’alerte en France <a href="#loi-sur-les-lanceurs-dalerte-en-france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La France a transposé la directive européenne 2019/1937 par la <strong>loi n° 2022-401 du 21 mars 2022</strong> dite “loi Waserman”. Pour la plupart des employeurs, le repère central reste le seuil de <strong>50 salariés</strong>, complété par le décret d’octobre 2022 sur les procédures internes et externes.</p> <h2 id="texte-applicable"> Texte applicable <a href="#texte-applicable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022</a> </li> <li><a href="https://www.service-public.gouv.fr/particuliers/vosdroits/F32031" rel="nofollow">Service Public — lancer une alerte</a> </li> </ul> <h2 id="qui-doit-mettre-en-place-un-canal-interne"> Qui doit mettre en place un canal interne <a href="#qui-doit-mettre-en-place-un-canal-interne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les employeurs privés de <strong>50 salariés ou plus</strong> doivent mettre en place une procédure interne. Le service public rappelle également que les employeurs publics d’au moins 50 agents sont dans le périmètre et que certaines structures de moins de 250 travailleurs peuvent mutualiser le dispositif.</p> <h2 id="autorité-externe"> Autorité externe <a href="#autorit%c3%a9-externe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La France ne repose pas sur une seule autorité externe universelle. Le <a href="https://www.defenseurdesdroits.fr/orienter-et-prot%c3%a9ger-les-lanceurs-dalerte-180" rel="nofollow">Défenseur des droits</a> oriente et protège les lanceurs d’alerte, tandis que les autorités sectorielles compétentes peuvent recevoir les signalements relevant de leur champ.</p> <h2 id="autorité-de-protection-des-données"> Autorité de protection des données <a href="#autorit%c3%a9-de-protection-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour les questions relatives à la confidentialité ou au traitement des données personnelles, l’autorité compétente est la <a href="https://www.cnil.fr/fr/saisir-la-cnil/lanceurs-dalerte-adresser-une-alerte-la-cnil" rel="nofollow">CNIL</a> .</p> <h2 id="points-de-conformité-à-retenir"> Points de conformité à retenir <a href="#points-de-conformit%c3%a9-%c3%a0-retenir" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Le lanceur d’alerte n’est plus tenu de signaler d’abord en interne avant de saisir une autorité externe.</li> <li>La procédure doit garantir la confidentialité de l’auteur du signalement, de la personne visée et des tiers mentionnés.</li> <li>Le cadre français reste aligné sur le schéma classique d’accusé de réception sous 7 jours ouvrables et de retour d’information sous 3 mois.</li> </ul> <h2 id="sources-officielles"> Sources officielles <a href="#sources-officielles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman — texte officiel</a> </li> <li><a href="https://www.service-public.gouv.fr/particuliers/vosdroits/F32031" rel="nofollow">Service Public — lancer une alerte</a> </li> <li><a href="https://www.defenseurdesdroits.fr/orienter-et-prot%c3%a9ger-les-lanceurs-dalerte-180" rel="nofollow">Défenseur des droits — orienter et protéger</a> </li> <li><a href="https://www.cnil.fr/fr/saisir-la-cnil/lanceurs-dalerte-adresser-une-alerte-la-cnil" rel="nofollow">CNIL — adresser une alerte</a> </li> </ul> <hr> <p><a href="/fr/pricing/">Activez votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/whistleblower-software-is-a-form-and-a-database/Sun, 05 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/whistleblower-software-is-a-form-and-a-database/Ce qu'un outil de signalement doit réellement faire selon la Directive UE 2019/1937 — et quelles fonctionnalités comptent vraiment.<h1 id="comment-choisir-un-logiciel-de-conformité-pour-les-lanceurs-dalerte"> Comment choisir un logiciel de conformité pour les lanceurs d’alerte <a href="#comment-choisir-un-logiciel-de-conformit%c3%a9-pour-les-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La Directive européenne sur la protection dès lanceurs d’alerte impose à votre organisation de disposer d’un canal de signalement interne sécurisé. Mais tous les outils qui revendiquent la conformité à la Directive ne la garantissent pas réellement.</p> <p>Voici comment évaluer ce qui compte.</p> <hr> <h2 id="ce-quun-outil-de-signalement-doit-réellement-faire"> Ce qu’un outil de signalement doit réellement faire <a href="#ce-quun-outil-de-signalement-doit-r%c3%a9ellement-faire" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les exigences de la Directive se traduisent en cinq fonctions essentielles :</p> <ol> <li>Un signaleur soumet un rapport via un canal sécurisé.</li> <li>Le signalement est stocké de manière confidentielle dans un système chiffré.</li> <li>Un gestionnaire désigné l’examine et y répond.</li> <li>Le système suit les délais d’accusé de réception (7 jours) et de retour d’information (3 mois).</li> <li>Chaque action est enregistrée dans une piste d’audit en ajout seul.</li> </ol> <p>Ces cinq fonctions constituent le socle de conformité. Tout outil que vous évaluez doit démontrer comment il gère chacune d’entre elles.</p> <hr> <h2 id="les-fonctionnalités-essentielles-pour-la-conformité"> Les fonctionnalités essentielles pour la conformité <a href="#les-fonctionnalit%c3%a9s-essentielles-pour-la-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Lors de l’évaluation des plateformes, concentrez-vous sur ce que la Directive exige réellement :</p> <ul> <li><strong>Signalement anonyme</strong> — L’Article 6(1) exige la confidentialité. L’implémentation la plus robuste signifie l’absence de journalisation IP, de suivi, et la suppression automatique des métadonnées des fichiers (EXIF, GPS, auteur).</li> <li><strong>Communication bidirectionnelle</strong> — L’Article 9(1)(b) exige un suivi avec le signaleur. Cela implique une messagerie sécurisée sans que le signaleur ait besoin de créer un compte.</li> <li><strong>Suivi des délais</strong> — Les Articles 9(1)(b) et 9(1)(f) fixent les délais de 7 jours et 3 mois. Le suivi automatisé avec notifications prévient les manquements.</li> <li><strong>Piste d’audit</strong> — L’Article 18 exige une documentation. Un journal en ajout seul de toutes les actions fournit les preuves attendues par les régulateurs.</li> <li><strong>Résidence des données dans l’UE</strong> — Le RGPD s’applique à toutes les données de signalement. L’hébergement au sein de l’UE simplifie la conformité.</li> <li><strong>Contrôle de la rétention des données</strong> — L’Article 17(1)(d) exige des périodes de conservation définies. La suppression automatique configurable garantit que les données ne sont pas conservées au-delà du nécessaire.</li> </ul> <hr> <h2 id="les-fonctionnalités-impressionnantes-mais-absentes-de-la-directive"> Les fonctionnalités impressionnantes mais absentes de la Directive <a href="#les-fonctionnalit%c3%a9s-impressionnantes-mais-absentes-de-la-directive" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Certaines plateformes mettent en avant des capacités qui vont au-delà des exigences de conformité :</p> <ul> <li>« Scoring de risque alimenté par l’IA »</li> <li>« Analyse de sentiment »</li> <li>« Tableaux de bord d’analyses prédictives »</li> <li>« Benchmarking avec plus de 10 000 organisations »</li> </ul> <p>Ces fonctionnalités peuvent servir les grandes organisations ayant des programmes de conformité matures. Mais elles ne sont pas exigées par la Directive, et leur présence ne rend pas un outil plus conforme.</p> <hr> <h2 id="la-transparence-tarifaire-comme-indicateur"> La transparence tarifaire comme indicateur <a href="#la-transparence-tarifaire-comme-indicateur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive s’applique à des organisations de tailles très différentes. L’outil que vous choisissez doit correspondre à votre échelle.</p> <p>Certaines plateformes publient leurs tarifs ouvertement. D’autres nécessitent un processus commercial. La transparence tarifaire vous permet d’évaluer l’adéquation plus rapidement.</p> <hr> <h2 id="questions-à-poser-lors-de-lévaluation"> Questions à poser lors de l’évaluation <a href="#questions-%c3%a0-poser-lors-de-l%c3%a9valuation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ol> <li><strong>Où sont stockées les données ?</strong> Confirmez l’hébergement et la résidence dans l’UE.</li> <li><strong>Comment les signaleurs sont-ils protégés ?</strong> Vérifiez l’anonymisation IP et la suppression des métadonnées.</li> <li><strong>Comment les délais sont-ils suivis ?</strong> Confirmez le suivi automatique avec notifications.</li> <li><strong>La piste d’audit est-elle en ajout seul ?</strong> Assurez-vous que les entrées ne peuvent pas être modifiées après création.</li> <li><strong>Que se passe-t-il en cas de résiliation ?</strong> Comprenez les politiques d’export et de suppression des données.</li> <li><strong>Un DPA est-il disponible ?</strong> Requis pour la conformité RGPD.</li> </ol> <hr> <h2 id="comment-ethicsportal-répond-à-ces-exigences"> Comment EthicsPortal répond à ces exigences <a href="#comment-ethicsportal-r%c3%a9pond-%c3%a0-ces-exigences" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://ethicsportal.eu">EthicsPortal</a> est conçu spécifiquement pour la conformité à la Directive UE 2019/1937 :</p> <ul> <li>49 €/mois, toutes les fonctionnalités incluses</li> <li>Signalement anonyme avec anonymisation IP et suppression des métadonnées</li> <li>Messagerie sécurisée bidirectionnelle via code d’accès</li> <li>Suivi automatique des délais avec notifications de retard</li> <li>Piste d’audit en ajout seul et export PDF des dossiers</li> <li>Hébergé chez Hetzner à Nuremberg, Allemagne — toutes les données restent dans l’UE</li> </ul> <p>Consultez notre <a href="/fr/directive-coverage/">analyse de conformité article par article</a> pour les détails.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/if-employees-have-to-ask-you-dont-have-a-channel/Sat, 04 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/if-employees-have-to-ask-you-dont-have-a-channel/La législation européenne oblige les employeurs à informer les travailleurs de l'existence de leur canal de signalement. Mais si le trouver nécessite de demander à quelqu'un, le canal est déjà compromis.<h1 id="si-les-employés-doivent-demander-ou-se-trouve-le-canal-de-signalement-vous-nen-avez-pas"> Si les employés doivent demander ou se trouve le canal de signalement, vous n’en avez pas <a href="#si-les-employ%c3%a9s-doivent-demander-ou-se-trouve-le-canal-de-signalement-vous-nen-avez-pas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Un employé soupconnne une fraude. Il veut faire un signalement. Sa première action ne devrait pas être de se rendre aux RH et de demander : « est-ce qu’on à un canal de signalement ? »</p> <p>Le simple fait de poser la question est en soi un signal. Dans le type exact d’entreprise que la Directive vise à encadrer — là où des fautes sont commises et quelqu’un souhaite les signaler — se renseigner sur un canal de signalement indique aux gens que vous envisagez de signaler quelque chose. Avant même d’avoir tapé un seul mot, vous êtes exposé.</p> <hr> <h2 id="la-loi-est-claire--vous-devez-informer-les-employés"> La loi est claire : vous devez informer les employés <a href="#la-loi-est-claire--vous-devez-informer-les-employ%c3%a9s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman</a> et la Directive UE 2019/1937 n’exigent pas seulement que les organisations mettent en place un canal de signalement. Elles exigent qu’elles s’assurent que les travailleurs en connaissent l’existence.</p> <p><strong>L’article 9(1)(g)</strong> impose des « informations claires et facilement accessibles » sur les procédures de signalement — tant internes qu’externes. Ce n’est pas facultatif. Si vous disposez d’un canal de signalement mais que vos employés ignorent son existence, vous n’êtes pas en conformité avec la Loi Waserman.</p> <p>Les transpositions nationales vont plus loin :</p> <ul> <li><strong>Allemagne (HinSchG §13) :</strong> Les employeurs doivent fournir des « informations claires et facilement accessibles sur l’utilisation du canal de signalement interne ».</li> <li><strong>France (Sapin II, Loi Waserman) :</strong> Les entreprises doivent informer les employés des procédures de signalement et publier ces informations par des moyens accessibles.</li> <li><strong>Pologne (Ustawa o ochronie sygnalistow) :</strong> Les employeurs doivent informer les employés des procédures de signalement au moins une fois par an.</li> </ul> <p>Le schema est le même partout : mettre en place le canal, c’est la moitie du travail. Faire en sorte que les employés en aient connaissance, c’est l’autre moitie.</p> <hr> <h2 id="le-problème-de-conception-dont-personne-ne-parle"> Le problème de conception dont personne ne parle <a href="#le-probl%c3%a8me-de-conception-dont-personne-ne-parle" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La plupart des discussions sur la conformité s’arrêtent a « informer les employés » et supposent qu’un email à l’échelle de l’entreprise ou une page intranet suffit. Ce n’est pas le cas.</p> <p>Pensez à ce qui se passe concrètement :</p> <p><strong>Scenario 1 : Le canal est sur l’intranet de l’entreprise.</strong> L’employé doit utiliser son ordinateur professionnel, se connecter au réseau d’entreprise, naviguer jusqu’à la section conformité et cliquer pour accéder au portail de signalement. Chaque étape laisse une trace numérique sur un appareil contrôlé par l’employeur. Le service informatique peut voir quelles pages vous consultez sur l’intranet.</p> <p><strong>Scenario 2 : Le canal nécessite une application d’entreprise.</strong> L’employé doit télécharger une application, éventuellement via un système MDM (Mobile Device Management) d’entreprise, et créer un compte. Le simple fait d’installer une application de signalement sur son téléphone professionnel est en soi une declaration.</p> <p><strong>Scenario 3 : Le canal est mentionne une seule fois dans le règlement intérieur.</strong> Page 47, section 12.3, entre la politique de stationnement et le code vestimentaire. Personne ne se souvient qu’il existe. Quand quelqu’un en a besoin, il doit demander. Et demander, c’est le problème.</p> <hr> <h2 id="ce-que--facilement-accessible--signifie-réellement"> Ce que « facilement accessible » signifie réellement <a href="#ce-que--facilement-accessible--signifie-r%c3%a9ellement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous prenez au sérieux l’intention de la Directive — protéger les personnes qui signalent des fautes — alors « facilement accessible » signifie :</p> <p><strong>L’employé doit pouvoir accéder au canal sans :</strong></p> <ul> <li>Utiliser un appareil de l’entreprise</li> <li>Être sur le réseau de l’entreprise</li> <li>Installer une application</li> <li>Créer un compte</li> <li>Demander à quiconque ou le trouver</li> <li>Laisser la moindre trace de sa recherche</li> </ul> <p>Cela reduit considérablement les options. Le canal doit être une <strong>URL publique</strong> qui fonctionne dans n’importe quel navigateur sur n’importe quel appareil — y compris un téléphone personnel en 4G, complètement en dehors de l’infrastructure de l’employeur.</p> <hr> <h2 id="comment-rendre-le-canal-véritablement-accessible"> Comment rendre le canal véritablement accessible <a href="#comment-rendre-le-canal-v%c3%a9ritablement-accessible" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>1. Une URL publique, pas une page intranet.</strong> Le portail de signalement doit être accessible depuis n’importe quel navigateur, sur n’importe quel appareil, sans authentification. Un employé chez lui, sur son téléphone personnel, à 23 h, doit pouvoir saisir une URL et commencer un signalement. Pas de VPN, pas de connexion, pas d’email d’entreprise requis.</p> <p><strong>2. Des QR codes dans les espaces prives.</strong> Imprimez le QR code et placez-le là où les gens peuvent le scanner sans être observés : toilettes, salles de pause, vestiaires, dos des portes d’ascenseur. Un employé qui scanne un QR code sur le mur des toilettes ne laisse aucune trace numérique et n’attire aucune attention.</p> <p><strong>3. Des affiches physiques, pas seulement des emails.</strong> Un email à l’échelle de l’entreprise sur le canal de signalement est facilement manqué et difficile à retrouver six mois plus tard. Une affiche sur le mur de chaque cuisine de bureau avec un QR code et une URL est toujours la quand quelqu’un en a besoin.</p> <p><strong>4. Le mentionner lors de chaque intégration.</strong> L’accueil des nouveaux employés doit inclure l’URL du canal de signalement et une carte imprimee avec le QR code. Pas enfoui dans un règlement. Remis directement en main propre.</p> <p><strong>5. Pas de compte requis.</strong> Si l’outil de signalement exige que l’employé crée un compte avec son adresse email pour deposer un signalement, il n’est ni anonyme ni sur. Le lanceur d’alerte doit pouvoir soumettre sans fournir aucune information identifiante et recevoir un code d’accès pour consulter les suites ulterieurement.</p> <hr> <h2 id="cest-ainsi-que-fonctionne-ethicsportal"> C’est ainsi que fonctionne EthicsPortal <a href="#cest-ainsi-que-fonctionne-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Chaque organisation EthicsPortal obtient une URL de signalement publique. Elle fonctionne sur n’importe quel navigateur, n’importe quel appareil. Pas d’application, pas de compte, pas de réseau d’entreprise.</p> <p>Le portail genere un <strong>QR code</strong> qui peut être imprime et affiche n’importe ou. Scannez-le, et vous êtes sur la page de signalement. Pas de connexion, pas de trace.</p> <p>Les lanceurs d’alerte soumettent anonymement — pas de nom, pas d’email, pas d’enregistrement d’IP. Ils reçoivent un code d’accès pour consulter les mises à jour. L’ensemble de l’interaction se déroule dans une fenêtre de navigateur qui peut être fermée sans laisser de trace.</p> <p>Le référent ne voit jamais l’identité du lanceur d’alerte. Le lanceur d’alerte ne voit jamais le nom du référent. Le système compte jusqu’à 7 jours, compte jusqu’à 3 mois, et enregistre tout.</p> <p>Voilà à quoi ressemble « facilement accessible » quand on prend la Directive au sérieux.</p> <hr> <p><em>Si le canal de signalement de votre organisation oblige les employés a demander à quelqu’un ou le trouver, vous avez une case de conformité cochée. Vous n’avez pas de canal de signalement. <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Mettez en place un vrai canal en dix minutes.</a> </em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/top-whistleblower-software-eu-directive-2019-1937/Wed, 01 Apr 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/top-whistleblower-software-eu-directive-2019-1937/Comparatif classé des plateformes de signalement d'alerte conformes aux exigences de la Directive européenne 2019/1937. Évaluées sur la couverture des articles 8 à 16, les tarifs, l'hébergement dans l'UE et la rapidité de mise en place.<h1 id="meilleurs-logiciels-de-signalement-dalerte-pour-la-conformité-à-la-directive-européenne-20191937"> Meilleurs logiciels de signalement d’alerte pour la conformité à la Directive européenne 2019/1937 <a href="#meilleurs-logiciels-de-signalement-dalerte-pour-la-conformit%c3%a9-%c3%a0-la-directive-europ%c3%a9enne-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La Directive européenne 2019/1937 exige de toute organisation de 50 salariés ou plus qu’elle exploite un canal de signalement interne sécurisé. La Directive est précise sur ce que ce canal doit faire : accepter les signalements écrits et oraux, protéger la confidentialité du lanceur d’alerte, accuser réception sous 7 jours, fournir un retour sous 3 mois et conserver les dossiers sans exposer l’identité du lanceur d’alerte.</p> <p>Voici ce qui est étrange sur ce marché : le signalement d’alerte est un outil simple. Un lanceur d’alerte soumet un signalement. Un référent le lit et y répond. Le système suit les délais et tient une piste d’audit. C’est l’intégralité du produit.</p> <p>Pourtant, la plupart des fournisseurs masquent leurs tarifs derrière des formulaires « contactez-nous pour une démonstration », exigent des cycles de vente de plusieurs semaines et gonflent leurs listes de fonctionnalités avec des analyses alimentées par l’IA, de l’analyse de sentiment et d’autres ajouts qui n’ont rien à voir avec ce que la Directive exige réellement. Résultat : un responsable conformité d’une entreprise de 100 personnes se retrouve en rendez-vous commercial pour un outil dont la mise en place devrait prendre dix minutes.</p> <p>Cet article classe les meilleurs logiciels de signalement d’alerte spécifiquement selon leur capacité à répondre aux exigences légales de la Directive — et non selon la notoriété de la marque, le nombre de fonctionnalités IA ou l’aspect impressionnant du dossier commercial.</p> <hr> <h2 id="comment-nous-avons-évalué"> Comment nous avons évalué <a href="#comment-nous-avons-%c3%a9valu%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Chaque plateforme a été évaluée selon les six exigences fondamentales de la Directive 2019/1937 :</p> <table> <thead> <tr> <th>Exigence</th> <th>Articles de la Directive</th> <th>Ce que la loi exige</th> </tr> </thead> <tbody> <tr> <td>Canal de signalement sécurisé</td> <td>Art. 8</td> <td>Chiffré, accessible à tous les travailleurs, sans création de compte</td> </tr> <tr> <td>Confidentialité du lanceur d’alerte</td> <td>Art. 16</td> <td>Identité non divulguée sans consentement, accès restreint au personnel autorisé</td> </tr> <tr> <td>Accusé de réception</td> <td>Art. 9(1)(b)</td> <td>Confirmation écrite sous 7 jours</td> </tr> <tr> <td>Délai de retour</td> <td>Art. 9(1)(f)</td> <td>Retour substantiel sous 3 mois</td> </tr> <tr> <td>Communication bidirectionnelle</td> <td>Art. 9(1)(b)</td> <td>Possibilité de communiquer avec le lanceur d’alerte, y compris les lanceurs d’alerte anonymes</td> </tr> <tr> <td>Conservation des dossiers</td> <td>Art. 18</td> <td>Signalements stockés de manière sécurisée, conservés selon les exigences légales, suppressibles lorsqu’ils ne sont plus nécessaires</td> </tr> </tbody> </table> <p>Nous avons également pris en compte des facteurs pratiques : transparence tarifaire, résidence des données dans l’UE, rapidité de mise en place et possibilité de démarrer sans rendez-vous commercial.</p> <hr> <h2 id="le-classement"> Le classement <a href="#le-classement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-ethicsportal--le-meilleur-pour-les-pme-qui-ont-besoin-dune-conformité-rapide-et-abordable"> 1. EthicsPortal — le meilleur pour les PME qui ont besoin d’une conformité rapide et abordable <a href="#1-ethicsportal--le-meilleur-pour-les-pme-qui-ont-besoin-dune-conformit%c3%a9-rapide-et-abordable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong> EthicsPortal a été conçu spécifiquement pour la Directive européenne 2019/1937. Chaque fonctionnalité correspond à un article.</p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Portail web chiffré, URL unique par organisation, pas d’application requise</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Pas d’enregistrement d’IP, suppression des métadonnées de fichiers (EXIF, GPS, auteur), données chiffrées au repos</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Suivi automatique des délais avec notifications au référent</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Suivi automatique des délais avec alertes de dépassement</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Fil de messages anonyme via code d’accès — les noms des référents ne sont jamais révélés</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Piste d’audit en ajout seul, export PDF pour les auditeurs</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> 49 EUR/mois forfaitaire. Pas de frais par salarié, pas de suppléments. <strong>Hébergement UE :</strong> Oui — Hetzner, Nuremberg, Allemagne. <strong>Délai de mise en place :</strong> Quelques minutes. Inscription en libre-service, pas de rendez-vous commercial.</p> <p><strong>Pourquoi il est premier :</strong> Le signalement d’alerte n’est pas un problème complexe. La Directive vous indique précisément ce que l’outil doit faire, et EthicsPortal fait exactement cela — ni plus, ni moins. Pas d’analyse de sentiment par IA, pas de « notation de risque », pas de fonctionnalités qui existent pour justifier un prix plus élevé. Conformité complète aux articles 8 à 18 à 49 EUR/mois, affichée sur le site, sans rendez-vous commercial.</p> <p>Le compromis : EthicsPortal est plus récent et ne dispose pas encore de la certification ISO 27001 ni de services de ligne téléphonique.</p> <p>EthicsPortal est notre produit. Nous l’avons conçu pour offrir une conformité complète à la Directive avec une tarification transparente et une mise en service immédiate.</p> <hr> <h3 id="2-formalize-whistleblowersoftwarecom--le-meilleur-pour-les-entreprises-de-taille-moyenne-souhaitant-un-produit-abouti"> 2. Formalize (WhistleblowerSoftware.com) — le meilleur pour les entreprises de taille moyenne souhaitant un produit abouti <a href="#2-formalize-whistleblowersoftwarecom--le-meilleur-pour-les-entreprises-de-taille-moyenne-souhaitant-un-produit-abouti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong> Conçu au Danemark avec la Directive européenne comme principal moteur de conception.</p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui — portail web avec chiffrement</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui — contrôles d’accès, chiffrement des données</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui — suivi automatisé</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui — suivi automatisé</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui — messagerie anonyme</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui — piste d’audit</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> Devis personnalisé requis. Tarification par salarié précédemment publiée ; plus accessible publiquement. <strong>Hébergement UE :</strong> Oui — Danemark. <strong>Délai de mise en place :</strong> Quelques jours — implique une démonstration et un cycle de vente.</p> <p><strong>Pourquoi il est classé ici :</strong> Forte conformité à la Directive, certifié ISO 27001 et ISAE 3000, plus de 80 langues. Formalize publiait auparavant ses tarifs sur son site — ce n’est plus le cas, ce qui en dit long sur la direction prise. Vous devez désormais demander un devis et passer par un cycle commercial pour connaître le prix. Si vous avez besoin de certifications et d’un écosystème de partenaires (PwC, Baker McKenzie), Formalize est un choix solide — mais préparez-vous à négocier un prix que vous ne pouvez pas voir à l’avance.</p> <hr> <h3 id="3-hintbox--le-meilleur-pour-les-marchés-germanophones"> 3. Hintbox — le meilleur pour les marchés germanophones <a href="#3-hintbox--le-meilleur-pour-les-march%c3%a9s-germanophones" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong> Plateforme allemande avec plus de 1 000 clients. Fait partie de la suite lawcode.</p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui — portail chiffré, hébergé chez Hetzner (Allemagne)</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui — suppression des métadonnées, 2FA, analyse antivirus</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui — suivi des délais</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui — suivi des délais</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui — messagerie anonyme, robot vocal en option (+49 EUR/mois)</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui — piste d’audit</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> À partir de 49 EUR/mois. Évolutif jusqu’à 149+ EUR/mois selon le nombre de salariés. Options : robot vocal (+49 EUR/mois), intégration e-mail (+29 EUR/mois), domaine personnalisé (+29 EUR/mois). <strong>Hébergement UE :</strong> Oui — Hetzner, Allemagne. Certifié ISO 27001. <strong>Délai de mise en place :</strong> Quelques jours.</p> <p><strong>Pourquoi il est classé ici :</strong> Produit mature, large base de clients (Rewe, s.Oliver, FC Bayern), certifié ISO 27001. La tarification par salarié et les coûts supplémentaires font que le prix effectif est nettement supérieur au tarif de départ de 49 EUR pour la plupart des organisations. Centré sur la région DACH — présence limitée en dehors des marchés germanophones.</p> <hr> <h3 id="4-faceup--le-meilleur-pour-les-organisations-multilingues"> 4. FaceUp — le meilleur pour les organisations multilingues <a href="#4-faceup--le-meilleur-pour-les-organisations-multilingues" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong></p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui — contrôles d’accès</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui — automatisé</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui — automatisé</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui — piste d’audit</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> Non publiés. Trois paliers (Starter, Professional, Enterprise) mais tous affichent « Demander un devis » — aucun prix visible sur le site. Tarification en USD. <strong>Hébergement UE :</strong> Oui — République tchèque. <strong>Délai de mise en place :</strong> Quelques heures.</p> <p><strong>Pourquoi il est classé ici :</strong> FaceUp prend en charge 113 langues — parmi les plus nombreuses du marché — et propose une application mobile pour les lanceurs d’alerte. Conçu à l’origine pour les écoles en République tchèque, il s’est étendu à la conformité d’entreprise dans plus de 70 pays. La tarification est en dollars américains et non publiée — les trois paliers (Starter, Professional, Enterprise) affichent des boutons « Demander un devis » au lieu de prix, ce qui rend impossible toute budgétisation sans échange commercial.</p> <hr> <h3 id="5-whistlelink--le-meilleur-pour-les-entreprises-nordiques"> 5. Whistlelink — le meilleur pour les entreprises nordiques <a href="#5-whistlelink--le-meilleur-pour-les-entreprises-nordiques" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong></p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> À partir de 79 EUR/mois (facturation annuelle). Évolutif par tranche de salariés : 79 EUR → 99 EUR → 149 EUR → 199 EUR → 299 EUR/mois. Plus de 1 000 salariés : sur devis. <strong>Hébergement UE :</strong> Oui — Suède. <strong>Délai de mise en place :</strong> Quelques jours. Essai gratuit de 30 jours disponible.</p> <p><strong>Pourquoi il est classé ici :</strong> Conformité solide à la Directive avec plus de 50 langues et une bonne gestion des dossiers. Toutes les offres incluent le même ensemble de fonctionnalités — pas de restriction par palier. À partir de 79 EUR/mois, la tarification est supérieure aux options les moins chères mais transparente. Forte présence régionale dans les pays nordiques.</p> <hr> <h3 id="6-speakup-people-intouch--le-meilleur-pour-lexternalisation-du-traitement-des-dossiers"> 6. SpeakUp (People Intouch) — le meilleur pour l’externalisation du traitement des dossiers <a href="#6-speakup-people-intouch--le-meilleur-pour-lexternalisation-du-traitement-des-dossiers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong> L’une des plus anciennes plateformes européennes de signalement d’alerte (Pays-Bas).</p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui — signalement web + téléphonique</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> À partir d’environ 3 000 EUR/an pour les entreprises de moins de 1 000 salariés. Sur mesure pour les plus grandes. <strong>Hébergement UE :</strong> Oui — Pays-Bas. <strong>Délai de mise en place :</strong> Quelques jours.</p> <p><strong>Pourquoi il est classé ici :</strong> Proposition de valeur unique : traitement externalisé des dossiers par des professionnels formés. Si votre organisation ne dispose pas des ressources internes pour gérer les signalements, SpeakUp s’en charge pour vous. Le compromis, c’est le prix — vous payez pour des opérateurs humains, pas seulement pour un logiciel.</p> <hr> <h3 id="7-eqs-integrity-line--le-meilleur-pour-les-grandes-entreprises"> 7. EQS Integrity Line — le meilleur pour les grandes entreprises <a href="#7-eqs-integrity-line--le-meilleur-pour-les-grandes-entreprises" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète.</strong> Le standard européen pour les grandes entreprises.</p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui — plus de 70 langues</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui — contrôles d’accès de niveau grand compte</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui — intégration avec les suites GRC</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> Non publiés. Estimés à plus de 2 000 EUR/mois. Cycle commercial requis. <strong>Hébergement UE :</strong> Oui. <strong>Délai de mise en place :</strong> Plusieurs semaines.</p> <p><strong>Pourquoi il est classé ici :</strong> Si vous êtes une banque, un assureur ou une société cotée avec plus de 5 000 salariés, EQS est le choix grand compte sûr. Pour tous les autres, vous payez pour des fonctionnalités et une envergure dont vous n’avez pas besoin. La mise en œuvre prend des semaines, pas des minutes.</p> <hr> <h3 id="8-navex-global--le-meilleur-pour-les-multinationales-américaines-avec-des-activités-en-europe"> 8. NAVEX Global — le meilleur pour les multinationales américaines avec des activités en Europe <a href="#8-navex-global--le-meilleur-pour-les-multinationales-am%c3%a9ricaines-avec-des-activit%c3%a9s-en-europe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Couverture de la Directive : complète, mais la conformité européenne semble ajoutée après coup.</strong></p> <table> <thead> <tr> <th>Exigence de la Directive</th> <th>Couverture</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé (Art. 8)</td> <td>Oui — web + ligne téléphonique</td> </tr> <tr> <td>Confidentialité (Art. 16)</td> <td>Oui</td> </tr> <tr> <td>Accusé de réception sous 7 jours (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Retour sous 3 mois (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Communication bidirectionnelle (Art. 9)</td> <td>Oui</td> </tr> <tr> <td>Conservation des dossiers (Art. 18)</td> <td>Oui — analyses solides</td> </tr> </tbody> </table> <p><strong>Tarifs :</strong> Sur mesure. Généralement plus de 5 000 EUR/an. Cycle commercial requis. <strong>Hébergement UE :</strong> Disponible en option, pas par défaut. <strong>Délai de mise en place :</strong> Plusieurs semaines.</p> <p><strong>Pourquoi il est classé ici :</strong> NAVEX est la plateforme de conformité américaine dominante avec des décennies d’historique et des milliers de clients. Leur produit EthicsPoint couvre la Directive, mais la plateforme a été conçue d’abord pour les cadres réglementaires américains. L’hébergement dans l’UE est disponible mais pas le choix par défaut. Les tarifs grand compte et les longs cycles de mise en œuvre la rendent inaccessible pour les PME.</p> <hr> <h2 id="quelle-plateforme-choisir-"> Quelle plateforme choisir ? <a href="#quelle-plateforme-choisir-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Votre situation</th> <th>Meilleur choix</th> </tr> </thead> <tbody> <tr> <td>PME ou jeune entreprise, besoin de conformité rapide, budget serré</td> <td><strong>EthicsPortal</strong> (49 EUR/mois, mise en place en minutes)</td> </tr> <tr> <td>Entreprise de taille moyenne, besoin de certifications et d’un écosystème de partenaires</td> <td><strong>Formalize</strong> (tarifs sur devis, certifié ISO)</td> </tr> <tr> <td>Marché germanophone, besoin d’ISO 27001</td> <td><strong>Hintbox</strong> (49+ EUR/mois, ISO 27001)</td> </tr> <tr> <td>Besoin de 113 langues ou d’une application mobile de signalement</td> <td><strong>FaceUp</strong> (sur devis, USD)</td> </tr> <tr> <td>Entreprise nordique, préférence pour un fournisseur régional</td> <td><strong>Whistlelink</strong> (79+ EUR/mois)</td> </tr> <tr> <td>Besoin d’un traitement externalisé des dossiers</td> <td><strong>SpeakUp</strong> (~3 000 EUR/an)</td> </tr> <tr> <td>Grande entreprise (500+ salariés), suite GRC complète</td> <td><strong>EQS Integrity Line</strong> (tarifs sur devis)</td> </tr> <tr> <td>Multinationale américaine avec filiale européenne</td> <td><strong>NAVEX Global</strong> (tarifs sur devis)</td> </tr> </tbody> </table> <hr> <h2 id="pourquoi-la-plupart-des-plateformes-sont-surfacturées-au-regard-de-ce-quelles-font"> Pourquoi la plupart des plateformes sont surfacturées au regard de ce qu’elles font <a href="#pourquoi-la-plupart-des-plateformes-sont-surfactur%c3%a9es-au-regard-de-ce-quelles-font" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Chaque plateforme de cette liste couvre les exigences fondamentales de la Directive 2019/1937. Cela mérite d’être répété : la fonctionnalité de conformité de base est la même partout. Un lanceur d’alerte soumet un signalement. Un référent le lit et y répond. Le système suit les délais et enregistre une piste d’audit.</p> <p>L’écart de prix entre 49 EUR/mois et plus de 5 000 EUR/an ne s’explique pas par les exigences de la Directive. Il s’explique par des équipes commerciales, un conditionnement grand compte, des fonctionnalités d’IA que personne dans la conformité n’a demandées, et l’hypothèse selon laquelle « logiciel de conformité » peut se facturer comme du SaaS grand compte.</p> <p>Six des huit plateformes de cette liste ne publient pas leurs tarifs. Vous devez remplir un formulaire, prendre un appel, suivre une démonstration, et ensuite — peut-être — recevoir un devis. Pour un outil qui fait ce qu’un tableur pourrait faire (mal), c’est absurde.</p> <p>Si vous évaluez des plateformes, concentrez-vous sur trois points :</p> <ol> <li><strong>Couvre-t-elle les articles 8 à 18 ?</strong> Toutes les plateformes ci-dessus le font, dans leurs paliers payants.</li> <li><strong>Les données sont-elles hébergées dans l’UE ?</strong> Non négociable pour la conformité RGPD et Directive.</li> <li><strong>Pouvez-vous voir le prix et vous inscrire aujourd’hui ?</strong> Si un fournisseur ne vous montre pas le prix, demandez-vous ce qu’il cherche à optimiser.</li> </ol> <p>Aucune plateforme de signalement d’alerte ne peut rendre votre organisation conforme à elle seule. La conformité exige aussi des politiques internes, des référents désignés, de la formation et des procédures documentées. Le logiciel est le canal de signalement — une pièce d’un dispositif de conformité plus large. Ce ne devrait pas être la pièce la plus coûteuse ni la plus chronophage.</p> <p>Pour une analyse détaillée article par article de la façon dont EthicsPortal répond à chaque exigence, consultez notre <a href="/fr/directive-coverage/">page de conformité</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/gdpr-and-whistleblower-reporting/Fri, 20 Mar 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/gdpr-and-whistleblower-reporting/Comment le RGPD s'applique aux signalements d'alerte. Base juridique du traitement, données anonymes ou pseudonymisées, durées de conservation et droit a l'effacement.<h1 id="rgpd-et-signalement-dalerte--ce-que-vous-devez-savoir"> RGPD et signalement d’alerte : ce que vous devez savoir <a href="#rgpd-et-signalement-dalerte--ce-que-vous-devez-savoir" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Chaque signalement d’alerte contient des données personnelles. Le lanceur d’alerte peut indiquer son nom. Le signalement nommera probablement la personne accusée de faute. Les actions du référent sont enregistrees. Tout cela constitue des données personnelles au sens du RGPD.</p> <p>Cela crée une tension à laquelle les responsables conformité font face au quotidien : la Directive sur la protection dès lanceurs d’alerte (2019/1937) vous oblige à collecter et conserver les signalements, et le RGPD exige que vous disposiez d’une base légale pour le faire, que vous minimisiez les données collectées et que vous les supprimiez lorsqu’elles ne sont plus nécessaires.</p> <p>Voici comment ces deux cadres interagissent et ce que cela signifie en pratique.</p> <hr> <h2 id="quelles-données-personnelles-contient-un-signalement-dalerte-"> Quelles données personnelles contient un signalement d’alerte ? <a href="#quelles-donn%c3%a9es-personnelles-contient-un-signalement-dalerte-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Plus que vous ne le pensez :</p> <table> <thead> <tr> <th>Donnée</th> <th>Source</th> <th>Catégorie RGPD</th> </tr> </thead> <tbody> <tr> <td>Nom du lanceur d’alerte (si fourni)</td> <td>Volontaire</td> <td>Données personnelles</td> </tr> <tr> <td>Coordonnees du lanceur d’alerte (si fournies)</td> <td>Volontaire</td> <td>Données personnelles</td> </tr> <tr> <td>Nom de la personne accusée</td> <td>Contenu du signalement</td> <td>Données personnelles (tiers)</td> </tr> <tr> <td>Détails de la faute présumée</td> <td>Contenu du signalement</td> <td>Peut inclure des données de catégorie spéciale (Art. 9)</td> </tr> <tr> <td>Fichiers téléchargés (documents, photos)</td> <td>Lanceur d’alerte</td> <td>Peut contenir des métadonnées (GPS, auteur, horodatages)</td> </tr> <tr> <td>Actions et notes du référent</td> <td>Gestion des dossiers</td> <td>Données personnelles (référent)</td> </tr> <tr> <td>Horodatages et piste d’audit</td> <td>Système</td> <td>Données personnelles</td> </tr> </tbody> </table> <p>Si un signalement décrit du harcèlement, de la discrimination, des problèmes de santé ou une activite criminelle, il peut contenir des <strong>données de catégorie spéciale</strong> au sens de l’article 9 du RGPD — ce qui déclenche des conditions de traitement plus strictes.</p> <hr> <h2 id="quelle-est-la-base-juridique-du-traitement-"> Quelle est la base juridique du traitement ? <a href="#quelle-est-la-base-juridique-du-traitement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Vous avez besoin d’une base légale au titre de l’article 6 du RGPD pour traiter les données personnelles contenues dans les signalements d’alerte. Les bases les plus couramment utilisees :</p> <h3 id="article-61c--obligation-légale"> Article 6(1)(c) — Obligation légale <a href="#article-61c--obligation-l%c3%a9gale" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>C’est la base principale. La Directive européenne 2019/1937 et ses transpositions nationales imposent une obligation légale d’exploiter un canal de signalement. Le traitement des données personnelles est nécessaire pour se conformer à cette obligation.</p> <p>Cela couvre :</p> <ul> <li>La réception du signalement</li> <li>Son stockage sécurisé</li> <li>L’investigation des allégations</li> <li>La communication avec le lanceur d’alerte</li> <li>La tenue d’une piste d’audit</li> </ul> <h3 id="article-61f--intérêt-legitime"> Article 6(1)(f) — Intérêt legitime <a href="#article-61f--int%c3%a9r%c3%aat-legitime" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Certaines organisations utilisent l’intérêt legitime comme base secondaire, en particulier pour les traitements allant au-delà des exigences minimales de la Directive (par exemple, analyses internes, rapports de tendances). Cela nécessite une évaluation de l’intérêt legitime (LIA) et un test de mise en balance.</p> <h3 id="article-61e--intérêt-public-secteur-public"> Article 6(1)(e) — Intérêt public (secteur public) <a href="#article-61e--int%c3%a9r%c3%aat-public-secteur-public" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les organisations du secteur public peuvent s’appuyer sur la base de l’intérêt public, en particulier lorsque la législation nationale autorisé explicitement le traitement aux fins de la protection dès lanceurs d’alerte.</p> <h3 id="quen-est-il-du-consentement-"> Qu’en est-il du consentement ? <a href="#quen-est-il-du-consentement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ne vous appuyez pas sur le consentement.</strong> Le déséquilibre de pouvoir entre le lanceur d’alerte et l’employeur signifie que le consentement ne sera probablement pas donné librement (considérant 43 du RGPD). Un lanceur d’alerte ne peut pas consentir de manière significative lorsque son emploi peut dependre du resultat. Utilisez l’obligation légale (Art. 6(1)(c)) à la place.</p> <hr> <h2 id="signalements-anonymes-et-rgpd"> Signalements anonymes et RGPD <a href="#signalements-anonymes-et-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>C’est la question que posent le plus souvent les responsables conformité : si un signalement est véritablement anonyme, le RGPD s’applique-t-il ?</p> <h3 id="si-le-lanceur-dalerte-nest-pas-identifiable--le-rgpd-ne-sapplique-pas-à-lui"> Si le lanceur d’alerte n’est pas identifiable : le RGPD ne s’applique pas à lui <a href="#si-le-lanceur-dalerte-nest-pas-identifiable--le-rgpd-ne-sapplique-pas-%c3%a0-lui" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le RGPD s’applique aux données personnelles relatives à une personne identifiée ou identifiable (Art. 4(1)). Si un lanceur d’alerte soumet un signalement sans fournir de nom, d’email ou toute information identifiante — et que le système n’enregistre pas son adresse IP ni aucun autre identifiant — le contenu du signalement ne constitue pas des données personnelles <em>concernant le lanceur d’alerte</em>.</p> <p>Toutefois :</p> <ul> <li>La <strong>personne accusée</strong> nommee dans le signalement reste identifiable. Le RGPD s’applique pleinement à ses données.</li> <li>Si le contenu du signalement contient des détails permettant d’identifier indirectement le lanceur d’alerte (« je suis la seule femme au troisieme étage »), il peut tout de même constituer des données personnelles.</li> </ul> <h3 id="ce-que--anonyme--exige-techniquement"> Ce que « anonyme » exige techniquement <a href="#ce-que--anonyme--exige-techniquement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Pour que l’anonymat résiste à un examen au regard du RGPD, votre outil de signalement doit :</p> <ul> <li><strong>Ne pas enregistrer les adresses IP.</strong> Tout enregistrement d’IP rend le lanceur d’alerte pseudonymisé, et non anonyme.</li> <li><strong>Ne pas exiger de compte ni d’email.</strong> Si le lanceur d’alerte s’authentifié, il est identifiable.</li> <li><strong>Supprimer les métadonnées des fichiers.</strong> Les photos et documents téléchargés contiennent des données EXIF (coordonnees GPS, nom de l’auteur, informations sur l’appareil) qui peuvent identifier le lanceur d’alerte.</li> <li><strong>Ne pas utiliser de cookies analytiques ou de suivi</strong> sur le portail de signalement.</li> </ul> <p>Si votre outil fait l’une de ces choses, vous collectez des données pseudonymisées, pas anonymes, et le RGPD s’applique intégralement.</p> <hr> <h2 id="minimisation-des-données-art-51c"> Minimisation des données (Art. 5(1)(c)) <a href="#minimisation-des-donn%c3%a9es-art-51c" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive exige un canal de signalement. Elle n’exige pas de collecter plus de données que nécessaire.</p> <p>En pratique :</p> <ul> <li><strong>L’identité du lanceur d’alerte doit être facultative.</strong> Le lanceur d’alerte doit pouvoir soumettre un signalement sans fournir son nom ni ses coordonnees.</li> <li><strong>Les formulaires d’accueil ne doivent collecter que le nécessaire.</strong> Une description de la faute, la catégorie et des pieces justificatives optionnelles. N’exigez pas le service, le numero d’employé ou d’autres identifiants, sauf si le lanceur d’alerte choisit de les fournir.</li> <li><strong>Les notes du référent doivent être pertinentes pour l’enquete.</strong> Ne consignez pas de détails personnels superflus sur le lanceur d’alerte ou la personne accusée.</li> </ul> <hr> <h2 id="les-droits-de-la-personne-accusée"> Les droits de la personne accusée <a href="#les-droits-de-la-personne-accus%c3%a9e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>C’est ici que les choses se compliquent. La personne accusée dans un signalement d’alerte a des droits au titre du RGPD — y compris le droit d’être informée (Art. 14), le droit d’accès (Art. 15) et le droit à l’effacement (Art. 17).</p> <p>Mais l’exercice de ces droits ne peut pas compromettre la confidentialité du lanceur d’alerte (Art. 16 de la Directive).</p> <h3 id="droit-dêtre-informe-art-14"> Droit d’être informe (Art. 14) <a href="#droit-d%c3%aatre-informe-art-14" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>En vertu du RGPD, vous devez informer les personnes lorsque vous traitez leurs données. Mais l’article 16(1) de la Directive exige la protection de l’identité du lanceur d’alerte. La solution :</p> <ul> <li>Vous <strong>pouvez</strong> informer la personne accusée qu’un signalement a été effectué — mais uniquement si cela ne risque pas de révéler l’identité du lanceur d’alerte.</li> <li><strong>Le moment est important.</strong> De nombreux États membres autorisent le report de la notification jusqu’à ce qu’elle ne compromette plus l’enquete. Le HinSchG allemand restreint explicitement la divulgation pendant la periode d’investigation.</li> <li>Les autorités nationales de protection des données acceptent generalement que les exigences de confidentialité de la Directive priment sur l’obligation de notification immediate.</li> </ul> <h3 id="droit-daccès-art-15"> Droit d’accès (Art. 15) <a href="#droit-dacc%c3%a8s-art-15" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La personne accusée peut demander l’accès aux données détenues à son sujet. Vous devez les fournir — mais vous devez caviarder toute information qui permettrait d’identifier le lanceur d’alerte. Cela inclut le nom du lanceur d’alerte, mais aussi les détails contextuels qui pourraient le révéler indirectement.</p> <h3 id="droit-à-leffacement-art-17"> Droit à l’effacement (Art. 17) <a href="#droit-%c3%a0-leffacement-art-17" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La personne accusée ne peut pas exiger la suppression d’un signalement qui fait partie d’une enquete en cours ou qui doit être conserve en vertu d’obligations légales. L’article 17(3)(b) et (e) du RGPD prévoit des exceptions pour les obligations légales et les actions en justice.</p> <hr> <h2 id="durées-de-conservation"> Durées de conservation <a href="#dur%c3%a9es-de-conservation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive (Art. 18) exige la tenue de registres des signalements. Le RGPD (Art. 5(1)(e)) exige de ne pas conserver les données personnelles plus longtemps que nécessaire.</p> <h3 id="combien-de-temps-faut-il-conserver-les-signalements-"> Combien de temps faut-il conserver les signalements ? <a href="#combien-de-temps-faut-il-conserver-les-signalements-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La Directive ne prescrit pas de durée de conservation spécifique. Les transpositions nationales varient :</p> <table> <thead> <tr> <th>Pays</th> <th>Durée de conservation</th> <th>Source</th> </tr> </thead> <tbody> <tr> <td>France</td> <td>5 ans apres la cloture du dossier</td> <td>Décret 2022-1284</td> </tr> <tr> <td>Italie</td> <td>5 ans à compter de la date du signalement</td> <td>D.Lgs. 24/2023</td> </tr> <tr> <td>Allemagne</td> <td>3 ans apres la cloture du dossier (sauf procédure en cours)</td> <td>HinSchG §11</td> </tr> <tr> <td>Espagne</td> <td>Non spécifiée (la minimisation RGPD generale s’applique)</td> <td>Law 2/2023</td> </tr> </tbody> </table> <h3 id="bonnes-pratiques"> Bonnes pratiques <a href="#bonnes-pratiques" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Définissez une durée de conservation configurable (par exemple, 12, 24, 36 ou 60 mois apres la cloture du dossier).</li> <li>Supprimez automatiquement les dossiers clos lorsque la durée de conservation expire.</li> <li>Permettez la suppression manuelle par les administrateurs pour les dossiers dont la conservation n’est plus nécessaire.</li> <li>Documentez votre politique de conservation et soyez pret à la justifier auprès d’un régulateur.</li> </ul> <hr> <h2 id="transferts-internationaux-de-données"> Transferts internationaux de données <a href="#transferts-internationaux-de-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les données relatives aux lanceurs d’alerte doivent rester dans l’UE, sauf si vous disposez d’un mécanisme de transfert valide au titre du chapitre V du RGPD.</p> <p>Cela compte lors du choix d’un outil de signalement :</p> <ul> <li><strong>Plateformes hébergées dans l’UE</strong> (données stockées en Allemagne, France, Pays-Bas, etc.) : pas de problème de transfert.</li> <li><strong>Plateformes hébergées aux États-Unis</strong> ou utilisant des fournisseurs cloud américains (AWS US, Azure US, Google Cloud US) : nécessitent le recours aux clauses contractuelles types (CCT) ou au EU-US Data Privacy Framework — tous deux contestes juridiquement.</li> </ul> <p>Le chemin le plus simple : choisir une plateforme qui hébergé toutes les données dans l’UE. Cela élimine entierement la question du transfert.</p> <hr> <h2 id="analyse-dimpact-relative-à-la-protection-des-données-aipd"> Analyse d’impact relative à la protection des données (AIPD) <a href="#analyse-dimpact-relative-%c3%a0-la-protection-des-donn%c3%a9es-aipd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>L’article 35 du RGPD exige une AIPD lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertes des personnes physiques ».</p> <p>Le signalement d’alerte remplit probablement ce critère car :</p> <ul> <li>Il implique des allégations sensibles concernant des personnes identifiées</li> <li>Les signalements peuvent contenir des données de catégorie spéciale (Art. 9)</li> <li>Il existe un déséquilibre de pouvoir inhérent entre le lanceur d’alerte et l’organisation</li> <li>Les manquements à la confidentialité pourraient entraîner des représailles</li> </ul> <p>La plupart des autorités de protection des données recommandent de réaliser une AIPD avant la mise en place d’un système de signalement d’alerte.</p> <hr> <h2 id="ce-que-votre-outil-de-signalement-doit-faire"> Ce que votre outil de signalement doit faire <a href="#ce-que-votre-outil-de-signalement-doit-faire" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sur la base des exigences RGPD ci-dessus, votre logiciel de signalement d’alerte doit :</p> <table> <thead> <tr> <th>Exigence</th> <th>Pourquoi</th> </tr> </thead> <tbody> <tr> <td>Identité du lanceur d’alerte facultative</td> <td>Minimisation des données (Art. 5(1)(c))</td> </tr> <tr> <td>Pas d’enregistrement d’IP</td> <td>Préserver l’anonymat, éviter de créer des données pseudonymisées</td> </tr> <tr> <td>Suppression des métadonnées des fichiers</td> <td>Empêcher l’identification accidentelle via les données EXIF/GPS</td> </tr> <tr> <td>Chiffrement au repos</td> <td>Intégrité et confidentialité (Art. 5(1)(f))</td> </tr> <tr> <td>Durées de conservation configurables</td> <td>Limitation de la conservation (Art. 5(1)(e))</td> </tr> <tr> <td>Suppression automatique des dossiers expirés</td> <td>Application de la limitation de conservation</td> </tr> <tr> <td>Contrôles d’accès bases sur les roles</td> <td>Confidentialité (Art. 16 de la Directive)</td> </tr> <tr> <td>Piste d’audit en ajout seul</td> <td>Responsabilité (Art. 5(2))</td> </tr> <tr> <td>Hébergement des données dans l’UE</td> <td>Éviter les complications liées àux transferts internationaux (chapitre V)</td> </tr> <tr> <td>Avis de confidentialité sur le formulaire de signalement</td> <td>Transparence (Art. 13/14)</td> </tr> </tbody> </table> <hr> <h2 id="comment-ethicsportal-gere-le-rgpd"> Comment EthicsPortal gere le RGPD <a href="#comment-ethicsportal-gere-le-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal a été conçu dès le premier jour avec la Directive et le RGPD comme contraintes :</p> <ul> <li><strong>Base juridique :</strong> Le traitement est fondé sur l’obligation légale (Art. 6(1)(c)) — conformité à la Directive européenne 2019/1937.</li> <li><strong>Anonymat par défaut :</strong> Pas d’enregistrement d’IP, pas de compte, pas de suivi. Les métadonnées des fichiers (EXIF, GPS, auteur) sont supprimees automatiquement.</li> <li><strong>Minimisation des données :</strong> Le nom et les coordonnees du lanceur d’alerte sont des champs facultatifs. Seules les données essentielles sont collectées.</li> <li><strong>Chiffrement au repos :</strong> Toutes les descriptions de signalements, noms, coordonnees et messages sont chiffrés dans la base de données.</li> <li><strong>Conservation configurable :</strong> Les organisations définissent leur propre durée de conservation (12, 24, 36 ou 60 mois). Les dossiers clos expirés sont supprimes automatiquement.</li> <li><strong>Hébergement dans l’UE :</strong> Toutes les données stockées sur les serveurs Hetzner à Nuremberg, Allemagne. Aucune donnée ne quitte l’UE. Pas de fournisseurs cloud américains.</li> <li><strong>Contrôles d’accès :</strong> Seuls les administrateurs et les référents assignes peuvent consulter les signalements. Les noms des référents ne sont jamais reveles aux lanceurs d’alerte.</li> <li><strong>Piste d’audit :</strong> Journal en ajout seul de chaque action pour la responsabilité et le contrôle réglementaire.</li> <li><strong>DPA disponible :</strong> <a href="/fr/dpa/">Accord de traitement des données</a> conforme à l’article 28 du RGPD disponible pour tous les clients.</li> </ul> <p>Pour l’analyse de conformité article par article, consultez notre <a href="/fr/directive-coverage/">page de conformité</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/whistleblower-policy-template/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/whistleblower-policy-template/Un modèle de politique de lancement d'alerte prêt à l'emploi conforme à la Loi Waserman (transposition française de la Directive UE 2019/1937). Copiez, adaptez et diffusez dans votre organisation.<h1 id="modèle-gratuit-de-politique-de-lancement-dalerte-loi-waserman"> Modèle gratuit de politique de lancement d’alerte (Loi Waserman) <a href="#mod%c3%a8le-gratuit-de-politique-de-lancement-dalerte-loi-waserman" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Toute organisation de 50 salariés ou plus en France a besoin d’une politique écrite de lancement d’alerte. Ce n’est pas facultatif — c’est une exigence de la <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (n° 2022-401)</a> , transposition française de la Directive UE 2019/1937. L’obstruction d’un signalement est punie de 60 000 € d’amende et d’un an d’emprisonnement.</p> <p>Une politique de lancement d’alerte remplit deux fonctions : elle indique aux employés comment signaler des actes répréhensibles, et elle indique à votre organisation comment traiter ces signalements. Sans politique claire, les signalements passent entre les mailles du filet, les gestionnaires improvisent, et votre organisation s’exposé à des risques juridiques et de réputation.</p> <p>Vous trouverez ci-dessous un modèle de politique complet que vous pouvez copier et adapter. Remplacez les mentions entre crochets par les informations de votre organisation. Le modèle couvre chaque élément exigé par la directive.</p> <hr> <h2 id="modèle-de-politique-de-lancement-dalerte"> Modèle de politique de lancement d’alerte <a href="#mod%c3%a8le-de-politique-de-lancement-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <hr> <p><strong>[NOM DE L’ORGANISATION]</strong></p> <p><strong>Politique de protection dès lanceurs d’alerte</strong></p> <p><strong>Date d’entrée en vigueur :</strong> [DATE]</p> <p><strong>Approuvé par :</strong> [NOM / FONCTION]</p> <p><strong>Version :</strong> 1.0</p> <hr> <h3 id="1-objet-et-champ-dapplication"> 1. Objet et champ d’application <a href="#1-objet-et-champ-dapplication" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La présente politique établit un cadre pour le signalement de violations présumées de la loi, de la réglementation ou des règles internes au sein de [NOM DE L’ORGANISATION]. Elle met en oeuvre les exigences de la directive européenne 2019/1937 relative à la protection des personnes qui signalent des violations du droit de l’Union, telle que transposée en droit national [de l’ÉTAT MEMBRE].</p> <p>Cette politique s’applique à l’ensemble des activités, filiales et unités opérationnelles de [NOM DE L’ORGANISATION] au sein de l’Union européenne.</p> <h3 id="2-qui-peut-effectuer-un-signalement"> 2. Qui peut effectuer un signalement <a href="#2-qui-peut-effectuer-un-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Conformément à l’article 4 de la directive, les personnes suivantes peuvent soumettre un signalement via les canaux décrits dans la présente politique :</p> <ul> <li>Les employés actuels et anciens, y compris ceux en période d’essai ou de préavis</li> <li>Les candidats à l’emploi ayant obtenu des informations au cours du processus de recrutement</li> <li>Les prestataires, sous-traitants et fournisseurs</li> <li>Les actionnaires et membres de l’organe d’administration, de direction ou de surveillance</li> <li>Les bénévoles et stagiaires, rémunérés ou non</li> <li>Toute personne travaillant sous la supervision et la direction de prestataires, sous-traitants ou fournisseurs</li> <li>Les personnes dont la relation de travail n’a pas encore commencé, lorsque des informations sur des violations ont été obtenues au cours du processus de recrutement ou de négociations précontractuelles</li> </ul> <p>La protection s’étend également aux facilitateurs, aux tiers liés à l’auteur du signalement (tels que des collègues ou des proches) et aux entités juridiques que l’auteur du signalement détient, pour lesquelles il travaille ou avec lesquelles il est autrement lié dans un contexte professionnel (article 4(4)).</p> <h3 id="3-ce-qui-peut-être-signalé"> 3. Ce qui peut être signalé <a href="#3-ce-qui-peut-%c3%aatre-signal%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les signalements peuvent concerner des violations du droit de l’Union dans les domaines couverts par la directive (article 2), notamment :</p> <ul> <li>Irrégularités en matière de marchés publics</li> <li>Violations relatives aux services financiers, à la lutte contre le blanchiment de capitaux et le financement du terrorisme</li> <li>Manquements en matière de sécurité et de conformité des produits</li> <li>Violations de la sécurité des transports</li> <li>Atteintes à la protection de l’environnement</li> <li>Questions relatives à la radioprotection et à la sûreté nucléaire</li> <li>Problèmes de sécurité alimentaire, de santé animale et de bien-être animal</li> <li>Violations de la santé publique</li> <li>Atteintes à la protection des consommateurs</li> <li>Violations de la vie privée et de la protection des données personnelles</li> <li>Sécurité des réseaux et des systèmes d’information</li> <li>Violations des règles de concurrence et des aides d’État</li> <li>Dispositifs fiscaux d’entreprise portant atteinte à l’objet ou à la finalité du droit fiscal applicable</li> <li>Fraude, corruption ou autres infractions pénales portant atteinte aux intérêts financiers de l’UE</li> </ul> <p>Les signalements peuvent également concerner des violations des politiques internes de l’entreprise, des codes de conduite et du droit national applicable, à condition que la loi nationale de transposition [de l’ÉTAT MEMBRE] étende la protection à ces signalements.</p> <h3 id="4-comment-effectuer-un-signalement"> 4. Comment effectuer un signalement <a href="#4-comment-effectuer-un-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <h4 id="canal-de-signalement-interne"> Canal de signalement interne <a href="#canal-de-signalement-interne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>[NOM DE L’ORGANISATION] met à disposition un canal de signalement interne sécurisé et confidentiel :</p> <ul> <li><strong>Portail en ligne :</strong> [URL DU PORTAIL DE SIGNALEMENT]</li> <li><strong>Personne désignée :</strong> [NOM / FONCTION DE LA PERSONNE OU DU SERVICE DÉSIGNÉ]</li> <li><strong>Méthodes alternatives :</strong> [ADRESSE POSTALE / E-MAIL / PROCÉDURE DE DEMANDE DE RÉUNION EN PERSONNE, selon le cas]</li> </ul> <p>Les signalements peuvent être soumis de manière anonyme. Les lanceurs d’alerte qui choisissent de rester anonymes recevront un code d’accès pour consulter l’état de leur signalement et communiquer de manière sécurisée avec le gestionnaire de cas.</p> <p>[NOM DE L’ORGANISATION] encourage l’utilisation du canal de signalement interne comme première démarche, car cela permet à l’organisation d’enquêter et de traiter les violations rapidement.</p> <h4 id="signalement-externe-auprès-des-autorités-compétentes"> Signalement externe auprès des autorités compétentes <a href="#signalement-externe-aupr%c3%a8s-des-autorit%c3%a9s-comp%c3%a9tentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>Les auteurs de signalements ont le droit de signaler directement à l’autorité compétente à tout moment, conformément à l’article 10 de la directive. Les auteurs de signalements ne sont pas tenus d’utiliser le canal interne avant de signaler auprès d’une autorité externe.</p> <p>L’autorité compétente [dans l’ÉTAT MEMBRE] est : [NOM ET COORDONNÉES DE L’AUTORITÉ NATIONALE].</p> <h4 id="divulgation-publique"> Divulgation publique <a href="#divulgation-publique" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>Dans les circonstances exceptionnelles définies à l’article 15 de la directive, les auteurs de signalements peuvent procéder à une divulgation publique tout en bénéficiant de la protection — par exemple, lorsqu’ils ont des motifs raisonnables de croire que la violation constitue un danger imminent ou manifeste pour l’intérêt public, ou lorsqu’il existe un risque de représailles.</p> <h3 id="5-confidentialité"> 5. Confidentialité <a href="#5-confidentialit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’identité de l’auteur du signalement ne sera divulguée à aucune personne en dehors des membres du personnel autorisés compétents pour recevoir ou assurer le suivi des signalements, sans le consentement explicite de l’auteur du signalement (article 16).</p> <p>Cette obligation de confidentialité s’applique à toute information permettant de déduire directement ou indirectement l’identité de l’auteur du signalement.</p> <p>L’identité de l’auteur du signalement ne peut être divulguée que lorsqu’il s’agit d’une obligation nécessaire et proportionnée imposée par le droit de l’Union ou le droit national dans le cadre d’enquêtes menées par les autorités nationales ou de procédures judiciaires, y compris en vue de sauvegarder les droits de la défense de la personne concernée.</p> <p>Toute personne qui divulgue l’identité d’un auteur de signalement en violation de la présente politique fera l’objet de mesures disciplinaires.</p> <h3 id="6-interdiction-des-représailles"> 6. Interdiction des représailles <a href="#6-interdiction-des-repr%c3%a9sailles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NOM DE L’ORGANISATION] interdit strictement toute forme de représailles contre les auteurs de signalements, conformément aux articles 19 à 21 de la directive. Les représailles comprennent, sans s’y limiter :</p> <ul> <li>La suspension, le licenciement ou les mesures équivalentes</li> <li>La rétrogradation, le refus de promotion ou le changement de fonctions ou de lieu de travail</li> <li>La réduction de salaire ou la modification des horaires de travail</li> <li>Le refus de formation</li> <li>L’évaluation négative des performances ou la référence professionnelle défavorable</li> <li>La coercition, l’intimidation, le harcèlement ou l’ostracisme</li> <li>La discrimination ou le traitement défavorable</li> <li>Le non-renouvellement d’un contrat de travail temporaire en contrat permanent</li> <li>Le non-renouvellement ou la résiliation anticipée d’un contrat de travail temporaire</li> <li>Le préjudice, y compris à la réputation ou les pertes financières</li> <li>L’inscription sur liste noire</li> <li>La résiliation anticipée ou l’annulation d’un contrat de fourniture de biens ou de services</li> <li>L’annulation d’une licence ou d’un permis</li> <li>L’orientation vers un examen psychiatrique ou médical</li> </ul> <p>La charge de la preuve dans les procédures de représailles est inversée : lorsqu’un auteur de signalement établit qu’il a fait un signalement et a ensuite subi un préjudice, il est présumé que le préjudice a été infligé en représailles. La personne ayant pris la mesure préjudiciable doit prouver qu’elle reposait sur des motifs dûment justifiés sans rapport avec le signalement (article 21(5)).</p> <p>Tout employé reconnu coupable de représailles fera l’objet de mesures disciplinaires, pouvant aller jusqu’au licenciement.</p> <h3 id="7-processus-denquête"> 7. Processus d’enquête <a href="#7-processus-denqu%c3%aate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>À réception d’un signalement, [NOM DE L’ORGANISATION] procédera comme suit :</p> <ol> <li><strong>Accusé de réception</strong> dans les sept jours calendaires suivant la réception du signalement (article 9(1)(b)).</li> <li><strong>Évaluation du signalement</strong> pour déterminer s’il relève du champ d’application de la présente politique et justifie une enquête.</li> <li><strong>Enquête diligente</strong> en recueillant les informations pertinentes, en interrogeant les témoins si nécessaire et en examinant les documents, tout en maintenant la confidentialité.</li> <li><strong>Retour d’information</strong> à l’auteur du signalement dans les trois mois suivant l’accusé de réception. Le retour d’information comprendra des informations sur l’état de l’enquête et, dans la mesure du possible, les conclusions et les mesures prises ou envisagées (article 9(1)(f)).</li> <li><strong>Clôture du dossier</strong> avec des conclusions documentées et, le cas échéant, des recommandations de mesures correctives, de sanctions disciplinaires ou de transmission aux autorités compétentes.</li> </ol> <p>Lorsqu’un signalement est évalué comme ne relevant pas du champ d’application de la présente politique, l’auteur du signalement en sera informé et, le cas échéant, orienté vers la procédure appropriée.</p> <h3 id="8-protection-des-données"> 8. Protection des données <a href="#8-protection-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les signalements et toutes les données associées seront traités conformément au règlement (UE) 2016/679 (RGPD) et au droit national applicable en matière de protection des données.</p> <p>Les données personnelles manifestement non pertinentes pour le traitement d’un signalement spécifique ne seront pas collectées ou, si elles sont collectées accidentellement, seront supprimées dans les meilleurs délais (article 17(3)).</p> <p>Les données relatives aux signalements ne seront pas conservées plus longtemps que ce qui est nécessaire et proportionné pour se conformer àux exigences de la présente politique et du droit applicable. [NOM DE L’ORGANISATION] définira et documentera des durées de conservation spécifiques conformément à la loi nationale de transposition.</p> <h3 id="9-formation-et-sensibilisation"> 9. Formation et sensibilisation <a href="#9-formation-et-sensibilisation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NOM DE L’ORGANISATION] s’engage à :</p> <ul> <li>Former tous les gestionnaires de cas désignés sur leurs obligations au titre de la présente politique et du droit applicable</li> <li>Informer tous les employés et les autres personnes visées à la section 2 de la disponibilité et de l’utilisation du canal de signalement interne</li> <li>Rendre cette politique facilement accessible, notamment sur l’intranet de l’entreprise et dans le cadre du processus d’accueil des nouveaux employés</li> </ul> <h3 id="10-révision"> 10. Révision <a href="#10-r%c3%a9vision" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La présente politique sera révisée au moins une fois par an et mise à jour si nécessaire pour refléter les évolutions du droit applicable, de la structure organisationnelle ou des bonnes pratiques.</p> <h3 id="11-contact"> 11. Contact <a href="#11-contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Pour toute question relative à cette politique ou au canal de signalement :</p> <ul> <li><strong>Personne désignée :</strong> [NOM / FONCTION]</li> <li><strong>E-mail :</strong> [ADRESSE E-MAIL]</li> <li><strong>Portail de signalement :</strong> [URL]</li> </ul> <hr> <p><em>Fin du document de politique.</em></p> <hr> <h2 id="utilisation-de-ce-modèle"> Utilisation de ce modèle <a href="#utilisation-de-ce-mod%c3%a8le" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Copiez le texte ci-dessus dans le format documentaire de votre entreprise, remplacez chaque mention entre crochets et faites-le relire par votre service juridique. Le modèle couvre les exigences de la directive 2019/1937, mais les lois nationales de transposition de votre État membre peuvent imposer des obligations supplémentaires — consultez un conseil juridique local.</p> <p>Une fois votre politique en place, vous avez besoin d’un canal technique pour recevoir les signalements. <a href="/">EthicsPortal</a> fournit un portail de signalement sécurisé et anonyme conforme aux exigences de la directive pour les canaux internes — mise en place en quelques minutes, à partir de 49 €/mois.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/who-must-comply-eu-whistleblower-directive/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/who-must-comply-eu-whistleblower-directive/Quelles entreprises ont besoin d'un canal de signalement en vertu de la Loi Waserman (transposition française de la Directive UE 2019/1937) ? Le seuil de 50 salariés, les échéances et ce que « se conformer » signifie concrètement.<h1 id="qui-doit-se-conformer-à-la-loi-waserman-lanceurs-dalerte-"> Qui doit se conformer à la Loi Waserman (lanceurs d’alerte) ? <a href="#qui-doit-se-conformer-%c3%a0-la-loi-waserman-lanceurs-dalerte-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Réponse courte : si votre organisation compte 50 salariés ou plus et opère en France, vous avez besoin d’un canal de signalement interne. Ce n’est pas facultatif. La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (n° 2022-401)</a> transpose en droit français la Directive UE 2019/1937 et est en vigueur depuis septembre 2022.</p> <p>Voici tout ce que vous devez savoir pour déterminer si vous devez vous conformer, ce que la conformité exige réellement et ce qui se passe si vous ne le faites pas.</p> <hr> <h2 id="le-seuil--50-employés"> Le seuil : 50 employés <a href="#le-seuil--50-employ%c3%a9s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive européenne 2019/1937, articles 8(3)-(4), établit l’obligation :</p> <ul> <li><strong>250+ employés :</strong> Doivent disposer d’un canal de signalement interne depuis le 17 décembre 2021 (échéance initiale de transposition).</li> <li><strong>50 à 249 employés :</strong> Doivent disposer d’un canal de signalement interne depuis le 17 décembre 2023 (échéance prorogée).</li> </ul> <p>Si vous avez 50 employés ou plus dans l’UE, l’échéance est déjne passée. Vous devriez avoir un canal en place maintenant.</p> <h3 id="comment-les-employés-sont-comptés"> Comment les employés sont comptés <a href="#comment-les-employ%c3%a9s-sont-compt%c3%a9s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La Directive ne définit pas « employé » de manière restrictive. Les États membres comptent :</p> <ul> <li>Les salariés à temps plein et à temps partiel (le temps partiel peut être compté proportionnellement dans certains pays)</li> <li>Les travailleurs à durée déterminée et les travailleurs temporaires</li> <li>Dans certains États membres : les travailleurs détachés, les stagiaires et les apprentis</li> </ul> <p>Le décompte est basé sur votre entité juridique, pas sur votre groupe. Si vous faites partie d’un groupe d’entreprises, chaque entité de 50 employés ou plus a besoin de son propre canal — bien que les entités de 50 à 249 employés puissent mutualiser les ressources pour la réception et l’investigation des signalements (Art. 8(6)).</p> <hr> <h2 id="qui-est-concerné-au-delà-de-leffectif"> Qui est concerné au-delà de l’effectif <a href="#qui-est-concern%c3%a9-au-del%c3%a0-de-leffectif" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Plusieurs catégories d’organisations doivent se conformer indépendamment du nombre d’employés :</p> <h3 id="services-financiers-art-84"> Services financiers (Art. 8(4)) <a href="#services-financiers-art-84" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Toutes les entités opérant dans les services financiers — banques, sociétés d’investissement, compagnies d’assurance, établissements de paiement, fournisseurs de crypto-actifs — doivent disposer d’un canal de signalement quelle que soit leur taille. Cela s’applique même si vous avez 5 employés. La Directive renvoie à la législation sectorielle européenne listée dans la partie I.B et la partie II de l’annexe.</p> <h3 id="secteur-public-art-89"> Secteur public (Art. 8(9)) <a href="#secteur-public-art-89" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les États membres peuvent exiger des municipalités et d’autres organismes publics qu’ils mettent en place des canaux internes. Beaucoup l’ont fait, souvent avec des seuils plus bas, voire aucun seuil.</p> <h3 id="extensions-nationales"> Extensions nationales <a href="#extensions-nationales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Certains États membres vont au-delà du minimum de la Directive :</p> <ul> <li><strong>Italie :</strong> Les organisations ayant un programme de conformité « Modèle 231 » doivent se conformer quelle que soit leur taille.</li> <li><strong>Belgique :</strong> Les entreprises de 250+ employés doivent accepter les signalements anonymes (plus strict que le seuil de la Directive).</li> <li><strong>France :</strong> La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> transposant la Directive a supprimé l’obligation d’utiliser les canaux internes avant les autorités externes — les signalants peuvent désormais choisir l’un ou l’autre. Les obligations anti-corruption plus larges de la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II</a> (distinctes du canal de signalement) s’appliquent toujours aux entreprises de 500+ employés et 100 M EUR+ de chiffre d’affaires.</li> </ul> <hr> <h2 id="qui-peut-signaler"> Qui peut signaler <a href="#qui-peut-signaler" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive protège une large catégorie de « personnes effectuant un signalement » — pas seulement les employés. En vertu de l’article 4, les personnes suivantes sont protégées lorsqu’elles signalent via votre canal :</p> <ul> <li><strong>Travailleurs</strong> (salariés, fonctionnaires, stagiaires, apprentis)</li> <li><strong>Travailleurs indépendants</strong> (prestataires, freelances)</li> <li><strong>Actionnaires et membres du conseil d’administration</strong></li> <li><strong>Bénévoles</strong></li> <li><strong>Fournisseurs et leurs travailleurs</strong> (toute personne dans votre chaîne d’approvisionnement)</li> <li><strong>Candidats à l’emploi</strong> (personnes ayant eu connaissance de fautes pendant le processus de recrutement)</li> <li><strong>Anciens travailleurs</strong> (personnes ayant eu connaissance de fautes pendant un emploi précédent)</li> </ul> <p>Votre canal de signalement doit être accessible à tous ces groupes, pas seulement aux employés actuels.</p> <hr> <h2 id="ce-que-la-conformité-exige-concrètement"> Ce que la conformité exige concrètement <a href="#ce-que-la-conformit%c3%a9-exige-concr%c3%a8tement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Disposer d’un canal signifie satisfaire aux exigences des articles 8, 9 et 16 de la Directive. Voici le minimum :</p> <h3 id="1-un-canal-de-signalement-sécurisé-art-8"> 1. Un canal de signalement sécurisé (Art. 8) <a href="#1-un-canal-de-signalement-s%c3%a9curis%c3%a9-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Un canal interne permettant le signalement par écrit (et éventuellement oralement). Il doit :</p> <ul> <li>Être accessible à toutes les personnes couvertes par la Directive (employés, prestataires, fournisseurs, etc.)</li> <li>Protéger la confidentialité de l’identité du lanceur d’alerte</li> <li>Ne pas exiger que le lanceur d’alerte s’identifie (le signalement anonyme est autorisé dans la plupart des États membres)</li> </ul> <h3 id="2-une-procédure-documentée-art-9"> 2. Une procédure documentée (Art. 9) <a href="#2-une-proc%c3%a9dure-document%c3%a9e-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le canal doit suivre une procédure définie :</p> <table> <thead> <tr> <th>Exigence</th> <th>Délai</th> <th>Article</th> </tr> </thead> <tbody> <tr> <td>Accuser réception du signalement</td> <td>Sous 7 jours</td> <td>Art. 9(1)(b)</td> </tr> <tr> <td>Désigner une personne ou un service impartial pour le traiter</td> <td>À réception</td> <td>Art. 9(1)(a)</td> </tr> <tr> <td>Assurer un suivi diligent</td> <td>En continu</td> <td>Art. 9(1)(c)</td> </tr> <tr> <td>Fournir un retour au lanceur d’alerte</td> <td>Sous 3 mois</td> <td>Art. 9(1)(f)</td> </tr> <tr> <td>Informer le lanceur d’alerte des options de signalement externe</td> <td>À la soumission</td> <td>Art. 9(1)(g)</td> </tr> </tbody> </table> <h3 id="3-protections-de-la-confidentialité-art-16"> 3. Protections de la confidentialité (Art. 16) <a href="#3-protections-de-la-confidentialit%c3%a9-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’identité du lanceur d’alerte ne doit pas être divulguée à quiconque en dehors du personnel chargé du traitement, sans le consentement explicite du lanceur d’alerte. Cela signifie :</p> <ul> <li>Contrôles d’accès : seuls les référents autorisés voient les signalements</li> <li>Pas d’enregistrement d’IP ni de suivi susceptible d’identifier les lanceurs d’alerte anonymes</li> <li>Données chiffrées au repos</li> </ul> <h3 id="4-conservation-des-dossiers-art-18"> 4. Conservation des dossiers (Art. 18) <a href="#4-conservation-des-dossiers-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les signalements doivent être stockés de manière sécurisée et conservés conformément à la législation nationale. Vous avez besoin d’une piste d’audit capable de démontrer la conformité aux régulateurs.</p> <h3 id="5-mesures-anti-représailles-art-1921"> 5. Mesures anti-représailles (Art. 19–21) <a href="#5-mesures-anti-repr%c3%a9sailles-art-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Vous ne devez pas exercer de représailles contre les lanceurs d’alerte. Cela inclut le licenciement, la rétrogradation, le blocage de promotion, la modification des fonctions ou toute autre forme de préjudice. Les lanceurs d’alerte doivent être informés de cette protection.</p> <hr> <h2 id="ce-qui-ne-constitue-pas-une-mise-en-conformité"> Ce qui ne constitue PAS une mise en conformité <a href="#ce-qui-ne-constitue-pas-une-mise-en-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Certaines pratiques que les organisations tentent et qui ne répondent pas aux exigences de la Directive :</p> <ul> <li><strong>Une adresse email générique</strong> (par exemple, conformité@entreprise.com). Cela ne protège pas la confidentialité, ne suit pas les délais et ne crée pas de piste d’audit.</li> <li><strong>Une boîte à suggestions anonyme.</strong> Pas de communication bidirectionnelle, pas d’accusé de réception, pas de mécanisme de retour.</li> <li><strong>Une page dans le règlement intérieur.</strong> Le canal doit être opérationnel, pas seulement documenté.</li> <li><strong>Une ligne téléphonique tierce sans gestion des dossiers.</strong> Si les signalements arrivent par téléphone mais ne sont pas suivis dans un système avec délais et piste d’audit, vous n’êtes pas conforme à l’Art. 9.</li> </ul> <hr> <h2 id="que-se-passe-t-il-en-cas-de-non-conformité"> Que se passe-t-il en cas de non-conformité <a href="#que-se-passe-t-il-en-cas-de-non-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Chaque État membre a défini des sanctions. Elles varient considérablement :</p> <table> <thead> <tr> <th>Pays</th> <th>Sanction pour absence de canal de signalement</th> <th>Source</th> </tr> </thead> <tbody> <tr> <td>Espagne</td> <td>Jusqu’à 1 000 000 EUR</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td>Belgique</td> <td>24 000 à 576 000 EUR + jusqu’à 3 ans de prison</td> <td><a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/belgium" rel="nofollow">CMS Expert Guide</a> </td> </tr> <tr> <td>Allemagne</td> <td>20 000 à 500 000 EUR (personnes morales)</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG §40</a> </td> </tr> <tr> <td>Italie</td> <td>10 000 à 50 000 EUR</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td>Pologne</td> <td>Jusqu’à 1 080 000 PLN (~250 000 EUR)</td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Act of 14 June 2024</a> </td> </tr> </tbody> </table> <p>L’application n’est pas théorique. En mars 2025, la Cour de justice de l’UE a infligé à cinq États membres des amendes totalisant 39 millions d’euros pour retard de transposition de la Directive. Les autorités nationales de contrôle sont désormais opérationnelles dans la plupart des pays et prononcent activement des sanctions.</p> <p>Consultez notre page complète des <a href="/fr/penalties/">sanctions par pays</a> pour les 27 États membres.</p> <hr> <h2 id="le-chemin-le-plus-rapide-vers-la-conformité"> Le chemin le plus rapide vers la conformité <a href="#le-chemin-le-plus-rapide-vers-la-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si votre organisation compte 50 employés ou plus, l’échéance est passée. Voici comment vous mettre en conformité :</p> <ol> <li><strong>Mettez en place un canal de signalement.</strong> <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">EthicsPortal</a> se configure en quelques minutes — inscrivez-vous, configurez votre portail, partagez le lien. 49 EUR/mois, tout inclus.</li> <li><strong>Désignez un référent.</strong> Nommez au moins une personne impartiale pour recevoir et investiguer les signalements.</li> <li><strong>Informez les employés.</strong> Partagez l’URL du portail et le QR code via des affiches, des supports d’intégration et des communications internes.</li> <li><strong>Documentez votre procédure.</strong> Adoptez une politique interne de protection dès lanceurs d’alerte décrivant le processus, les délais et les protections anti-représailles.</li> </ol> <p>Le logiciel est la partie facile. L’ensemble de la mise en place — canal, configuration, QR code — peut être fait pendant une pause déjeuner. Les étapes organisationnelles (désignation du référent, politique, formation) prennent plus de temps mais sont simples.</p> <p>Pour une analyse article par article de la façon dont EthicsPortal répond aux exigences de la Directive, consultez notre <a href="/fr/directive-coverage/">page de conformité</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/best-whistleblower-software/Sun, 01 Mar 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/best-whistleblower-software/Un comparatif indépendant des meilleures plateformes de signalement en 2026, incluant tarifs, fonctionnalités et le profil idéal de chaque outil.<h1 id="meilleurs-logiciels-de-lancement-dalerte-en-2026--comparatif-honnête"> Meilleurs logiciels de lancement d’alerte en 2026 : comparatif honnête <a href="#meilleurs-logiciels-de-lancement-dalerte-en-2026--comparatif-honn%c3%aate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Si vous cherchez un logiciel de lancement d’alerte pour vous conformer à la directive européenne 2019/1937, vous avez probablement remarqué que chaque éditeur publié un article « meilleur logiciel de lancement d’alerte » — et se classe en première position. Nous n’allons pas faire cela. Voici un comparatif honnête, côte à côte, des plateformes que nous avons évaluées avant de créer EthicsPortal, plus EthicsPortal lui-même.</p> <p>Nous avons examiné la transparence tarifaire, la rapidité de mise en place, l’hébergement dans l’UE, la richesse fonctionnelle et l’adéquation de chaque outil aux petites et moyennes entreprises par rapport aux grandes entreprises.</p> <hr> <h2 id="tableau-comparatif-rapide"> Tableau comparatif rapide <a href="#tableau-comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Plateforme</th> <th>Tarif de départ</th> <th>Offre gratuite</th> <th>Hébergement UE</th> <th>Délai de mise en place</th> <th>Idéal pour</th> </tr> </thead> <tbody> <tr> <td>EQS Integrity Line</td> <td>~3 000 €/an (devis personnalisé)</td> <td>Non</td> <td>Oui</td> <td>Semaines</td> <td>Grandes entreprises, secteurs réglementés</td> </tr> <tr> <td>Formalize (whistleblowersoftware.com)</td> <td>Personnalisé (sur devis)</td> <td>Oui (14 jours)</td> <td>Oui (Danemark)</td> <td>Jours</td> <td>Entreprises moyennes européennes</td> </tr> <tr> <td>Whistlelink</td> <td>79 €/mois (starter)</td> <td>Non</td> <td>Oui (Suède)</td> <td>Jours</td> <td>Entreprises nordiques, taille moyenne</td> </tr> <tr> <td>FaceUp</td> <td>Sur devis (USD)</td> <td>Non</td> <td>Oui (République tchèque)</td> <td>Heures</td> <td>Écoles, conformité d’entreprise</td> </tr> <tr> <td>NAVEX Global</td> <td>Tarif personnalisé (généralement 5 000 €+/an)</td> <td>Non</td> <td>Oui (en option)</td> <td>Semaines</td> <td>Grandes entreprises US/UE</td> </tr> <tr> <td>Whispli</td> <td>Tarif personnalisé (~3 000 €+/an)</td> <td>Non</td> <td>Oui (en option)</td> <td>Semaines</td> <td>Grandes entreprises, processus complexes</td> </tr> <tr> <td>SpeakUp (People Intouch)</td> <td>3 000 €/an</td> <td>Non</td> <td>Oui (Pays-Bas)</td> <td>Jours</td> <td>Moyennes à grandes entreprises européennes</td> </tr> <tr> <td>Hintbox</td> <td>49-149+ €/mois (+TVA)</td> <td>Oui</td> <td>Oui (Allemagne)</td> <td>Jours</td> <td>Marchés germanophones</td> </tr> <tr> <td>AllVoices</td> <td>Tarif personnalisé (~4 000 $+/an)</td> <td>Non</td> <td>US uniquement</td> <td>Semaines</td> <td>Entreprises US, orienté RH</td> </tr> <tr> <td>EthicsPortal</td> <td>49 €/mois forfaitaire</td> <td>Non</td> <td>Oui (UE)</td> <td>Minutes</td> <td>PME, startups, conformité rapide</td> </tr> </tbody> </table> <hr> <h2 id="analyses-détaillées"> Analyses détaillées <a href="#analyses-d%c3%a9taill%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="eqs-integrity-line"> EQS Integrity Line <a href="#eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EQS est le poids lourd du logiciel de conformité européen. Leur solution Integrity Line est utilisée par des banques, des assureurs et des sociétés cotées à travers l’UE.</p> <p><strong>Points forts :</strong> Intégration approfondie avec des suites GRC (gouvernance, risque, conformité) plus larges. Excellentes pistes d’audit. Forte notoriété de marque auprès des équipes conformité des grandes entreprises. Prise en charge de plus de 70 langues.</p> <p><strong>Points faibles :</strong> La tarification est opaque — vous ne trouverez pas de prix sur leur site web. Comptez plusieurs milliers d’euros par an, et vous devrez passer par un processus commercial. La mise en oeuvre prend généralement des semaines avec un accompagnement dédié. Surdimensionné pour une entreprise de 50 personnes.</p> <p><strong>Idéal pour :</strong> Les grandes entreprises (500+ employés) de secteurs fortement réglementés ayant besoin d’un écosystème GRC complet.</p> <h3 id="formalize-whistleblowersoftwarecom"> Formalize (whistleblowersoftware.com) <a href="#formalize-whistleblowersoftwarecom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Formalize, commercialisé sous le nom WhistleblowerSoftware.com, est une plateforme danoise soutenue par une série A de 15 M€ avec plus de 500 partenaires consultants dont PwC et Baker McKenzie. Ils se sont repositionnés et élargis à la conformité au sens large (NIS2, DORA, ISO 27001).</p> <p><strong>Points forts :</strong> Plus de 80 langues. Certifié ISO 27001 et ISAE 3000. Solide écosystème de partenaires. Essai gratuit de 14 jours.</p> <p><strong>Points faibles :</strong> Ne publie plus ses tarifs — nécessite de demander un devis personnalisé. L’expansion au-delà du lancement d’alerte vers la conformité NIS2/DORA peut diluer le focus. La mise en place implique un processus de démonstration/vente, pas un accès instantané en libre-service.</p> <p><strong>Idéal pour :</strong> Les entreprises européennes de taille moyenne (50–500 employés) qui souhaitent un produit soigné et ne sont pas gênées par une tarification par employé.</p> <h3 id="whistlelink"> Whistlelink <a href="#whistlelink" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Une plateforme suédoise avec une forte présence dans les pays nordiques. Whistlelink se positionne comme facile à utiliser et conforme à la législation européenne.</p> <p><strong>Points forts :</strong> Disponible en plus de 50 langues. Bonne gestion des dossiers. Hébergé en Suède. Interface simple pour les lanceurs d’alerte. Toutes les offres incluent le même ensemble de fonctionnalités. Essai gratuit de 30 jours.</p> <p><strong>Points faibles :</strong> Le tarif de départ de 79 €/mois (facturation annuelle) est raisonnable mais reste supérieur aux options forfaitaires. La tarification par employé monte à 299 €/mois pour les grandes organisations. Au-delà de 1 000 employés, il faut contacter le service commercial.</p> <p><strong>Idéal pour :</strong> Les entreprises nordiques et d’Europe du Nord recherchant un fournisseur régional avec un bon support linguistique.</p> <h3 id="faceup"> FaceUp <a href="#faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>FaceUp est une plateforme d’alerte fondée en République tchèque qui s’est étendue de son orientation initiale vers les écoles à la conformité d’entreprise, servant désormais des organisations dans plus de 70 pays. Ils prennent en charge 113 langues et proposent une application mobile pour les lanceurs d’alerte.</p> <p><strong>Points forts :</strong> Disponible en 113 langues — parmi les plus élevés du marché. Application mobile pour les lanceurs d’alerte. Certifié ISO 27001. Forte présence dans le secteur éducatif en parallèle de la conformité d’entreprise.</p> <p><strong>Points faibles :</strong> La tarification n’est pas publiée — toutes les formules affichent un bouton « Demander un devis » malgré l’affichage de noms de paliers (Starter, Professional, Enterprise). La tarification est en dollars américains, ce qui ajoute un risque de change pour les entreprises européennes. L’origine scolaire se ressent dans certains aspects de l’expérience utilisateur.</p> <p><strong>Idéal pour :</strong> Les organisations qui ont besoin de 113 langues, souhaitent une application mobile de signalement, ou opèrent à la fois dans l’éducation et le secteur privé.</p> <h3 id="navex-global"> NAVEX Global <a href="#navex-global" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>NAVEX est le géant de l’éthique et de la conformité, principalement en Amérique du Nord mais de plus en plus en Europe. Leur produit EthicsPoint existe depuis des décennies.</p> <p><strong>Points forts :</strong> Ensemble de fonctionnalités massif. Données de benchmark issues de milliers de clients. Services de ligne téléphonique (signalement par téléphone). Analyses puissantes.</p> <p><strong>Points faibles :</strong> Tarification entreprise — attendez-vous à des devis personnalisés bien au-dessus de 5 000 €/an. Cycles de mise en oeuvre longs. La plateforme peut sembler datée par rapport aux nouveaux entrants. L’ADN nord-américain signifie que les exigences spécifiques à l’UE semblent parfois ajoutées après coup plutôt que natives.</p> <p><strong>Idéal pour :</strong> Les grandes multinationales (1 000+ employés) qui souhaitent un fournisseur unique pour l’ensemble de leur programme d’éthique et de conformité, y compris les lignes téléphoniques.</p> <h3 id="whispli"> Whispli <a href="#whispli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Une entreprise fondée en Australie qui s’est étendue en Europe. Whispli met l’accent sur la communication anonyme bidirectionnelle.</p> <p><strong>Points forts :</strong> Système de messagerie anonyme robuste. Bonne expérience mobile. Prise en charge du signalement vocal et vidéo. Configuration de processus souple.</p> <p><strong>Points faibles :</strong> Tarification personnalisée sans chiffrés publics — les retours suggèrent un démarrage autour de 3 000 €/an. La mise en oeuvre implique des appels d’intégration et de configuration. Présence européenne plus limitée par rapport aux fournisseurs natifs de l’UE.</p> <p><strong>Idéal pour :</strong> Les organisations qui privilégient la communication anonyme bidirectionnelle et ont besoin de signalement multimédia (voix, vidéo).</p> <h3 id="speakup-people-intouch"> SpeakUp (People Intouch) <a href="#speakup-people-intouch" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Une plateforme néerlandaise présente dans le domaine du lancement d’alerte depuis avant que la directive européenne ne le rende obligatoire. SpeakUp propose à la fois du logiciel et des services managés (externalisation du traitement des dossiers).</p> <p><strong>Points forts :</strong> Longue expérience. Option d’externalisation complète du traitement des dossiers. Hébergé aux Pays-Bas. Signalement téléphonique inclus.</p> <p><strong>Points faibles :</strong> Les tarifs démarrent à 3 000 €/an pour les entreprises de moins de 1 000 employés, personnalisé au-delà. Le modèle de services managés signifie que vous payez pour des personnes, pas seulement pour un logiciel. L’interface est fonctionnelle mais pas moderne.</p> <p><strong>Idéal pour :</strong> Les moyennes à grandes entreprises européennes qui souhaitent l’option d’externaliser le traitement des signalements à un tiers.</p> <h3 id="hintbox"> Hintbox <a href="#hintbox" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Une plateforme allemande (partie de la suite lawcode) avec plus de 1 000 clients dont Rewe, s.Oliver et le FC Bayern. Certifiée ISO 27001, hébergée chez Hetzner en Allemagne. S’étend au-delà du lancement d’alerte vers la conformité LkSG (loi sur la chaîne d’approvisionnement) et CSRD.</p> <p><strong>Points forts :</strong> Produit mature avec une large base de clients. Certifié ISO 27001. Plus de 30 langues avec traduction IA. 2FA, suppression des métadonnées, analyse antivirus inclus. À partir de 49 €/mois — le palier le moins cher avec EthicsPortal. Essai gratuit disponible.</p> <p><strong>Points faibles :</strong> La tarification par employé monte à 149+ €/mois pour les grandes entreprises. Les coûts d’options s’accumulent : bot vocal (+49 €/mois), intégration e-mail (+29 €/mois), domaine personnalisé (+29 €/mois). Centré sur la région DACH — présence limitée en dehors des marchés germanophones. L’expansion vers plusieurs cadres de conformité peut diluer le focus sur le lancement d’alerte.</p> <p><strong>Idéal pour :</strong> Les entreprises allemandes, autrichiennes et suisses qui souhaitent un fournisseur local avec ISO 27001, une expertise approfondie du HinSchG et un historique éprouvé.</p> <h3 id="allvoices"> AllVoices <a href="#allvoices" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Une plateforme américaine axée sur les relations employés et le signalement orienté RH, pas seulement sur le lancement d’alerte.</p> <p><strong>Points forts :</strong> Forte intégration RH. Analyses et détection de tendances par IA. Adapté aux cas d’usage culturels et d’engagement au-delà de la conformité.</p> <p><strong>Points faibles :</strong> Hébergé aux US sans option de centre de données dans l’UE au début de 2026. Tarification personnalisée et démarrant apparemment autour de 4 000 $/an. Pas conçu avec la directive européenne comme cadre principal.</p> <p><strong>Idéal pour :</strong> Les entreprises basées aux États-Unis qui souhaitent un outil combinant relations employés et lancement d’alerte et n’ont pas besoin d’hébergement dans l’UE.</p> <h3 id="ethicsportal"> EthicsPortal <a href="#ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal est notre produit. Nous l’avons conçu pour offrir une conformité complète à la Directive UE 2019/1937 avec une tarification transparente et un déploiement immédiat.</p> <p><strong>Points forts :</strong> Tarif forfaitaire de 49 €/mois quel que soit le nombre d’employés. Pas d’appel commercial — inscrivez-vous et configurez votre portail en quelques minutes. Hébergé dans l’UE. Couvre les exigences fondamentales de la directive : signalement anonyme chiffré, messagerie bidirectionnelle via codes d’accès, gestion des dossiers, suivi de l’accusé de réception à 7 jours et du retour d’information à 3 mois, génération de QR code et portails multilingues. Tarification ouverte et transparente.</p> <p><strong>Points faibles :</strong> Pas de ligne téléphonique. Pas d’externalisation du traitement des dossiers. Intégrations limitées (pas encore de connecteurs SIRH). Non adapté aux organisations nécessitant une suite GRC complète.</p> <p><strong>Idéal pour :</strong> Les PME, startups et entreprises de taille moyenne (50–1 000 employés) qui ont besoin de la conformité à la directive sans la complexité ni les tarifs entreprise.</p> <hr> <h2 id="notre-méthodologie"> Notre méthodologie <a href="#notre-m%c3%a9thodologie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous avons évalué chaque plateforme selon cinq critères :</p> <ol> <li><strong>Transparence tarifaire.</strong> Peut-on trouver le prix sur le site web sans demander une démonstration ? Points bonus pour la tarification forfaitaire.</li> <li><strong>Rapidité de mise en place.</strong> En combien de temps un responsable conformité non technique peut-il passer de l’inscription à un canal de signalement opérationnel ?</li> <li><strong>Couverture de la directive européenne.</strong> La plateforme prend-elle en charge nativement les exigences clés de la directive 2019/1937 — signalement anonyme, communication bidirectionnelle, délais d’accusé de réception, confidentialité ?</li> <li><strong>Résidence des données.</strong> Les données sont-elles hébergées dans l’UE par défaut, ou est-ce une option payante ?</li> <li><strong>Adéquation au public cible.</strong> La plateforme est-elle conçue pour votre taille d’entreprise, ou payez-vous pour des fonctionnalités conçues pour des organisations dix fois plus grandes ?</li> </ol> <p>Nous avons utilisé les tarifs publiquement disponibles lorsque c’était possible et contacté les équipes commerciales lorsque les tarifs n’étaient pas publiés. Les prix cités correspondent au T1 2026 et peuvent varier selon la région, la durée du contrat et la négociation.</p> <p>Pas de liens d’affiliation. Pas de sponsoring. Nous avons créé EthicsPortal parce que nous avons identifié un manqué — cet article explique où se situe ce manqué, et où d’autres outils peuvent être le meilleur choix pour votre situation.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/anonymous-vs-confidential-reporting/Sun, 15 Feb 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/anonymous-vs-confidential-reporting/Comprendre la différence entre le signalement anonyme et confidentiel, ce que la directive européenne exige, et comment gérer les deux.<h1 id="signalement-anonyme-ou-confidentiel--quelle-différence-"> Signalement anonyme ou confidentiel : quelle différence ? <a href="#signalement-anonyme-ou-confidentiel--quelle-diff%c3%a9rence-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Les responsables conformité utilisent fréquemment « anonyme » et « confidentiel » de manière interchangeable lorsqu’ils parlent de signalement. Ce n’est pourtant pas la même chose, et la distinction compte — tant sur le plan juridique que pratique.</p> <p>Se tromper sur ce point peut saper la confiance dans votre canal de signalement, exposer votre organisation à des risques juridiques ou rendre les enquêtes plus difficiles que nécessaire. Voici ce que chaque terme signifie, ce que la directive européenne prévoit, et comment gérer les deux en pratique.</p> <hr> <h2 id="définitions"> Définitions <a href="#d%c3%a9finitions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="signalement-anonyme"> Signalement anonyme <a href="#signalement-anonyme" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’identité du lanceur d’alerte est inconnue de tous, y compris du gestionnaire de cas. L’organisation reçoit le signalement mais n’a aucun moyen de déterminer qui l’a soumis. Le lanceur d’alerte ne fournit ni son nom, ni son e-mail, ni aucune information permettant de l’identifier.</p> <p>Le véritable anonymat signifie que même si l’organisation souhaitait identifier le lanceur d’alerte, elle ne le pourrait pas — le système est conçu pour l’empêcher.</p> <h3 id="signalement-confidentiel"> Signalement confidentiel <a href="#signalement-confidentiel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’identité du lanceur d’alerte est connue du gestionnaire de cas (ou d’un nombre limité de personnes autorisées), mais elle est protégée contre toute divulgation à des tiers. Le gestionnaire sait qui a fait le signalement mais est juridiquement et organisationnellement tenu de ne pas révéler cette identité.</p> <p>La confidentialité est une promesse adossée à des protections juridiques. Le signalement anonyme supprime entièrement la nécessité de cette promesse.</p> <hr> <h2 id="ce-que-la-directive-européenne-prévoit"> Ce que la directive européenne prévoit <a href="#ce-que-la-directive-europ%c3%a9enne-pr%c3%a9voit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La directive européenne 2019/1937 aborde les deux concepts, tout en laissant aux États membres une certaine flexibilité sur le signalement anonyme.</p> <p><strong>Confidentialité (article 16) :</strong> La directive est sans ambiguïté sur ce point. L’identité de l’auteur du signalement ne doit être divulguée à personne en dehors du personnel autorisé sans le consentement explicite du lanceur d’alerte. Cela s’applique à tous les signalements, que le lanceur d’alerte s’identifie ou non. La confidentialité est obligatoire.</p> <p><strong>Signalement anonyme (article 6(2–3), considérant 34) :</strong> La directive n’exige pas des États membres qu’ils acceptent les signalements anonymes via les canaux internes. Toutefois, elle indique explicitement que les États membres <em>peuvent</em> décider d’autoriser ou d’exiger le signalement anonyme. Lorsque des signalements anonymes sont acceptés, ils doivent être traités avec la même diligence que les signalements identifiés.</p> <p>En pratique, la majorité des États membres ayant transposé la directive exigent désormais ou encouragent fortement le signalement anonyme. La France, l’Allemagne, l’Italie et plusieurs autres le rendent obligatoire. Même là où ce n’est pas légalement requis, permettre l’anonymat est considéré comme une bonne pratique car cela augmente le taux de signalement.</p> <p><strong>Communication bidirectionnelle (article 9(1)(b)) :</strong> La directive exige que les canaux de signalement permettent la communication avec le lanceur d’alerte, y compris l’accusé de réception et le retour d’information. Pour les lanceurs d’alerte anonymes, cela signifie que le canal doit permettre une messagerie bidirectionnelle sans exiger la divulgation de l’identité — généralement via un code d’accès ou un numéro de référence de dossier.</p> <hr> <h2 id="avantages-et-inconvénients"> Avantages et inconvénients <a href="#avantages-et-inconv%c3%a9nients" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="signalement-anonyme-1"> Signalement anonyme <a href="#signalement-anonyme-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Avantages :</strong></p> <ul> <li>Supprime entièrement la barrière de la peur — les lanceurs d’alerte ne risquent pas d’être identifiés</li> <li>Taux de signalement plus élevés, notamment pour les sujets sensibles comme la fraude commise par la direction</li> <li>Protège les lanceurs d’alerte même si les mesures de confidentialité de l’organisation échouent</li> <li>Renforce la confiance dans le canal de signalement</li> </ul> <p><strong>Inconvénients :</strong></p> <ul> <li>Le suivi est plus difficile — le gestionnaire ne peut pas contacter le lanceur d’alerte pour des précisions sauf si une messagerie bidirectionnelle est disponible</li> <li>Risque de signalements de moindre qualité si le lanceur d’alerte sait qu’il ne peut pas être contacté</li> <li>Certaines organisations s’inquiètent des signalements frivoles ou malveillants (en pratique, les études montrent systématiquement que c’est rare)</li> <li>L’enquête peut être plus difficile sans connaître le point de vue du lanceur d’alerte</li> </ul> <h3 id="signalement-confidentiel-1"> Signalement confidentiel <a href="#signalement-confidentiel-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Avantages :</strong></p> <ul> <li>Suivi plus facile — le gestionnaire peut contacter directement le lanceur d’alerte pour obtenir des informations complémentaires</li> <li>Le point de vue et le rôle du lanceur d’alerte peuvent aider à orienter l’enquête</li> <li>Les signalements tendent à être plus détaillés lorsque le lanceur d’alerte sait qu’il peut être contacté</li> <li>Le gestionnaire peut évaluer la crédibilité plus facilement</li> </ul> <p><strong>Inconvénients :</strong></p> <ul> <li>Nécessite que le lanceur d’alerte fasse confiance au maintien de la confidentialité</li> <li>Une seule fuite de données, un e-mail imprudent ou un accès non autorisé peut exposer le lanceur d’alerte</li> <li>Certains lanceurs d’alerte n’utiliseront pas le canal si l’identification est obligatoire</li> <li>L’organisation supporte le risque juridique du maintien de la confidentialité</li> </ul> <hr> <h2 id="comment-fonctionne-le-signalement-anonyme-en-pratique"> Comment fonctionne le signalement anonyme en pratique <a href="#comment-fonctionne-le-signalement-anonyme-en-pratique" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le signalement anonyme ne signifie pas que le lanceur d’alerte envoie un message dans le vide et n’a jamais de réponse. Les plateformes modernes de lancement d’alerte résolvent le problème de communication grâce aux codes d’accès.</p> <p>Voici comment cela fonctionne typiquement :</p> <ol> <li><strong>Le lanceur d’alerte soumet un signalement</strong> via le portail sans fournir aucune information personnelle.</li> <li><strong>Le système génère un code d’accès unique</strong> (ou numéro de référence de dossier) et l’affiche au lanceur d’alerte.</li> <li><strong>Le lanceur d’alerte conserve le code d’accès.</strong> C’est sa clé d’accès au dossier.</li> <li><strong>Le gestionnaire de cas examine le signalement</strong> et peut publier dès questions de suivi ou des mises à jour de statut sur le dossier.</li> <li><strong>Le lanceur d’alerte revient sur le portail</strong>, saisit le code d’accès et consulté les messages du gestionnaire. Il peut répondre, fournir des documents supplémentaires ou répondre aux questions — le tout sans révéler son identité.</li> </ol> <p>Cette approche satisfait l’exigence de communication bidirectionnelle de la directive tout en préservant l’anonymat. Le gestionnaire obtient les informations nécessaires à l’enquête ; le lanceur d’alerte reste protégé.</p> <p>Le modèle de code d’accès permet également de respecter les exigences d’accusé de réception de sept jours et de retour d’information de trois mois, car le lanceur d’alerte peut consulter le portail à tout moment pour vérifier si un accusé de réception ou un retour d’information a été fourni.</p> <hr> <h2 id="pourquoi-offrir-les-deux-options-est-la-bonne-approche"> Pourquoi offrir les deux options est la bonne approche <a href="#pourquoi-offrir-les-deux-options-est-la-bonne-approche" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les canaux de signalement les plus efficaces donnent aux lanceurs d’alerte le choix : soumettre de manière anonyme, ou fournir son identité avec la garantie de confidentialité.</p> <p>Voici pourquoi :</p> <ul> <li><strong>Différentes situations appellent différentes approches.</strong> Un employé subalterne signalant une fraude d’un cadre dirigeant peut choisir l’anonymat. Un responsable de département signalant un problème de sécurité peut préférer s’identifier pour que l’enquête avance plus vite.</li> <li><strong>Le choix renforce la confiance.</strong> Lorsque les lanceurs d’alerte voient que l’anonymat est réellement disponible, ils font davantage confiance au canal — même ceux qui finissent par choisir de s’identifier.</li> <li><strong>Couverture juridique.</strong> Dans les États membres qui exigent le signalement anonyme, vous êtes conforme. Dans ceux qui ne l’exigent pas, vous dépassez le standard minimum.</li> <li><strong>Meilleurs taux de signalement.</strong> Les études montrent systématiquement que les organisations offrant des canaux anonymes reçoivent plus de signalements et détectent les problèmes plus tôt.</li> </ul> <p>Les propres considérants de la directive européenne le reconnaissent : permettre le signalement anonyme <em>encourage</em> les signalements et rend les canaux plus efficaces.</p> <hr> <h2 id="comment-ethicsportal-gère-cela"> Comment EthicsPortal gère cela <a href="#comment-ethicsportal-g%c3%a8re-cela" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal prend en charge le signalement anonyme et confidentiel :</p> <ul> <li><strong>Anonyme par défaut.</strong> Les lanceurs d’alerte ne sont jamais tenus de fournir leur identité. Pas de nom, pas d’e-mail, pas de compte.</li> <li><strong>Divulgation d’identité facultative.</strong> Les lanceurs d’alerte peuvent choisir de partager leur nom ou leurs coordonnées s’ils le souhaitent. C’est entièrement volontaire.</li> <li><strong>Messagerie par code d’accès.</strong> Chaque signalement génère un code d’accès unique. Le lanceur d’alerte l’utilise pour consulter les mises à jour et communiquer avec le gestionnaire de cas, sans révéler son identité.</li> <li><strong>Confidentialité appliquée.</strong> Lorsqu’un lanceur d’alerte partage son identité, les contrôles d’accès garantissent que seuls les gestionnaires de cas désignés peuvent la consulter.</li> </ul> <p>Cela donne aux lanceurs d’alerte un contrôle total sur leur niveau d’exposition, tout en offrant aux gestionnaires de cas les outils nécessaires pour enquêter efficacement.</p> <hr> <h2 id="lessentiel"> L’essentiel <a href="#lessentiel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonyme signifie que le gestionnaire ne sait pas qui vous êtes. Confidentiel signifie que le gestionnaire le sait mais est juridiquement tenu de ne le révéler à personne. Les deux servent l’objectif de protéger les lanceurs d’alerte, mais de manière différente.</p> <p>La directive européenne impose la confidentialité. Elle laisse le signalement anonyme aux États membres, dont la plupart l’exigent ou le recommandent désormais. L’approche la plus sûre — pour vos lanceurs d’alerte et votre posture de conformité — est d’offrir les deux.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/how-to-implement-whistleblower-channel/Sun, 01 Feb 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/how-to-implement-whistleblower-channel/Un guide étape par étape pour mettre en place rapidement un canal de signalement conforme à la Loi Waserman, sans des semaines d'intégration ni d'appels commerciaux.<h1 id="comment-mettre-en-place-un-canal-de-signalement-en-5-minutes"> Comment mettre en place un canal de signalement en 5 minutes <a href="#comment-mettre-en-place-un-canal-de-signalement-en-5-minutes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman</a> (transposition française de la Directive UE 2019/1937) impose à toute organisation de 50 salariés ou plus de disposer d’un canal interne de signalement. L’exigence est claire, mais la plupart des mises en oeuvre prennent bien plus de temps qu’elles ne le devraient.</p> <p>Ce guide explique ce que la loi exige réellement du canal lui-même, pourquoi les outils entreprise rendent le processus inutilement long, et comment obtenir un canal opérationnel en quelques minutes.</p> <hr> <h2 id="ce-que-la-directive-exige"> Ce que la directive exige <a href="#ce-que-la-directive-exige" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les articles 8 et 9 précisent ce qu’un canal de signalement interne doit faire :</p> <ul> <li>Accepter les signalements par écrit ou oralement</li> <li>Permettre le signalement anonyme (obligatoire dans certains États membres, fortement recommandé partout)</li> <li>Permettre la communication bidirectionnelle avec le lanceur d’alerte, même s’il est anonyme</li> <li>Garantir que seules les personnes autorisées peuvent accéder aux signalements</li> <li>Accuser réception dans les sept jours calendaires</li> <li>Fournir un retour d’information dans les trois mois</li> </ul> <p>C’est le minimum légal. Aucune technologie spécifique n’est imposée — la directive est neutre sur le plan technologique. Un portail web, une ligne téléphonique ou même une boîte aux lettres physique verrouillée peuvent convenir, à condition de respecter les exigences ci-dessus.</p> <hr> <h2 id="pourquoi-la-plupart-des-mises-en-oeuvre-prennent-des-semaines"> Pourquoi la plupart des mises en oeuvre prennent des semaines <a href="#pourquoi-la-plupart-des-mises-en-oeuvre-prennent-des-semaines" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les plateformes entreprise de lancement d’alerte sont conçues pour de grandes organisations avec des processus d’achat complexes. Une mise en oeuvre typique ressemble à ceci :</p> <ol> <li><strong>Demander une démonstration</strong> — remplir un formulaire, attendre qu’un commercial vous rappelle</li> <li><strong>Assister à la démonstration</strong> — un appel de 30 à 60 minutes où le fournisseur vous présente des fonctionnalités dont vous n’avez peut-être pas besoin</li> <li><strong>Recevoir une proposition</strong> — tarification personnalisée basée sur le nombre d’employés, les modules et les options</li> <li><strong>Négocier le contrat</strong> — revue juridique, signature du DPA, approbation des achats</li> <li><strong>Lancement de l’intégration</strong> — un chef de projet est assigné, un autre appel est planifié</li> <li><strong>Configuration</strong> — le fournisseur configure votre portail, vos catégories et votre identité visuelle (ou vous forme pour le faire)</li> <li><strong>Tests et lancement</strong> — revue, validation et mise en production</li> </ol> <p>Pour une entreprise de 100 personnes qui a simplement besoin d’un canal conforme, ce processus représente des semaines de délai et des heures de réunions. Il est conçu pour les grandes entreprises où un cycle d’achat de six semaines est normal. Pour une PME, c’est une friction qui retarde la mise en conformité.</p> <hr> <h2 id="la-mise-en-place-en-5-minutes-avec-ethicsportal"> La mise en place en 5 minutes avec EthicsPortal <a href="#la-mise-en-place-en-5-minutes-avec-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal est conçu pour le scénario inverse : vous avez besoin d’un canal conforme, et vous en avez besoin aujourd’hui.</p> <h3 id="étape-1--inscription-1-minute"> Étape 1 : Inscription (1 minute) <a href="#%c3%a9tape-1--inscription-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Rendez-vous sur <a href="/">ethicsportal.eu</a> et créez un compte. Pas de demande de démonstration, pas d’appel commercial, pas de « contactez-nous pour connaître les tarifs ». Vous entrez votre e-mail, définissez un mot de passe, et c’est parti.</p> <h3 id="étape-2--configuration-de-votre-portail-2-minutes"> Étape 2 : Configuration de votre portail (2 minutes) <a href="#%c3%a9tape-2--configuration-de-votre-portail-2-minutes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Depuis le tableau de bord, configurez votre portail de signalement :</p> <ul> <li><strong>Nom de l’organisation</strong> — apparaît sur le portail pour que les lanceurs d’alerte sachent qu’ils sont au bon endroit</li> <li><strong>Catégories de signalement</strong> — définissez les types de problèmes pouvant être signalés (fraude, harcèlement, violations de sécurité, etc.). Des valeurs par défaut pertinentes sont proposées.</li> <li><strong>Texte d’accueil</strong> — le message que voient les lanceurs d’alerte lorsqu’ils arrivent sur le portail. Un texte par défaut clair et rassurant est pré-rempli.</li> <li><strong>Logo</strong> — adaptez l’identité visuelle de votre organisation</li> <li><strong>Langue</strong> — choisissez la langue du portail pour vos lanceurs d’alerte</li> </ul> <p>Le portail est en ligne à une URL unique dès que vous enregistrez. Pas de déploiement, pas d’attente.</p> <h3 id="étape-3--partagez-le-portail-avec-les-employés-1-minute"> Étape 3 : Partagez le portail avec les employés (1 minute) <a href="#%c3%a9tape-3--partagez-le-portail-avec-les-employ%c3%a9s-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Chaque portail dispose d’un lien partageable et d’un QR code. Vous pouvez :</p> <ul> <li>Envoyer le lien par e-mail à tous les employés</li> <li>Imprimer le QR code et l’afficher dans les salles de pause, les bureaux ou les espaces communs</li> <li>Ajouter le lien à votre intranet ou livret d’accueil</li> <li>L’inclure dans votre politique écrite de lancement d’alerte</li> </ul> <h3 id="étape-4--commencez-à-recevoir-et-gérer-les-signalements-1-minute"> Étape 4 : Commencez à recevoir et gérer les signalements (1 minute) <a href="#%c3%a9tape-4--commencez-%c3%a0-recevoir-et-g%c3%a9rer-les-signalements-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Lorsqu’un signalement est soumis via le portail, vous recevez une notification. Depuis le tableau de bord, vous pouvez :</p> <ul> <li>Lire le signalement</li> <li>Communiquer avec le lanceur d’alerte via une messagerie bidirectionnelle sécurisée (même s’il est anonyme — il utilise un code d’accès)</li> <li>Suivre le délai d’accusé de réception de sept jours</li> <li>Suivre le délai de retour d’information de trois mois</li> <li>Mettre à jour le statut du dossier et ajouter des notes internes</li> <li>Clôturer le dossier avec un résultat documenté</li> </ul> <p>C’est tout. Votre canal est en ligne, conforme et prêt à recevoir des signalements.</p> <hr> <h2 id="que-faire-après-la-mise-en-place"> Que faire après la mise en place <a href="#que-faire-apr%c3%a8s-la-mise-en-place" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Un canal de signalement est le socle technique, mais la conformité nécessite aussi des mesures organisationnelles :</p> <h3 id="désigner-un-gestionnaire-de-cas"> Désigner un gestionnaire de cas <a href="#d%c3%a9signer-un-gestionnaire-de-cas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nommez une ou plusieurs personnes pour recevoir et enquêter sur les signalements. Cette personne doit être impartiale et ne pas être susceptible de faire l’objet de signalements. Un responsable conformité, un conseiller juridique ou un cadre supérieur des RH remplit généralement ce rôle. Pour les petites organisations, le dirigeant peut servir de gestionnaire.</p> <h3 id="former-vos-gestionnaires"> Former vos gestionnaires <a href="#former-vos-gestionnaires" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les gestionnaires de cas doivent comprendre : comment utiliser la plateforme, les obligations de confidentialité, les délais de sept jours et trois mois, les bases de la conduite d’une enquête interne et les règles anti-représailles.</p> <h3 id="rédiger-une-politique-de-lancement-dalerte"> Rédiger une politique de lancement d’alerte <a href="#r%c3%a9diger-une-politique-de-lancement-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Documentez la manière dont votre organisation traite les signalements. Couvrez le champ d’application, qui peut signaler, la confidentialité, la protection contre les représailles et le processus d’enquête. Consultez notre <a href="/fr/blog/whistleblower-policy-template/">modèle gratuit de politique</a> pour un document prêt à l’emploi.</p> <h3 id="informer-les-employés"> Informer les employés <a href="#informer-les-employ%c3%a9s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>La directive exige que vous informiez proactivement les employés de l’existence du canal. Envoyez un e-mail, publiez sur l’intranet, mentionnez-le en réunion d’équipe et intégrez-le dans le processus d’accueil. Le QR code facilite les choses — imprimez-le et placez-le là où les gens le verront.</p> <hr> <h2 id="erreurs-courantes-à-éviter"> Erreurs courantes à éviter <a href="#erreurs-courantes-%c3%a0-%c3%a9viter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Utiliser une adresse e-mail générique.</strong> Une adresse comme conformité@entreprise.com ne répond pas aux exigences de la directive dans la plupart des cas. L’e-mail ne dispose pas de chiffrement, ne permet pas le signalement anonyme et ne fournit pas de communication bidirectionnelle avec les lanceurs d’alerte anonymes.</p> <p><strong>Exiger l’identification dès lanceurs d’alerte.</strong> Bien que la directive n’impose pas uniformément le signalement anonyme dans tous les États membres, plusieurs lois nationales de transposition le font, et rendre l’identification obligatoire décourage les signalements. Permettez l’anonymat par défaut.</p> <p><strong>Oublier les délais.</strong> Sept jours pour l’accusé de réception, trois mois pour le retour d’information. Ce ne sont pas des suggestions — ce sont des obligations légales. Les manquer constitue un manquement à la conformité. Utilisez un système qui suit automatiquement ces délais.</p> <p><strong>Ne pas désigner de gestionnaire.</strong> Le canal est une boîte aux lettres. Quelqu’un doit l’ouvrir, lire les signalements et agir en conséquence. Si personne n’est désigné, les signalements restent sans réponse et les délais sont dépassés.</p> <p><strong>Sur-dimensionner la mise en place.</strong> Vous n’avez pas besoin d’une suite GRC complète, d’intégrations personnalisées ou d’un déploiement de six mois pour être conforme. Un canal fonctionnel avec signalement anonyme, communication bidirectionnelle et suivi des délais couvre les exigences légales. Commencez simplement, ajoutez de la complexité uniquement si nécessaire.</p> <hr> <h2 id="lancez-vous"> Lancez-vous <a href="#lancez-vous" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="/">EthicsPortal</a> coûte 49 €/mois tout compris — sans tarification par employé, sans engagement annuel, sans appel commercial. Mettez en place votre canal de signalement conforme en quelques minutes et concentrez-vous sur l’essentiel : protéger ceux qui osent prendre la parole.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/compliance-checklist/Thu, 15 Jan 2026 00:00:00 +0000https://ethicsportal.eu/fr/blog/compliance-checklist/Une liste de contrôle pratique en 12 étapes pour se conformer à la Loi Waserman (transposition française de la Directive UE 2019/1937), avec références aux articles, conseils et guide de mise en oeuvre.<h1 id="liste-de-contrôle-de-conformité-à-la-loi-waserman-lanceurs-dalerte"> Liste de contrôle de conformité à la Loi Waserman (lanceurs d’alerte) <a href="#liste-de-contr%c3%b4le-de-conformit%c3%a9-%c3%a0-la-loi-waserman-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (n° 2022-401)</a> transpose en droit français la Directive UE 2019/1937 et impose aux organisations de 50 salariés ou plus de mettre en place des canaux internes de signalement et de protéger les lanceurs d’alerte. La loi est en vigueur depuis septembre 2022, et son application est effective.</p> <p>Cette liste de contrôle vous guide à travers les douze étapes vers une conformité complète. Pour chaque point, nous citons l’article pertinent de la directive, partageons des conseils pratiques et indiquons comment les outils peuvent vous aider. Consultez notre <a href="/fr/whistleblower-laws/france/">page dédiée à la législation française</a> pour les spécificités nationales.</p> <hr> <h2 id="la-liste-de-contrôle"> La liste de contrôle <a href="#la-liste-de-contr%c3%b4le" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-déterminer-si-votre-organisation-est-concernée"> 1. Déterminer si votre organisation est concernée <a href="#1-d%c3%a9terminer-si-votre-organisation-est-concern%c3%a9e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 8(3–4)</p> <p>Toutes les entités juridiques du secteur privé employant 50 travailleurs ou plus doivent établir des canaux de signalement internes. Les entités du secteur public, les municipalités et les entités de certains secteurs réglementés (services financiers, sécurité aérienne, maritime, etc.) sont concernées quelle que soit leur taille.</p> <p><strong>Conseil pratique :</strong> Comptez tous les travailleurs, pas seulement les salariés à temps plein. Le personnel à temps partiel, les prestataires travaillant sur site et les intérimaires peuvent être pris en compte dans le seuil selon la loi de transposition de votre État membre.</p> <hr> <h3 id="2-mettre-en-place-un-canal-de-signalement-interne"> 2. Mettre en place un canal de signalement interne <a href="#2-mettre-en-place-un-canal-de-signalement-interne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 8(1), Article 9(1)(a)</p> <p>Le canal doit permettre les signalements par écrit (formulaire en ligne, e-mail, courrier postal) ou oralement (téléphone, messagerie vocale), ou les deux. Sur demande, il doit également permettre des réunions en personne dans un délai raisonnable.</p> <p><strong>Conseil pratique :</strong> Un portail en ligne est l’option la plus pratique — il est accessible 24h/24, crée un enregistrement automatique et permet une communication anonyme bidirectionnelle. Évitez d’utiliser des adresses e-mail génériques ; elles ne disposent ni de chiffrement, ni d’anonymat, ni de piste d’audit.</p> <p><strong>Comment EthicsPortal vous aide :</strong> Fournit un portail en ligne personnalisé avec signalement anonyme chiffré et messagerie bidirectionnelle, prêt en quelques minutes.</p> <hr> <h3 id="3-désigner-une-personne-ou-un-service-impartial-pour-traiter-les-signalements"> 3. Désigner une personne ou un service impartial pour traiter les signalements <a href="#3-d%c3%a9signer-une-personne-ou-un-service-impartial-pour-traiter-les-signalements" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 9(1)(c)</p> <p>Vous devez désigner une personne ou un service compétent pour assurer le suivi des signalements. Cette personne doit être impartiale — elle ne doit pas avoir de conflit d’intérêts avec l’objet des signalements.</p> <p><strong>Conseil pratique :</strong> Les choix courants incluent un responsable conformité, un conseiller juridique, un directeur des ressources humaines ou un médiateur externe. Pour les petites organisations, le dirigeant peut remplir ce rôle s’il est peu probable qu’il fasse l’objet de signalements. Envisagez de désigner un suppléant.</p> <hr> <h3 id="4-mettre-en-place-le-processus-daccusé-de-réception-délai-de-7-jours"> 4. Mettre en place le processus d’accusé de réception (délai de 7 jours) <a href="#4-mettre-en-place-le-processus-daccus%c3%a9-de-r%c3%a9ception-d%c3%a9lai-de-7-jours" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 9(1)(b)</p> <p>Vous devez accuser réception d’un signalement dans les sept jours calendaires. Cela s’applique à tous les signalements, y compris les signalements anonymes.</p> <p><strong>Conseil pratique :</strong> Automatisez ce processus. Un traitement manuel risque de dépasser le délai de sept jours pendant les vacances ou les absences.</p> <p><strong>Comment EthicsPortal vous aide :</strong> Suit le délai d’accusé de réception pour chaque signalement et indique aux gestionnaires de cas quels signalements nécessitent une attention.</p> <hr> <h3 id="5-définir-le-processus-de-retour-dinformation-délai-de-3-mois"> 5. Définir le processus de retour d’information (délai de 3 mois) <a href="#5-d%c3%a9finir-le-processus-de-retour-dinformation-d%c3%a9lai-de-3-mois" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 9(1)(f)</p> <p>Vous devez fournir un retour d’information à l’auteur du signalement dans les trois mois suivant l’accusé de réception. Ce retour comprend : si le signalement est en cours d’évaluation, fait l’objet d’une enquête ou a été clôturé, ainsi que le résultat de toute enquête.</p> <p><strong>Conseil pratique :</strong> Le « retour d’information » n’exige pas de divulguer l’intégralité des conclusions de l’enquête. Informer le lanceur d’alerte que l’affaire a fait l’objet d’une enquête et que des mesures appropriées ont été prises est suffisant. Pour les lanceurs d’alerte anonymes, le retour d’information doit être disponible via le canal de signalement (par exemple, via un code d’accès).</p> <p><strong>Comment EthicsPortal vous aide :</strong> Suit le délai de retour d’information de trois mois par dossier et permet la messagerie bidirectionnelle avec les lanceurs d’alerte anonymes via des codes d’accès.</p> <hr> <h3 id="6-mettre-en-oeuvre-des-mesures-de-confidentialité"> 6. Mettre en oeuvre des mesures de confidentialité <a href="#6-mettre-en-oeuvre-des-mesures-de-confidentialit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 16</p> <p>L’identité de l’auteur du signalement ne doit être divulguée à personne en dehors des gestionnaires de cas autorisés sans le consentement explicite du lanceur d’alerte. Cela couvre également les informations permettant de déduire indirectement l’identité du lanceur d’alerte.</p> <p><strong>Conseil pratique :</strong> Limitez strictement l’accès aux signalements. Ne partagez pas les détails des signalements lors de réunions où des personnes non autorisées sont présentes. Lorsque vous transmettez des dossiers en interne, anonymisez les informations identifiant le lanceur d’alerte. Assurez-vous que vos systèmes informatiques appliquent des contrôles d’accès.</p> <p><strong>Comment EthicsPortal vous aide :</strong> Le contrôle d’accès basé sur les rôles garantit que seuls les gestionnaires de cas désignés peuvent consulter les signalements. L’identité du lanceur d’alerte n’est jamais exposée sauf si celui-ci la partage volontairement.</p> <hr> <h3 id="7-établir-des-protections-contre-les-représailles"> 7. Établir des protections contre les représailles <a href="#7-%c3%a9tablir-des-protections-contre-les-repr%c3%a9sailles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Articles 19, 20, 21</p> <p>Les auteurs de signalements, les facilitateurs et les tiers liés doivent être protégés contre les représailles. La directive définit les représailles de manière large : licenciement, rétrogradation, intimidation, inscription sur liste noire, et plus encore. La charge de la preuve est inversée — si un lanceur d’alerte subit un préjudice après avoir fait un signalement, l’employeur doit prouver que le préjudice n’est pas lié au signalement.</p> <p><strong>Conseil pratique :</strong> Documentez cette protection dans votre politique de lancement d’alerte. Formez les managers sur ce qui constitue une représaille. Suivez les décisions concernant le personnel impliquant toute personne ayant fait un signalement, afin de pouvoir démontrer que les décisions ont été prises sur des bases légitimes.</p> <hr> <h3 id="8-former-les-gestionnaires-de-cas"> 8. Former les gestionnaires de cas <a href="#8-former-les-gestionnaires-de-cas" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 9(1)(c–f) (implicite)</p> <p>La directive ne prescrit pas de formation spécifique, mais les gestionnaires de cas doivent être compétents pour remplir les obligations qu’elle crée : maintenir la confidentialité, fournir un accusé de réception dans les sept jours, assurer un suivi diligent et fournir un retour d’information dans les trois mois.</p> <p><strong>Conseil pratique :</strong> Au minimum, formez les gestionnaires de cas sur : l’utilisation du canal de signalement, les obligations de confidentialité, les bases de l’enquête, les règles anti-représailles et la protection des données. Documentez la formation. Renouvelez-la chaque année.</p> <hr> <h3 id="9-informer-les-employés-de-lexistence-du-canal-de-signalement"> 9. Informer les employés de l’existence du canal de signalement <a href="#9-informer-les-employ%c3%a9s-de-lexistence-du-canal-de-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 9(1)(g)</p> <p>Vous devez fournir des informations claires et facilement accessibles sur la manière d’utiliser le canal de signalement interne. Vous devez également informer les employés de leur droit de signaler directement aux autorités compétentes.</p> <p><strong>Conseil pratique :</strong> Publiez les informations sur votre intranet, intégrez-les dans les documents d’accueil et affichez-les dans les espaces communs. Un QR code renvoyant vers le portail de signalement est un moyen efficace de rendre le canal facilement accessible.</p> <p><strong>Comment EthicsPortal vous aide :</strong> Génère un QR code et un lien partageable pour votre portail que vous pouvez imprimer et distribuer.</p> <hr> <h3 id="10-mettre-en-place-la-conservation-et-la-suppression-des-données"> 10. Mettre en place la conservation et la suppression des données <a href="#10-mettre-en-place-la-conservation-et-la-suppression-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 17(1–3)</p> <p>Les données personnelles contenues dans les signalements ne doivent pas être conservées plus longtemps que nécessaire. Les données manifestement non pertinentes doivent être supprimées rapidement. Les durées de conservation spécifiques dépendent de la législation de votre État membre, mais le principe est : conserver aussi longtemps que nécessaire pour l’enquête et les procédures qui en résultent, puis supprimer.</p> <p><strong>Conseil pratique :</strong> Définissez une durée de conservation dans votre politique (les choix courants sont de deux à cinq ans après la clôture du dossier, selon la législation nationale). Programmez des rappels pour examiner et supprimer les dossiers clôturés.</p> <hr> <h3 id="11-rédiger-une-politique-écrite-de-lancement-dalerte"> 11. Rédiger une politique écrite de lancement d’alerte <a href="#11-r%c3%a9diger-une-politique-%c3%a9crite-de-lancement-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Articles 8, 9 (implicite), ainsi que la plupart des lois nationales de transposition</p> <p>Bien que la directive n’impose pas explicitement un document de politique distinct, la plupart des lois nationales de transposition le font, et c’est pratiquement nécessaire pour remplir les obligations d’information de l’article 9(1)(g).</p> <p><strong>Conseil pratique :</strong> Votre politique devrait couvrir : le champ d’application, qui peut signaler, ce qui peut être signalé, comment signaler, la confidentialité, la protection contre les représailles, le processus d’enquête, les délais de retour d’information et la protection des données. Consultez notre <a href="/fr/blog/whistleblower-policy-template/">modèle gratuit de politique de lancement d’alerte</a> pour un document prêt à l’emploi.</p> <hr> <h3 id="12-documenter-la-conformité-pour-les-contrôles-réglementaires"> 12. Documenter la conformité pour les contrôles réglementaires <a href="#12-documenter-la-conformit%c3%a9-pour-les-contr%c3%b4les-r%c3%a9glementaires" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Référence directive :</strong> Article 11(2) (canaux externes), lois nationales de transposition (internes)</p> <p>Plusieurs États membres exigent des organisations qu’elles documentent le respect de leurs obligations et mettent cette documentation à disposition des régulateurs sur demande.</p> <p><strong>Conseil pratique :</strong> Conservez des traces de : la date de mise en place du canal de signalement, l’identité des gestionnaires de cas désignés, les registres de formation, la politique de lancement d’alerte (avec historique des versions) et les statistiques agrégées sur les signalements reçus et traités. Ne conservez pas les détails individuels des dossiers au-delà de la durée de conservation autorisée.</p> <hr> <h2 id="prochaines-étapes"> Prochaines étapes <a href="#prochaines-%c3%a9tapes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous avez coché chaque case ci-dessus, votre organisation est conforme aux exigences fondamentales de la directive 2019/1937. La conformité n’est pas un événement ponctuel — révisez votre dispositif chaque année, reformez les gestionnaires et mettez à jour votre politique à mesure que la législation nationale évolue.</p> <p>Besoin d’un canal de signalement ? <a href="/">EthicsPortal</a> vous offre un portail de signalement anonyme et conforme en quelques minutes — 49 €/mois tout compris, sans tarification par employé, sans appel commercial. <a href="/">Commencez dès aujourd’hui</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/blog/eu-whistleblower-directive-2019-1937-adopted/Wed, 23 Oct 2019 00:00:00 +0000https://ethicsportal.eu/fr/blog/eu-whistleblower-directive-2019-1937-adopted/Le Parlement européen et le Conseil adoptent la Directive (UE) 2019/1937, établissant une protection à l'échelle de l'UE pour les personnes signalant des violations du droit de l'Union.<h1 id="adoption-de-la-directive-ue-20191937-sur-la-protection-dès-lanceurs-dalerte"> Adoption de la Directive UE 2019/1937 sur la protection dès lanceurs d’alerte <a href="#adoption-de-la-directive-ue-20191937-sur-la-protection-d%c3%a8s-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Le 23 octobre 2019, le Parlement européen et le Conseil ont formellement adopté la <a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/fra" rel="nofollow">Directive (UE) 2019/1937</a> relative à la protection des personnes qui signalent des violations du droit de l’Union. Le vote en séance plénière a été adopté par 591 voix pour, 29 contre et 33 abstentions.</p> <p>La Directive impose à toute organisation de plus de 50 employés de mettre en place des canaux de signalement internes sécurisés, de protéger les signaleurs contre les représailles et de fournir un retour dans un délai de trois mois. Les États membres avaient jusqu’au 17 décembre 2021 pour la transposer en droit national.</p> <a href="https://multimedia.europarl.europa.eu/fr/video/protecting-democracy-by-protecting-whistleblowers_N01-PUB-190408-BLOW" style="display: block; padding: 1.5rem; border: 1px solid #ddd; border-radius: 0.5rem; text-decoration: none; color: inherit; margin: 2rem 0;"> <strong>▶ Regarder : Protéger la démocratie en protégeant les lanceurs d'alerte</strong><br> <span style="color: #666; font-size: 0.875rem;">Centre multimédia du Parlement européen · 1:28</span> </a> <h2 id="ce-que-la-directive-exige"> Ce que la directive exige <a href="#ce-que-la-directive-exige" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Canaux de signalement internes</strong> (Art. 8) — canaux sécurisés et confidentiels accessibles à tous les travailleurs, y compris les sous-traitants et fournisseurs</li> <li><strong>Accusé de réception sous 7 jours</strong> (Art. 9) — les organisations doivent confirmer la réception d’un signalement dans les sept jours calendaires</li> <li><strong>Délai de retour de 3 mois</strong> (Art. 9) — les signaleurs doivent recevoir un retour sur les mesures prises dans un délai de trois mois</li> <li><strong>Protection contre les représailles</strong> (Art. 19–21) — le licenciement, la rétrogradation, l’intimidation et toute autre forme de représailles sont interdits</li> <li><strong>Renversement de la charge de la preuve</strong> (Art. 21(5)) — dès qu’un signaleur démontre qu’il a effectué un signalement et subi un préjudice, l’employeur doit prouver que la mesure était sans rapport</li> <li><strong>Signalement externe et public</strong> (Art. 10, 15) — les signaleurs conservent leur protection lorsqu’ils s’adressent aux autorités compétentes ou, en dernier recours, font des divulgations publiques</li> </ul> <hr> <h2 id="débat-en-séance-plénière"> Débat en séance plénière <a href="#d%c3%a9bat-en-s%c3%a9ance-pl%c3%a9ni%c3%a8re" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Parlement européen a débattu de la directive lors de sa session plénière à Strasbourg. Des extraits du débat sont disponibles sur le Centre multimédia du Parlement européen :</p> <p><a href="https://multimedia.europarl.europa.eu/fr/video/protection-of-whistle-blowers-extracts-from-the-debate_I123987" rel="nofollow">Regarder le débat en plénière sur la protection dès lanceurs d’alerte</a> </p> <hr> <h2 id="ressources-officielles"> Ressources officielles <a href="#ressources-officielles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/fra" rel="nofollow">Texte intégral de la Directive (UE) 2019/1937</a> — EUR-Lex</li> <li><a href="https://commission.europa.eu/aid-development-cooperation-fundamental-rights/your-fundamental-rights-eu/protection-whistleblowers_fr" rel="nofollow">Protection dès lanceurs d’alerte</a> — Commission européenne</li> <li><a href="https://www.europarl.europa.eu/news/fr/press-room/20190410IPR37529/protecting-whistle-blowers-new-eu-wide-rules-approved" rel="nofollow">Nouvelles règles à l’échelle de l’UE approuvées</a> — Communiqué du Parlement européen</li> <li><a href="https://multimedia.europarl.europa.eu/fr/topic/protection-of-whistleblowers-8th-parliamentary-term_9901" rel="nofollow">Tous les contenus multimédias sur la protection dès lanceurs d’alerte</a> — Centre multimédia du Parlement européen</li> <li><a href="https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-whistle-blower-protection-proposal" rel="nofollow">Calendrier législatif</a> — Parlement européen</li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/about/EthicsPortal est une infrastructure de conformité pour les lanceurs d'alerte dans l'UE — conçue en Europe, hébergée en Allemagne, conforme à la Directive 2019/1937.<h1 id="le-canal-de-signalement-exigé-par-la-directive-européenne"> Le canal de signalement exigé par la Directive européenne <a href="#le-canal-de-signalement-exig%c3%a9-par-la-directive-europ%c3%a9enne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La Directive UE 2019/1937 impose à toute organisation de plus de 50 employés de mettre en place un canal de signalement sécurisé et confidentiel. EthicsPortal est ce canal.</p> <p>EthicsPortal donne aux organisations européennes le moyen le plus direct de respecter cette obligation — entièrement conforme, opérationnel en quelques minutes, et à un tarif qui ne passe pas par le service achats.</p> <hr> <h2 id="ce-que-nous-fournissons"> Ce que nous fournissons <a href="#ce-que-nous-fournissons" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Signalement anonyme et confidentiel conforme à chaque article de la Directive</li> <li>Stockage chiffré des données, hébergé chez Hetzner à Nuremberg, Allemagne</li> <li>Suivi automatique des délais d’accusé de réception (7 jours) et de retour (3 mois)</li> <li>Piste d’audit en ajout seul pour le contrôle réglementaire</li> <li>Communication bidirectionnelle sécurisée entre les signaleurs et les gestionnaires</li> <li>Portail multilingue pour les organisations transfrontalières</li> <li>Export PDF des dossiers pour les auditeurs et l’examen juridique</li> </ul> <hr> <h2 id="conçu-en-europe-pour-leurope"> Conçu en Europe, pour l’Europe <a href="#con%c3%a7u-en-europe-pour-leurope" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal est enregistré en Pologne, et les données centrales des signalements sont hébergées au sein de l’UE. L’<a href="/fr/directive-coverage/">analyse de conformité</a> , l’<a href="/fr/security/">architecture de sécurité</a> , la <a href="/fr/subprocessors/">liste des sous-traitants ultérieurs</a> et l’<a href="/fr/dpa/">accord de traitement des données</a> sont publiés et disponibles pour consultation.</p> <ul> <li>Pas de mesure d’audience tierce, pas de cookies de suivi sur le portail de signalement</li> <li>Export complet des données à tout moment (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">État du service</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Canal de signalement interne</a> — pour signaler des préoccupations concernant EthicsPortal au titre de la Directive 2019/1937</li> </ul> <hr> <h2 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>E-mail :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — nous répondons généralement dans un délai d’un jour ouvré.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Activer votre canal de signalement →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/sla/Objectif mensuel de disponibilité des portails signalant et opérateur d'EthicsPortal, mode de mesure et exclusions.<h1 id="accord-de-niveau-de-service"> Accord de niveau de service <a href="#accord-de-niveau-de-service" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal s’engage sur un objectif mensuel de disponibilité pour les portails destinés aux lanceurs d’alerte et aux opérateurs. Cette page exposé l’objectif, le mode de mesure et les exclusions.</p> <p>Dernière mise à jour : 2026-05-17.</p> <hr> <h2 id="objectif-de-disponibilité"> Objectif de disponibilité <a href="#objectif-de-disponibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Disponibilité mensuelle de 99,5 %</strong> pour :</p> <ul> <li>Le portail de signalement — la surface où les lanceurs d’alerte déposent et suivent leurs signalements.</li> <li>Le portail opérateur et gestionnaire — la surface où les gestionnaires désignés accèdent aux cas et les traitent.</li> </ul> <p>99,5 % par mois correspond à environ 3 heures 36 minutes d’indisponibilité imprévue par mois civil.</p> <p>Le site de présentation et la documentation sont fournis au mieux et ne sont pas couverts.</p> <hr> <h2 id="mesure"> Mesure <a href="#mesure" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La disponibilité est mesurée chaque mois comme le pourcentage de minutes durant lesquelles les surfaces couvertes répondent aux requêtes HTTP avec un statut non erroné. La mesure est relevée par un service de monitoring externe, non auto-déclarée.</p> <hr> <h2 id="ce-qui-affecte-la-disponibilité"> Ce qui affecte la disponibilité <a href="#ce-qui-affecte-la-disponibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Les pannes de l’infrastructure applicative d’EthicsPortal.</li> <li>Les pannes d’un sous-traitant (hébergement, e-mail, stockage objet) qui dégradent une surface couverte.</li> <li>Les incidents de sécurité nécessitant la mise hors ligne d’une surface couverte.</li> </ul> <p>Les pannes des sous-traitants ne sont pas exclues. L’engagement reflète le service effectivement perçu par les opérateurs et les lanceurs d’alerte.</p> <hr> <h2 id="exclusions"> Exclusions <a href="#exclusions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La disponibilité est mesurée en excluant :</p> <ul> <li><strong>Maintenance planifiée</strong> annoncée au moins 48 heures à l’avance. Programmée en dehors des heures ouvrées européennes et généralement inférieure à 30 minutes.</li> <li><strong>Force majeure</strong> — perturbations régionales d’Internet, catastrophes naturelles, défaillances de DNS ou d’autorités de certification en dehors de notre chaîne de fournisseurs.</li> <li><strong>Utilisation non autorisée ou abusive</strong> nécessitant des mesures de protection telles que la limitation de débit ou la suspension de compte.</li> </ul> <hr> <h2 id="objectifs-de-reprise"> Objectifs de reprise <a href="#objectifs-de-reprise" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dans un scénario de reprise après sinistre, EthicsPortal vise :</p> <ul> <li><strong>Objectif de point de reprise (RPO) : 24 heures.</strong> Les données écrites dans les 24 heures précédant une défaillance catastrophique peuvent être perdues.</li> <li><strong>Objectif de temps de reprise (RTO) : 4 heures.</strong> Les surfaces couvertes sont rétablies en état de fonctionnement dans les quatre heures suivant la déclaration d’un incident.</li> </ul> <p>Le mécanisme de sauvegarde, le lieu de stockage, la durée de conservation et la fréquence des tests de restauration sont documentés sur la <a href="/fr/security/#sauvegardes-et-restauration">page Sécurité</a> .</p> <hr> <h2 id="divulgation-des-indisponibilités"> Divulgation des indisponibilités <a href="#divulgation-des-indisponibilit%c3%a9s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La disponibilité en direct des surfaces couvertes est publiée sur <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>Les pannes importantes sont consignées dans le <a href="/fr/incidents/">registre des incidents</a> . Toute panne supérieure à deux heures sur une surface couverte donne lieu à une entrée dans le registre.</p> <p>Les chiffrés mensuels de disponibilité sont communiqués aux opérateurs sur demande.</p> <hr> <h2 id="crédits-de-service"> Crédits de service <a href="#cr%c3%a9dits-de-service" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les offres en libre-service n’incluent pas de crédits de service monétaires. Les recours en cas de manquement matériel ou répété sont énoncés dans les <a href="/fr/terms/">Conditions de service</a> et dans l’<a href="/fr/dpa/">Accord de traitement des données</a> . Dans toute la mesure permise par la loi, les réclamations découlant du présent SLA ou s’y rapportant font partie du même plafond agrégé de responsabilité applicable au Service.</p> <hr> <h2 id="questions"> Questions <a href="#questions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour toute question relative à la disponibilité ou pour demander les chiffrés mensuels, contactez <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/dpa/Accord de traitement des données conforme à l'Article 28 du RGPD pour les clients d'EthicsPortal. Couvre le périmètre, les mesures de sécurité, les sous-traitants et les transferts internationaux.<h1 id="accord-de-traitement-des-données"> Accord de traitement des données <a href="#accord-de-traitement-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Date d’entrée en vigueur :</strong> 22 avril 2026</p> <p>Le présent accord de traitement des données (« DPA ») fait partie intégrante du contrat entre le client (« Responsable du traitement ») et EthicsPortal (« Sous-traitant ») pour la fourniture de la plateforme de signalement EthicsPortal (« Service »).</p> <blockquote> <p><strong>Besoin d’une copie signée ?</strong> Contactez <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> pour demander une version PDF contresignée de ce DPA pour vos archives.</p> </blockquote> <hr> <h2 id="1-parties"> 1. Parties <a href="#1-parties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Responsable du traitement :</strong> L’organisation qui s’abonne à EthicsPortal et détermine les finalités et les moyens du traitement des données personnelles via le Service.</p> <p><strong>Sous-traitant :</strong> EthicsPortal, exploité par Yaroslav Shmarov, dont l’adresse enregistrée est ul. Obrzeżna 1A, 02-691 Varsovie, Pologne. Contact : <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-périmètre-et-finalité-du-traitement"> 2. Périmètre et finalité du traitement <a href="#2-p%c3%a9rim%c3%a8tre-et-finalit%c3%a9-du-traitement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement uniquement aux fins de la fourniture du Service, ce qui inclut :</p> <ul> <li>La réception et le stockage des signalements de lanceurs d’alerte</li> <li>La mise en place d’une communication sécurisée entre les lanceurs d’alerte et les gestionnaires de dossiers</li> <li>La gestion du circuit de traitement des dossiers (assignation, suivi de statut, résolution)</li> <li>La génération de journaux d’audit et de registres de conformité</li> <li>L’envoi de notifications par e-mail transactionnel aux gestionnaires de dossiers et aux administrateurs de l’organisation</li> <li>Le traitement des paiements pour le Service</li> </ul> <p>Le Sous-traitant ne traite les données personnelles à aucune autre fin que la fourniture du Service conformément aux instructions du Responsable du traitement.</p> <hr> <h2 id="3-types-de-données-personnelles-traitées"> 3. Types de données personnelles traitées <a href="#3-types-de-donn%c3%a9es-personnelles-trait%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Catégorie de données</th> <th>Exemples</th> <th>Chiffré au repos</th> </tr> </thead> <tbody> <tr> <td>Identité du lanceur d’alerte (facultatif)</td> <td>Nom, adresse e-mail, numéro de téléphone</td> <td>Oui (non déterministe)</td> </tr> <tr> <td>Contenu du signalement</td> <td>Description du problème signalé</td> <td>Oui (non déterministe)</td> </tr> <tr> <td>Contenu des communications</td> <td>Messages entre le lanceur d’alerte et le gestionnaire du dossier</td> <td>Oui (non déterministe)</td> </tr> <tr> <td>Pièces jointes</td> <td>Documents, images, fichiers audio et vidéo téléchargés par les lanceurs d’alerte</td> <td>Stockés avec métadonnées supprimées</td> </tr> <tr> <td>Codes d’accès</td> <td>Codes uniques utilisés par les lanceurs d’alerte pour accéder à leurs signalements</td> <td>Oui</td> </tr> <tr> <td>Données des gestionnaires et administrateurs</td> <td>Nom, adresse e-mail, rôle, appartenance à l’organisation</td> <td>Non (données opérationnelles)</td> </tr> <tr> <td>Entrées du journal d’audit</td> <td>Horodatages, identité de l’acteur, type d’action</td> <td>Non (registres critiques pour l’intégrité)</td> </tr> <tr> <td>Données techniques</td> <td>Adresses IP hachées à sens unique (non réversibles) uniquement pour la limitation de débit</td> <td>Non applicable (hachage, pas de données personnelles)</td> </tr> </tbody> </table> <hr> <h2 id="4-catégories-de-personnes-concernées"> 4. Catégories de personnes concernées <a href="#4-cat%c3%a9gories-de-personnes-concern%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Lanceurs d’alerte / signalants</strong> — personnes qui soumettent des signalements via le portail (peuvent être anonymes)</li> <li><strong>Gestionnaires de dossiers</strong> — personnes désignées par le Responsable du traitement pour recevoir et gérer les signalements</li> <li><strong>Administrateurs de l’organisation</strong> — personnes qui gèrent le compte EthicsPortal et les paramètres du Responsable du traitement</li> </ul> <hr> <h2 id="5-durée-du-traitement"> 5. Durée du traitement <a href="#5-dur%c3%a9e-du-traitement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Sous-traitant traite les données personnelles pendant la durée de l’abonnement du Responsable du traitement au Service. À la résiliation :</p> <ul> <li>Le Responsable du traitement peut exporter ses données avant la fin de l’abonnement.</li> <li>Les données de signalement sont conservées selon la durée de conservation configurée par le Responsable du traitement (12, 24, 36 ou 60 mois après la clôture du signalement), puis supprimées définitivement.</li> <li>Sur demande écrite, le Sous-traitant supprimera toutes les données restantes du Responsable du traitement dans un délai de 30 jours suivant la résiliation de l’abonnement, sauf si la conservation est requise par la loi applicable.</li> </ul> <hr> <h2 id="6-obligations-du-sous-traitant"> 6. Obligations du Sous-traitant <a href="#6-obligations-du-sous-traitant" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="61-instructions-de-traitement"> 6.1 Instructions de traitement <a href="#61-instructions-de-traitement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant traite les données personnelles uniquement sur instructions documentées du Responsable du traitement, sauf si le droit de l’UE ou d’un État membre l’exige. Si une telle exigence légale survient, le Sous-traitant informera le Responsable du traitement avant le traitement, sauf si la loi interdit une telle notification.</p> <h3 id="62-confidentialité"> 6.2 Confidentialité <a href="#62-confidentialit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Toutes les personnes autorisées à traiter des données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.</p> <h3 id="63-mesures-de-sécurité"> 6.3 Mesures de sécurité <a href="#63-mesures-de-s%c3%a9curit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant met en œuvre et maintient les mesures techniques et organisationnelles décrites sur la page <a href="/fr/security/">Sécurité</a> , notamment :</p> <ul> <li>Chiffrement non déterministe au repos pour toutes les données sensibles de signalement</li> <li>Aucun stockage d’adresses IP (hachage à sens unique uniquement pour la limitation de débit)</li> <li>Suppression automatique des métadonnées des fichiers (EXIF, GPS, données d’auteur)</li> <li>Contrôle d’accès basé sur les rôles avec politiques d’autorisation Pundit</li> <li>Journal d’audit en ajout seul pour toutes les actions</li> <li>Limitation de débit sur tous les points d’accès publics du portail</li> <li>HTTPS/TLS pour toutes les connexions</li> <li>Protection CSRF</li> </ul> <p>Les vulnérabilités et incidents de sécurité peuvent être signalés à <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Les demandes relatives aux droits des personnes concernées et au délégué à la protection des données peuvent être adressées à <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> ou <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-sous-traitants-ultérieurs"> 6.4 Sous-traitants ultérieurs <a href="#64-sous-traitants-ult%c3%a9rieurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant utilise les sous-traitants ultérieurs listés à la Section 8. Le Sous-traitant notifiera le Responsable du traitement au moins 30 jours avant l’ajout ou le remplacement d’un sous-traitant ultérieur. Le Responsable du traitement peut s’opposer à la modification ; si aucune résolution n’est trouvée, le Responsable du traitement peut résilier le contrat.</p> <h3 id="65-droits-des-personnes-concernées"> 6.5 Droits des personnes concernées <a href="#65-droits-des-personnes-concern%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant aide le Responsable du traitement à répondre aux demandes des personnes concernées exerçant leurs droits en vertu du RGPD (accès, rectification, effacement, limitation, portabilité, opposition) en fournissant les capacités techniques nécessaires au sein du Service.</p> <h3 id="66-notification-de-violation-de-données"> 6.6 Notification de violation de données <a href="#66-notification-de-violation-de-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>En cas de violation de données personnelles, le Sous-traitant notifiera le Responsable du traitement sans délai injustifié et en tout état de cause <strong>dans les 72 heures</strong> suivant la prise de connaissance de la violation. La notification inclura :</p> <ul> <li>Une description de la nature de la violation</li> <li>Les catégories et le nombre approximatif de personnes concernées affectées</li> <li>Les conséquences probables de la violation</li> <li>Les mesures prises ou proposées pour remédier à la violation</li> </ul> <h3 id="67-analyses-dimpact-relatives-à-la-protection-des-données"> 6.7 Analyses d’impact relatives à la protection des données <a href="#67-analyses-dimpact-relatives-%c3%a0-la-protection-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant aide le Responsable du traitement dans la réalisation d’analyses d’impact relatives à la protection des données et de consultations préalables auprès des autorités de contrôle, dans la mesure où les activités de traitement du Sous-traitant nécessitent une telle assistance.</p> <h3 id="68-suppression-et-restitution-des-données"> 6.8 Suppression et restitution des données <a href="#68-suppression-et-restitution-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>À la résiliation du Service, le Sous-traitant, au choix du Responsable du traitement :</p> <ul> <li>Restituera toutes les données personnelles au Responsable du traitement dans les formats d’export disponibles dans le Service au moment de la résiliation, y compris les exports PDF des dossiers et les pièces jointes associées, ou</li> <li>Supprimera toutes les données personnelles et confirmera la suppression par écrit</li> </ul> <p>sauf si le droit de l’UE ou d’un État membre impose une conservation prolongée.</p> <p>Si le Responsable du traitement a raisonnablement besoin d’un format de portabilité supplémentaire pour une migration ou une revue réglementaire, le Sous-traitant évaluera cette demande de bonne foi et, lorsque cela est techniquement possible, la fournira sur demande écrite distincte.</p> <h3 id="69-droits-daudit"> 6.9 Droits d’audit <a href="#69-droits-daudit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité aux obligations de l’Article 28 du RGPD. Le Responsable du traitement peut réaliser des audits, y compris des inspections, directement ou par l’intermédiaire d’un auditeur mandaté, sous réserve d’un préavis raisonnable (au moins 30 jours) et pendant les heures normales de bureau. Le Sous-traitant coopérera à ces audits.</p> <h3 id="610-aucun-traitement-par-ia-ou-llm-des-données-personnelles"> 6.10 Aucun traitement par IA ou LLM des données personnelles <a href="#610-aucun-traitement-par-ia-ou-llm-des-donn%c3%a9es-personnelles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Sous-traitant s’engage à ce que les données personnelles traitées dans le cadre du présent DPA — y compris le contenu des signalements, l’identité des lanceurs d’alerte, les messages des gestionnaires, les pièces jointes et les entrées du journal d’audit — <strong>ne soient transmises à aucun grand modèle de langage, service d’IA générative ni classificateur fondé sur l’IA</strong>, qu’il soit exploité par le Sous-traitant ou par un tiers (y compris, sans s’y limiter, OpenAI, Anthropic, Google et Mistral). Le Service n’effectue ni catégorisation, ni tri, ni synthèse, ni traduction, ni suggestion de réponse par IA sur des données personnelles. Le Responsable du traitement peut s’appuyer sur cet engagement pour évaluer les obligations relatives à la décision automatisée prévue à l’article 22 du RGPD et pour déterminer le périmètre de la divulgation des sous-traitants dans ses propres notices d’information et analyses d’impact (AIPD). Toute modification de cet engagement constituerait une modification substantielle du Service et serait notifiée au Responsable du traitement conformément aux articles 6.4 (Sous-traitants ultérieurs) et 11 (Durée et résiliation).</p> <p>La traduction automatique statistique auto-hébergée, qui s’exécute entièrement sur une infrastructure contrôlée par le Sous-traitant (aucune donnée ne quitte cette infrastructure, aucun appel d’inférence externe), n’entre pas dans le champ de cette restriction et peut être utilisée pour traduire les messages dès lanceurs d’alerte ou des gestionnaires lorsque le Responsable du traitement l’a activée.</p> <p>Cet engagement fait l’objet d’une revue annuelle. La date « Dernière mise à jour » figurant en tête du présent DPA reflète la confirmation la plus récente. Si, à un moment donné, le Sous-traitant entend introduire un traitement par IA ou LLM portant sur des données personnelles relevant du présent DPA, il le notifiera au Responsable du traitement conformément à l’article 6.4, et la modification ne prendra effet qu’à l’expiration du préavis qui y est prévu.</p> <h3 id="611-clés-de-chiffrement-gérées-par-le-client-byok"> 6.11 Clés de chiffrement gérées par le client (BYOK) <a href="#611-cl%c3%a9s-de-chiffrement-g%c3%a9r%c3%a9es-par-le-client-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Le Service ne prend pas en charge les clés de chiffrement gérées par le client — qu’elles soient désignées comme bring-your-own-key (BYOK), hold-your-own-key (HYOK) ou intégration avec un service externe de gestion de clés (KMS). Il s’agit d’un choix architectural délibéré, et non d’une limitation opérationnelle, qui repose sur deux garanties de confidentialité et de cycle de vie que le Sous-traitant prend par ailleurs dans le présent DPA :</p> <ul> <li><strong>Frontière des clés entre lanceur d’alerte et gestionnaire.</strong> Les données personnelles couvertes par le présent DPA sont chiffrées au repos à l’aide de clés gérées par le Sous-traitant et conservées au sein du Service. La frontière de chiffrement qui protège l’identité du lanceur d’alerte et le contenu du signalement vis-à-vis de tiers est la même que celle qui les protège vis-à-vis des propres administrateurs informatiques du Responsable du traitement. Confier la garde des clés au Responsable du traitement reviendrait à déplacer cette frontière dans l’environnement du Responsable du traitement, où les administrateurs côté Responsable du traitement deviendraient, en principe, capables de déchiffrer l’identité du lanceur d’alerte — inversant le modèle de confidentialité exigé par <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> de la Directive 2019/1937.</li> <li><strong>Garantie de suppression de bout en bout.</strong> La suppression fondée sur la durée de conservation (<a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> RGPD) et la suppression contractuelle à la résiliation (article 6.8 ci-dessus) reposent sur la capacité du Sous-traitant à détruire cryptographiquement et physiquement les données chiffrées indépendamment du Responsable du traitement. Une clé détenue par le Responsable du traitement créerait une catégorie de défaillance dans laquelle le Sous-traitant ne pourrait, par lui seul, garantir une suppression complète dans le délai contractuel.</li> </ul> <p>Le dispositif de chiffrement au repos du Sous-traitant, les propriétés de chiffrement non déterministe et l’isolation des clés sont documentés sur la page <a href="/security/#data-encryption">Sécurité</a> . Toute modification de cette position constituerait une modification substantielle du Service et serait notifiée au Responsable du traitement conformément aux articles 6.4 (Sous-traitants ultérieurs) et 11 (Durée et résiliation).</p> <hr> <h2 id="7-obligations-du-responsable-du-traitement"> 7. Obligations du Responsable du traitement <a href="#7-obligations-du-responsable-du-traitement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Responsable du traitement est responsable de :</p> <ul> <li>S’assurer d’une base légale pour le traitement des données personnelles via le Service</li> <li>Fournir les avis de confidentialité requis aux personnes concernées (EthicsPortal affiche un avis de confidentialité sur le formulaire de soumission du portail)</li> <li>Configurer des durées de conservation appropriées au sein du Service</li> <li>Désigner les gestionnaires et administrateurs autorisés</li> <li>Répondre aux demandes des personnes concernées, avec l’assistance du Sous-traitant telle que décrite ci-dessus</li> </ul> <hr> <h2 id="8-sous-traitants-ultérieurs"> 8. Sous-traitants ultérieurs <a href="#8-sous-traitants-ult%c3%a9rieurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les sous-traitants ultérieurs suivants sont autorisés à la date d’entrée en vigueur du présent DPA :</p> <table> <thead> <tr> <th>Sous-traitant ultérieur</th> <th>Finalité</th> <th>Localisation</th> <th>Garanties</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Hébergement de l’application, base de données et stockage des pièces jointes</td> <td>Nuremberg, Allemagne (UE)</td> <td>Données traitées entièrement au sein de l’UE</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Traitement des paiements</td> <td>Irlande (UE)</td> <td>Aucun identifiant de paiement stocké par le Sous-traitant ; Stripe est certifié PCI DSS Niveau 1</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Envoi d’e-mails transactionnels</td> <td>France (UE)</td> <td>Données traitées entièrement au sein de l’UE</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN et diffusion en périphérie pour le site de présentation</td> <td>États-Unis</td> <td>Les transferts, lorsqu’ils impliquent des données personnelles, reposent sur les Clauses Contractuelles Types et des garanties supplémentaires</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Suivi des erreurs et supervision de performance applicative pour les interfaces administrateur et gestionnaire</td> <td>Pays-Bas (UE)</td> <td>Données traitées entièrement au sein de l’UE ; les adresses IP dès lanceurs d’alerte ne sont jamais journalisées</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>Chat intégré pour les gestionnaires et support de vérification d’identité</td> <td>France (UE)</td> <td>Chargé uniquement dans le portail gestionnaire ; pas chargé sur le site de présentation ni sur les pages destinées aux lanceurs d’alerte</td> </tr> </tbody> </table> <p>La mesure d’audience marketing (Cloudflare Web Analytics) est sans cookie et ne traite pas de données personnelles.</p> <p><strong>Aucun sous-traitant IA ou LLM.</strong> Aucun grand modèle de langage, service d’IA générative ni classificateur fondé sur l’IA n’est sous-traitant ultérieur du Sous-traitant. Les données personnelles traitées dans le cadre du présent DPA ne sont transmises à OpenAI, Anthropic, Google, Mistral ni à aucun autre fournisseur d’inférence IA. Voir l’article 6.10.</p> <hr> <h2 id="9-transferts-internationaux-de-données"> 9. Transferts internationaux de données <a href="#9-transferts-internationaux-de-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les données centrales des signalements, y compris le contenu des dossiers et le stockage des pièces jointes, sont hébergées au sein de l’<strong>Union européenne</strong> (Hetzner, Allemagne). Le traitement des paiements a lieu dans l’UE (Stripe) et l’e-mail transactionnel est délivré depuis l’UE (Mailjet, France).</p> <p>Les requêtes vers le site de présentation sont acheminées via Cloudflare (CDN, États-Unis), qui traite des métadonnées réseau (adresses IP des visiteurs et en-têtes de requêtes) pour la diffusion de contenu et la protection DDoS. Aucun signalement, donnée de gestionnaire ou donnée de compte n’est partagé avec Cloudflare. Les transferts reposent sur les Clauses Contractuelles Types et des garanties supplémentaires. Le portail de signalement et le portail des gestionnaires ne chargent pas Cloudflare. AppSignal (Pays-Bas) et Crisp (France) sont basés dans l’UE ; Crisp n’est chargé que dans le portail gestionnaire.</p> <hr> <h2 id="10-responsabilité"> 10. Responsabilité <a href="#10-responsabilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La responsabilité de chaque partie en vertu du présent DPA est soumise àux limitations de responsabilité prévues dans le contrat de service principal entre les parties. Dans toute la mesure permise par la loi, les réclamations découlant du présent DPA ou s’y rapportant font partie du même plafond agrégé de responsabilité applicable au Service.</p> <hr> <h2 id="11-durée-et-résiliation"> 11. Durée et résiliation <a href="#11-dur%c3%a9e-et-r%c3%a9siliation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le présent DPA prend effet lorsque le Responsable du traitement commence à utiliser le Service et reste en vigueur aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement. Les obligations du présent DPA survivent à la résiliation dans la mesure nécessaire pour achever la suppression ou la restitution des données personnelles.</p> <hr> <h2 id="12-droit-applicable"> 12. Droit applicable <a href="#12-droit-applicable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le présent DPA est régi par le droit de la République de Pologne, sans tenir compte des principes de conflit de lois. Les tribunaux compétents de Varsovie, Pologne, ont compétence exclusive pour les litiges découlant du présent DPA.</p> <hr> <h2 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour toute question concernant ce DPA ou pour demander une copie signée :</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsovie, Pologne <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/product/Mettez en place un canal de signalement conforme en quelques minutes — configuration du portail, gestion des dossiers et export pour les auditeurs inclus.<h1 id="un-canal-de-signalement-conforme-en-service-en-quelques-minutes"> Un canal de signalement conforme, en service en quelques minutes <a href="#un-canal-de-signalement-conforme-en-service-en-quelques-minutes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal fournit un canal de signalement entièrement configuré, conforme à la Directive européenne 2019/1937 dès le départ. Pas de projet de mise en œuvre, pas de service informatique nécessaire.</p> <p>Pour la cartographie fonctionnalité–article de la Directive, voir la <a href="/fr/directive-coverage/">Couverture de la Directive 2019/1937</a> . Pour les positions interprétatives sur les dispositions ambiguës de la Directive, voir les <a href="/fr/directive-interpretations/">Interprétations de la Directive 2019/1937</a> .</p> <hr> <h2 id="installation-en-3-étapes"> Installation en 3 étapes <a href="#installation-en-3-%c3%a9tapes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-configurez-votre-portail-2-minutes"> 1. Configurez votre portail (2 minutes) <a href="#1-configurez-votre-portail-2-minutes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Créez votre compte, puis personnalisez :</p> <ul> <li><strong>Nom de l’organisation et logo</strong> — votre portail, votre identité</li> <li><strong>Catégories de signalement</strong> — fraude, harcèlement, sécurité, ou définissez les vôtres</li> <li><strong>Texte d’accueil</strong> — rassurez les signaleurs avant qu’ils ne soumettent (un texte par défaut est pré-rempli)</li> <li><strong>Période de conservation des données</strong> — 12, 24, 36 ou 60 mois, puis suppression automatique</li> </ul> <p>Votre portail est en ligne immédiatement à une URL unique. Pas de mise en production à organiser, pas d’attente.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/fr-portal-edit.png" alt="Écran de configuration du portail" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-partagez-le-lien-1-minute"> 2. Partagez le lien (1 minute) <a href="#2-partagez-le-lien-1-minute" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Chaque portail dispose d’un <strong>lien de partage</strong> et d’un <strong>QR code</strong>. Affichez le QR code dans les salles de pause, les toilettes, le livret d’accueil, les kits d’intégration. Les employés accèdent au portail depuis n’importe quel navigateur — pas d’application, pas de compte, pas de réseau d’entreprise requis.</p> <p>Un canal de signalement en production : <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> — celui d’EthicsPortal.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/fr-portal-public-desktop.png" alt="Lien de partage et QR code du portail" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-commencez-à-gérer-les-dossiers"> 3. Commencez à gérer les dossiers <a href="#3-commencez-%c3%a0-g%c3%a9rer-les-dossiers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Lorsqu’un signalement arrive, vous recevez une notification par e-mail. Depuis le tableau de bord :</p> <ul> <li><strong>Lisez le signalement complet</strong> — description, catégorie et fichiers joints</li> <li><strong>Accusez réception</strong> — la Directive l’exige dans les 7 jours. EthicsPortal suit le délai et signale automatiquement les dossiers en retard</li> <li><strong>Communiquez avec le signaleur</strong> — messagerie sécurisée bidirectionnelle via code d’accès. Le signaleur reste anonyme, les noms des gestionnaires ne sont jamais révélés</li> <li><strong>Fournissez un retour</strong> — la Directive l’exige dans les 3 mois. Suivi automatique</li> <li><strong>Assignez, triez, ajoutez des notes internes</strong> — dirigez les dossiers vers le bon gestionnaire, ajoutez des notes invisibles pour le signaleur</li> <li><strong>Exportez en PDF</strong> — générez un dossier complet pour examen juridique, auditeurs ou documentation de conformité</li> <li><strong>Enregistrez des signalements externes</strong> — un signalement reçu par téléphone, e-mail ou en personne ? Créez-le manuellement pour tout centraliser</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/fr-reports.png" alt="Gestion des dossiers et messagerie sécurisée" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="ce-que-vivent-les-signaleurs"> Ce que vivent les signaleurs <a href="#ce-que-vivent-les-signaleurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>L’expérience du signaleur est cruciale car elle détermine si les gens utilisent réellement le canal.</p> <ul> <li><strong>Pas de compte, pas d’application, pas de connexion.</strong> Juste un navigateur sur n’importe quel appareil — y compris un téléphone personnel en données mobiles</li> <li><strong>Totalement anonyme par défaut.</strong> Pas de journalisation IP. Les métadonnées des fichiers (EXIF, GPS, auteur) sont supprimées automatiquement avant le stockage</li> <li><strong>Divulgation d’identité optionnelle.</strong> Les signaleurs peuvent partager leur nom s’ils le souhaitent — ce n’est jamais requis</li> <li><strong>Accès au dossier à deux facteurs.</strong> Le signaleur choisit un code secret à 6 chiffres lors de la soumission et reçoit un code d’accès (<code>WB-XXXX-XXXX</code>). Les deux sont nécessaires pour consulter les mises à jour et répondre aux messages du gestionnaire</li> <li><strong>Les noms des gestionnaires ne sont jamais affichés.</strong> Le signaleur voit « Gestionnaire du dossier » — rien de plus</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/fr-new-report-desktop.png" alt="Formulaire de signalement anonyme" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="sous-le-capot"> Sous le capot <a href="#sous-le-capot" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Chaque décision technique sert un seul objectif : maintenir votre conformité et protéger vos signaleurs.</p> <ul> <li><strong>Chiffrement au repos.</strong> Toutes les données des signalements sont chiffrées dans la base de données</li> <li><strong>Analyse antivirus.</strong> Tous les fichiers téléchargés sont analysés côté serveur à la recherche de logiciels malveillants. Les fichiers infectés sont supprimés automatiquement</li> <li><strong>Journal d’audit en ajout seul.</strong> Chaque action est enregistrée ; les entrées ne peuvent pas être modifiées après création. Les auditeurs voient qui a fait quoi, quand</li> <li><strong>Suivi automatique des délais.</strong> Délais de 7 jours et 3 mois avec notifications de retard</li> <li><strong>Données de signalement hébergées dans l’UE.</strong> Les données centrales des signalements sont stockées sur des serveurs Hetzner à Nuremberg, en Allemagne. Les sous-traitants ultérieurs publiés et les garanties de transfert couvrent les traitements limités du site de présentation et des interfaces administrateur</li> <li><strong>Aucun suivi.</strong> Pas de journalisation IP, pas de cookies d’analyse, pas de scripts tiers sur le portail de signalement</li> </ul> <hr> <h2 id="activez-votre-canal-de-signalement"> Activez votre canal de signalement <a href="#activez-votre-canal-de-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Mettez en place votre canal de signalement en quelques minutes. Toutes les fonctionnalités incluses dans un seul forfait.</p> <p><a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Activer votre canal de signalement</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/terms/Conditions générales d'utilisation d'EthicsPortal — la plateforme sécurisée de signalement pour les lanceurs d'alerte conforme à la réglementation européenne.<h1 id="conditions-générales-dutilisation"> Conditions générales d’utilisation <a href="#conditions-g%c3%a9n%c3%a9rales-dutilisation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Date d’effet :</strong> 22 avril 2026 <strong>Dernière mise à jour :</strong> 22 avril 2026</p> <h2 id="1-introduction"> 1. Introduction <a href="#1-introduction" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les présentes conditions générales d’utilisation (« Conditions ») régissent votre utilisation d’EthicsPortal sur <a href="https://ethicsportal.eu">ethicsportal.eu</a> (le « Service »). EthicsPortal est exploité par Yaroslav Shmarov, dont l’adresse enregistrée est ul. Obrzeżna 1A, 02-691 Varsovie, Pologne (« nous », « notre »). Les informations de base sur la partie contractante sont publiées sur la page <a href="/fr/trust/">confiance</a> .</p> <p>En créant un compte ou en utilisant le Service, vous acceptez d’être lié par les présentes Conditions. Si vous n’êtes pas d’accord, n’utilisez pas le Service.</p> <h2 id="2-description-du-service"> 2. Description du service <a href="#2-description-du-service" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal est une plateforme sécurisée de signalement pour les lanceurs d’alerte. Le Service permet aux organisations de gérer des canaux de signalement conformes et de protéger les lanceurs d’alerte.</p> <h2 id="3-éligibilité"> 3. Éligibilité <a href="#3-%c3%a9ligibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour utiliser le Service, vous devez :</p> <ul> <li>Avoir au moins 16 ans</li> <li>Fournir une adresse e-mail valide</li> <li>Avoir la capacité juridique de conclure un accord contraignant</li> </ul> <p>Nous nous réservons le droit de refuser le service à quiconque, pour quelque raison que ce soit.</p> <h2 id="4-votre-compte"> 4. Votre compte <a href="#4-votre-compte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Vous êtes responsable de la confidentialité de vos identifiants de connexion</li> <li>Vous êtes responsable de toute activité effectuée sous votre compte</li> <li>Vous devez fournir des informations exactes et complètes lors de la création de votre compte</li> <li>Vous ne devez pas créer plusieurs comptes pour la même personne</li> <li>Vous devez nous informer immédiatement si vous suspectez un accès non autorisé à votre compte</li> </ul> <h2 id="5-abonnements-et-paiements"> 5. Abonnements et paiements <a href="#5-abonnements-et-paiements" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Les fonctionnalités payantes nécessitent un abonnement actif</li> <li>Les abonnements sont facturés de manière récurrente (mensuelle ou annuelle) via <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>Nous ne stockons pas les numéros de carte bancaire ni les coordonnées bancaires sur nos serveurs — tout le traitement des paiements est assuré par Stripe</li> <li>Les prix sont indiqués dans le Service et peuvent être modifiés avec préavis</li> </ul> <h3 id="annulation-et-remboursements"> Annulation et remboursements <a href="#annulation-et-remboursements" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Vous pouvez résilier votre abonnement à tout moment depuis vos paramètres de facturation, sans aucune question. La résiliation prend effet à la fin de la période de facturation en cours — vous conservez l’accès jusque-là.</p> <p>L’abonnement est non remboursable. Nous ne remboursons pas la portion non utilisée d’une période de facturation après résiliation.</p> <h2 id="6-contenu-utilisateur"> 6. Contenu utilisateur <a href="#6-contenu-utilisateur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le « contenu utilisateur » comprend tout texte, image, fichier ou autre matériel que vous soumettez au Service (informations de profil, fichiers téléchargés).</p> <ul> <li>En soumettant du contenu au Service (informations de profil, etc.), vous nous accordez une licence non exclusive, mondiale et libre de redevances pour utiliser, afficher et distribuer ce contenu uniquement dans la mesure nécessaire à la fourniture du Service</li> <li>Cette licence prend fin lorsque vous supprimez le contenu ou votre compte</li> <li>Vous ne devez pas soumettre de contenu illégal, contrefaisant, diffamatoire, obscène ou autrement nuisible</li> </ul> <p>Nous nous réservons le droit de supprimer tout contenu qui enfreint les présentes Conditions.</p> <h2 id="7-comportements-interdits"> 7. Comportements interdits <a href="#7-comportements-interdits" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Vous vous engagez à ne pas :</p> <ul> <li>Utiliser le Service à des fins illégales</li> <li>Extraire, explorer ou utiliser des moyens automatisés pour accéder au Service sans notre autorisation</li> <li>Créer de faux comptes ou usurper une identité</li> <li>Interférer avec ou perturber le Service ou son infrastructure</li> <li>Tenter d’accéder sans autorisation aux comptes ou aux données d’autres utilisateurs</li> <li>Utiliser le Service pour envoyer des spams, du hameçonnage ou des messages non sollicités</li> <li>Contourner les mesures de sécurité ou les contrôles d’accès</li> <li>Procéder à l’ingénierie inverse, décompiler ou désassembler toute partie du Service</li> <li>Revendre ou redistribuer le Service sans notre autorisation</li> </ul> <h2 id="8-propriété-intellectuelle"> 8. Propriété intellectuelle <a href="#8-propri%c3%a9t%c3%a9-intellectuelle" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Notre propriété :</strong> Le Service, y compris son design, son code, son image de marque et sa documentation, nous appartient et est protégé par les lois applicables en matière de propriété intellectuelle. Vous ne pouvez copier, modifier ou distribuer aucune partie du Service sans notre autorisation.</li> <li><strong>Votre propriété :</strong> Vous conservez tous les droits sur le contenu que vous soumettez. Nous ne revendiquons aucun droit de propriété sur votre contenu.</li> </ul> <h2 id="9-résiliation"> 9. Résiliation <a href="#9-r%c3%a9siliation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Par vous :</strong> Vous pouvez supprimer votre compte à tout moment depuis les paramètres de votre compte. Cela supprime définitivement vos données comme décrit dans notre <a href="/privacy">Politique de confidentialité</a> .</li> <li><strong>Par nous :</strong> Nous pouvons suspendre ou résilier votre compte si vous enfreignez les présentes Conditions, si vous adoptez un comportement interdit ou si la loi l’exige. Nous ferons des efforts raisonnables pour vous informer avant la résiliation, sauf lorsqu’une action immédiate est nécessaire (par exemple, fraude, menaces de sécurité).</li> </ul> <p>À la résiliation, votre droit d’utiliser le Service cesse immédiatement.</p> <h2 id="10-exclusion-de-garanties"> 10. Exclusion de garanties <a href="#10-exclusion-de-garanties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Service est fourni « en l’état » et « selon disponibilité », sans garantie d’aucune sorte, qu’elle soit expresse ou implicite, y compris mais sans s’y limiter les garanties implicites de qualité marchande, d’adéquation à un usage particulier et de non-contrefaçon.</p> <p>Nous ne garantissons pas que :</p> <ul> <li>Le Service sera ininterrompu, ponctuel, sécurisé ou exempt d’erreurs</li> <li>Le Service répondra à vos exigences spécifiques</li> </ul> <h2 id="11-limitation-de-responsabilité"> 11. Limitation de responsabilité <a href="#11-limitation-de-responsabilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dans toute la mesure permise par la loi, nous ne serons pas responsables des dommages indirects, accessoires, spéciaux, consécutifs ou punitifs, y compris mais sans s’y limiter la perte de profits, de données ou d’opportunités commerciales.</p> <p>Dans toute la mesure permise par la loi, notre responsabilité totale agrégée découlant du Service, des présentes Conditions, du <a href="/fr/dpa/">DPA</a> ou de l’<a href="/fr/sla/">Accord de niveau de service</a> , ou s’y rapportant, ne dépassera pas les frais que vous nous avez payés pour le Service au cours des 12 mois précédant l’événement à l’origine de la réclamation.</p> <p>Rien dans les présentes Conditions n’exclut ou ne limite la responsabilité pour fraude, faute intentionnelle ou toute responsabilité qui ne peut être exclue ou limitée en vertu du droit applicable.</p> <h2 id="12-droit-applicable-et-litiges"> 12. Droit applicable et litiges <a href="#12-droit-applicable-et-litiges" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les présentes Conditions sont régies par le droit polonais. Tout litige découlant des présentes Conditions ou lié à celles-ci ou au Service sera soumis à la compétence exclusive des tribunaux de Varsovie, Pologne.</p> <p>Si vous êtes un consommateur résidant dans l’UE, vous avez également le droit d’engager une procédure devant les tribunaux de votre pays de résidence.</p> <h2 id="13-modifications-des-présentes-conditions"> 13. Modifications des présentes Conditions <a href="#13-modifications-des-pr%c3%a9sentes-conditions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous pouvons mettre à jour les présentes Conditions de temps à autre. En cas de modifications substantielles, nous vous en informerons par e-mail ou par une notification dans l’application au moins 14 jours avant l’entrée en vigueur des modifications.</p> <p>Votre utilisation continue du Service après l’entrée en vigueur des Conditions mises à jour constitue votre acceptation des modifications. Si vous n’êtes pas d’accord avec les Conditions mises à jour, vous pouvez supprimer votre compte.</p> <h2 id="14-divisibilité"> 14. Divisibilité <a href="#14-divisibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si une disposition des présentes Conditions est jugée inapplicable, les dispositions restantes continueront de s’appliquer pleinement.</p> <h2 id="15-nous-contacter"> 15. Nous contacter <a href="#15-nous-contacter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous avez dès questions concernant les présentes Conditions, contactez-nous à :</p> <p><strong>E-mail :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sécurité :</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Lieu :</strong> Varsovie, Pologne</p> <p>Des DPA contresignés, justificatifs d’immatriculation et pièces de validation par le service achats sont disponibles sur demande.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/trust/Partie contractante, résidence des données, certifications et pièces de validation par le service achats pour EthicsPortal.<h1 id="confiance"> Confiance <a href="#confiance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Tout ce dont un acheteur, un DPO ou une équipe juridique a besoin pour évaluer EthicsPortal.</p> <p>Dernière mise à jour : 2026-05-17.</p> <hr> <h2 id="partie-contractante"> Partie contractante <a href="#partie-contractante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Nom du service :</strong> EthicsPortal</li> <li><strong>Exploitant :</strong> Yaroslav Shmarov</li> <li><strong>Adresse enregistrée :</strong> ul. Obrzeżna 1A, 02-691 Varsovie, Pologne</li> <li><strong>Numéro fiscal (NIP) :</strong> 5272755790</li> <li><strong>Signataire autorisé pour les contrats commerciaux, DPA et questionnaires de sécurité :</strong> Yaroslav Shmarov</li> <li><strong>Contact commercial :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Contact sécurité :</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Contact protection des données :</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Les justificatifs d’immatriculation et les documents contractuels contresignés sont fournis sur demande pendant la validation par le service achats.</p> <hr> <h2 id="résidence-des-données-et-relation-de-traitement"> Résidence des données et relation de traitement <a href="#r%c3%a9sidence-des-donn%c3%a9es-et-relation-de-traitement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dans le modèle d’abonnement standard, le client est responsable du traitement et EthicsPortal agit comme sous-traitant pour les données de signalement.</p> <p>Les données centrales des signalements — application, base de données, stockage de fichiers — sont hébergées à Nuremberg, en Allemagne, chez <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . Les e-mails transactionnels passent par Mailjet (France). Le site de présentation utilise un seul sous-traitant ultérieur nommé hors UE, Cloudflare (CDN), listé en intégralité sur la page <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> . Le portail de signalement et le portail des gestionnaires ne chargent pas Cloudflare.</p> <hr> <h2 id="personnel-du-prestataire-et-continuité"> Personnel du prestataire et continuité <a href="#personnel-du-prestataire-et-continuit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Personnel.</strong> EthicsPortal n’a ni salariés ni prestataires. Toutes les données client sont traitées uniquement par l’exploitant nommé. Les contrôles côté prestataire portant sur le personnel — vérification des antécédents, formation sécurité, processus d’arrivée et de départ — se réduisent donc à la synthèse documentée des accès privilégiés, disponible lors de la validation par le service achats.</p> <p><strong>Continuité.</strong> En cas d’incapacité de l’exploitant ou de cessation d’activité, les organisations clientes ont droit à un export complet et lisible par machine de leurs données ainsi qu’à une période de retrait définie pour migrer vers un autre prestataire. Les modalités spécifiques sont énoncées dans l’<a href="/fr/dpa/">Accord de traitement des données</a> et précisées dans les documents disponibles lors de la validation par le service achats.</p> <hr> <h2 id="statut-de-certification"> Statut de certification <a href="#statut-de-certification" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ne revendique actuellement sur ce site ni ISO 27001, ni SOC 2, ni certification équivalente. Aucun test d’intrusion externe indépendant n’est actuellement enregistré. Si l’un ou l’autre évolue, le nom de la certification (ou le périmètre du test, sa date et le résumé des correctifs) sera publié ici.</p> <hr> <h2 id="cycle-de-vie-opérationnel"> Cycle de vie opérationnel <a href="#cycle-de-vie-op%c3%a9rationnel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Question</th> <th>Réponse</th> </tr> </thead> <tbody> <tr> <td>Disponibilité en direct</td> <td>Publiée sur <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> pour les surfaces couvertes. Voir l’<a href="/fr/sla/">Accord de niveau de service</a> pour la méthodologie de mesure et les exclusions.</td> </tr> <tr> <td>Cycle de vie des sessions et des accès</td> <td>Les sessions expirent automatiquement après 14 jours d’inactivité et sont nettoyées la nuit. Les utilisateurs peuvent à tout moment consulter et révoquer leurs propres sessions. Chaque session enregistre <code>last_seen_at</code> afin que les appareils inactifs soient identifiables. La désactivation d’un membre coupe l’accès au niveau de la requête, retire les signalements en cours qui lui étaient assignés et supprime ses participations, tout en préservant l’historique d’audit. Voir <a href="/fr/security/#contr%c3%b4le-dacc%c3%a8s">Sécurité</a> .</td> </tr> <tr> <td>Sauvegardes et restauration</td> <td>Sauvegardes PostgreSQL chiffrées et quotidiennes vers Hetzner Object Storage (UE, conservation 7 jours), complétées par des instantanés serveur Hetzner (conservation 7 jours). <strong>RPO 24 heures, RTO 4 heures.</strong> Dernier exercice de restauration : 2026-05-14. Voir <a href="/fr/security/#sauvegardes-et-restauration">Sécurité</a> .</td> </tr> <tr> <td>Gestion des dépendances et des correctifs</td> <td>SCA en continu en CI (Brakeman, bundler-audit, importmap audit) et mises à jour Dependabot hebdomadaires. Aucun composant en fin de vie n’est déployé. Voir <a href="/fr/security/#gestion-des-d%c3%a9pendances-et-des-correctifs">Sécurité</a> .</td> </tr> <tr> <td>Export et suppression</td> <td>L’export PDF d’un dossier est disponible dans l’application pour chaque dossier (description, messages, journal d’audit, pièces jointes). Un export en masse, lisible par machine, de l’ensemble des données de l’organisation est disponible sur demande lors de la sortie contractuelle. Les engagements contractuels figurent dans l’<a href="/fr/dpa/">Accord de traitement des données</a> .</td> </tr> <tr> <td>Objectifs de reprise</td> <td>Voir <a href="/fr/sla/#objectifs-de-reprise">Accord de niveau de service</a> .</td> </tr> </tbody> </table> <hr> <h2 id="positions-contractuelles"> Positions contractuelles <a href="#positions-contractuelles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Source unique de vérité pour les questions contractuelles que les services achats des entreprises posent le plus souvent. Chaque ligne renvoie au document qui régit le point.</p> <table> <thead> <tr> <th>Élément</th> <th>Position d’EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Plafond global de responsabilité</td> <td>Douze mois de redevances payées au cours des 12 mois précédant l’événement à l’origine de la réclamation (<a href="/fr/terms/">CGU §11</a> ). L’Accord de traitement des données, l’Accord de niveau de service et la garantie de non-contrefaçon relèvent tous du même plafond global.</td> </tr> <tr> <td>Garantie de non-contrefaçon de propriété intellectuelle</td> <td>L’exploitant défendra le Responsable du traitement contre les réclamations de tiers pour atteinte au droit d’auteur, à la marque ou au brevet résultant de l’utilisation du Service conformément aux CGU, sous réserve des exclusions standard (modifications du client, utilisation non autorisée, combinaisons non autorisées) et du plafond global de responsabilité. Voir <a href="/fr/terms/">CGU §12</a> .</td> </tr> <tr> <td>Délai de notification de violation</td> <td>Sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance (<a href="/fr/dpa/">DPA §6.6</a> ), conformément à <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 33</a> RGPD. Aucun délai plus court n’est offert contractuellement pour les offres en libre-service, car des délais plus courts présentent un risque de notification prématurée et entrent en conflit avec le seuil d’évaluation médico-légale exigé par le RGPD.</td> </tr> <tr> <td>Droits d’audit</td> <td>Conformément à <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> RGPD, avec un préavis d’au moins 30 jours et pendant les heures normales de bureau (<a href="/fr/dpa/">DPA §6.9</a> ). Le Sous-traitant répondra à des questionnaires de sécurité écrits en lieu et place d’un audit sur site, lorsque l’examen du Responsable du traitement peut être satisfait ainsi.</td> </tr> <tr> <td>Crédits de service</td> <td>Les offres en libre-service ne prévoient pas de crédits de service monétaires. Les recours en cas d’indisponibilité substantielle ou répétée sont régis par le plafond global de responsabilité (<a href="/fr/sla/">SLA</a> ).</td> </tr> <tr> <td>Clés de chiffrement gérées par le client (BYOK / KMS externe)</td> <td>Non prises en charge. Les clés gérées par le Sous-traitant sont nécessaires pour maintenir la séparation des clés entre lanceur d’alerte et destinataire ainsi que la garantie de suppression de bout en bout. Voir <a href="/fr/dpa/">DPA §6.11</a> .</td> </tr> <tr> <td>Séquestre de code source</td> <td>Non proposé. La continuité est assurée par les dispositions d’incapacité de l’exploitant du <a href="/policies/business-continuity/">plan de continuité d’activité</a> et par les droits d’exportation et de suppression des données du Responsable du traitement au titre de <a href="/fr/dpa/">DPA §6.8</a> .</td> </tr> <tr> <td>Notification de changement de sous-traitant ultérieur</td> <td>Au moins 30 jours avant l’ajout ou le remplacement d’un sous-traitant ultérieur ; le Responsable du traitement peut s’y opposer et résilier en l’absence d’accord (<a href="/fr/dpa/">DPA §6.4</a> ).</td> </tr> <tr> <td>Export et suppression des données en fin de contrat</td> <td>Export PDF en libre-service dans le produit, plus export en masse lisible par machine sur demande lors de la sortie, plus suppression dans les 30 jours suivant la résiliation de l’abonnement sur demande écrite (<a href="/fr/dpa/">DPA §6.8</a> ).</td> </tr> <tr> <td>Assurance responsabilité cyber</td> <td>À l’étude. Le montant de la couverture et l’assureur seront publiés ici lorsqu’ils seront en place.</td> </tr> <tr> <td>Test d’intrusion externe indépendant</td> <td>Aucun n’est actuellement enregistré. Le périmètre, la date et le résumé des corrections seront publiés ici lorsqu’un test sera réalisé.</td> </tr> <tr> <td>Droit applicable et juridiction</td> <td>Droit polonais ; tribunaux de Varsovie (<a href="/fr/terms/">CGU §13</a> ). Les consommateurs de l’UE conservent le droit d’engager une procédure dans leur pays de résidence.</td> </tr> </tbody> </table> <p>Ces positions sont reflétées dans les <a href="/fr/terms/">Conditions générales d’utilisation</a> , l’<a href="/fr/dpa/">Accord de traitement des données</a> et l’<a href="/fr/sla/">Accord de niveau de service</a> publiés. Aucune dérogation substantielle n’est accordée pour les offres en libre-service.</p> <hr> <h2 id="documents-publics"> Documents publics <a href="#documents-publics" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Tout ce dont un évaluateur achats a besoin est publié ouvertement. Regroupé selon la fonction du document.</p> <h3 id="contractuel"> Contractuel <a href="#contractuel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Ce qui régit la relation entre EthicsPortal et le client.</p> <table> <thead> <tr> <th>Document</th> <th>Objet</th> </tr> </thead> <tbody> <tr> <td><a href="/fr/terms/">Conditions générales d’utilisation</a> </td> <td>Conditions d’abonnement, résiliation, remboursements</td> </tr> <tr> <td><a href="/fr/dpa/">Accord de traitement des données</a> </td> <td>Conditions de sous-traitance au titre de l’art. 28 du RGPD</td> </tr> <tr> <td><a href="/fr/sla/">Accord de niveau de service</a> </td> <td>Objectif de disponibilité et mesure</td> </tr> <tr> <td><a href="/fr/privacy/">Politique de confidentialité</a> </td> <td>Traitement des données personnelles</td> </tr> </tbody> </table> <h3 id="opérationnel"> Opérationnel <a href="#op%c3%a9rationnel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Comment le service fonctionne au quotidien et qui d’autre y participe.</p> <table> <thead> <tr> <th>Document</th> <th>Objet</th> </tr> </thead> <tbody> <tr> <td><a href="/fr/security/">Sécurité</a> </td> <td>Mesures techniques et organisationnelles</td> </tr> <tr> <td><a href="/fr/subprocessors/">Sous-traitants ultérieurs</a> </td> <td>Sous-traitants nommés et leur périmètre</td> </tr> <tr> <td><a href="/fr/incidents/">Registre des incidents</a> </td> <td>Incidents importants affectant les données personnelles</td> </tr> <tr> <td><a href="/fr/accessibility/">Accessibilité</a> </td> <td>État de conformité à l’EAA</td> </tr> </tbody> </table> <h3 id="référence-directive"> Référence directive <a href="#r%c3%a9f%c3%a9rence-directive" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Comment EthicsPortal cartographie et interprète la Directive (UE) 2019/1937.</p> <table> <thead> <tr> <th>Document</th> <th>Objet</th> </tr> </thead> <tbody> <tr> <td><a href="/fr/directive-coverage/">Couverture de la Directive 2019/1937</a> </td> <td>Cartographie fonctionnalité–article de la Directive 2019/1937</td> </tr> <tr> <td><a href="/fr/directive-interpretations/">Interprétations de la Directive 2019/1937</a> </td> <td>Positions interprétatives sur les dispositions ambiguës</td> </tr> <tr> <td><a href="/fr/whistleblower-laws/">Législations nationales par pays</a> </td> <td>Transpositions nationales et autorités compétentes</td> </tr> <tr> <td><a href="/fr/penalties/">Sanctions par pays</a> </td> <td>Amendes et responsabilité pénale dans les États membres</td> </tr> </tbody> </table> <hr> <h2 id="disponible-pendant-la-validation-par-le-service-achats"> Disponible pendant la validation par le service achats <a href="#disponible-pendant-la-validation-par-le-service-achats" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les documents suivants sont partagés en diffusion contrôlée plutôt que publiés en libre accès :</p> <ul> <li>DPA contresigné</li> <li>Extrait d’immatriculation et preuve NIP / fiscale</li> <li>Questionnaire de sécurité complété</li> <li>Synthèse des accès privilégiés à la production</li> <li>Synthèse de la procédure de réponse aux incidents</li> <li>Réponses sur la continuité d’activité, la résiliation et la restitution des données client</li> <li>Synthèse du test d’intrusion externe (lorsqu’il est enregistré)</li> </ul> <p>Pour les demander, écrivez à <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Pour les questions de revue de sécurité, écrivez à <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/directive-coverage/Comment EthicsPortal répond à chaque exigence de la Loi Waserman (transposition française de la Directive UE 2019/1937) et du RGPD en matière de protection des lanceurs d'alerte.<h1 id="conformité-à-la-loi-waserman-et-à-la-directive-ue-20191937"> Conformité à la Loi Waserman et à la Directive UE 2019/1937 <a href="#conformit%c3%a9-%c3%a0-la-loi-waserman-et-%c3%a0-la-directive-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (n° 2022-401 du 21 mars 2022)</a> transpose en droit français la Directive européenne 2019/1937 sur la protection dès lanceurs d’alerte. Elle renforce et remplace les dispositions de la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> en matière de signalement.</p> <p>EthicsPortal est conçu pour maintenir votre organisation en conformité avec la Loi Waserman et le RGPD. Chaque fonctionnalité correspond directement à une exigence légale — pas de fonctionnalités superflues, pas de ventes additionnelles.</p> <p>La présente page constitue la correspondance exigence-fonctionnalité : chaque article de la directive est associé à la capacité spécifique d’EthicsPortal qui y répond. Pour la manière dont EthicsPortal interprète les dispositions ambiguës de ces articles — seuil de 50 travailleurs, « suivi diligent », justifications de la durée de conservation, base juridique RGPD, primauté du droit national — consultez la <a href="/fr/directive-interpretations/">méthodologie</a> distincte.</p> <p>Dernière mise à jour : 2026-05-17.</p> <hr> <h2 id="1-spécificités-françaises-loi-waserman"> §1. Spécificités françaises (Loi Waserman) <a href="#1-sp%c3%a9cificit%c3%a9s-fran%c3%a7aises-loi-waserman" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Loi Waserman va au-delà de la Directive européenne sur plusieurs points :</p> <ul> <li><strong>Fin du signalement en cascade</strong> — les lanceurs d’alerte peuvent signaler directement aux autorités externes sans passer d’abord par le canal interne (<a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Art. 8</a> )</li> <li><strong>Sanctions pénales</strong> — l’obstruction d’un signalement est punie de 60 000 € d’amende et d’un an d’emprisonnement ; les représailles sont punies de 60 000 € et de trois ans d’emprisonnement</li> <li><strong>Protection élargie</strong> — les facilitateurs (personnes aidant le lanceur d’alerte) et les personnes en lien àvec le lanceur d’alerte sont également protégés</li> <li><strong>Durée de conservation</strong> — les données des signalements doivent être conservées pendant 5 ans maximum (<a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046357368" rel="nofollow">Décret n° 2022-1284</a> )</li> </ul> <hr> <h2 id="2-canaux-de-signalement-art-8"> §2. Canaux de signalement (Art. 8) <a href="#2-canaux-de-signalement-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les organisations de 50 employés ou plus doivent mettre en place des canaux de signalement internes sécurisés.</p> <table> <thead> <tr> <th>Exigence</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Canal sécurisé pour le signalement</td> <td>Portail web chiffré avec URL unique par organisation</td> </tr> <tr> <td>Confidentialité de l’identité du lanceur d’alerte</td> <td>Chiffrement de bout en bout de toutes les données personnelles, aucune journalisation des adresses IP, suppression automatique des métadonnées des fichiers joints</td> </tr> <tr> <td>Accessible à tous les travailleurs</td> <td>Portail web fonctionnant sur tout appareil, aucune installation d’application ni création de compte requise</td> </tr> <tr> <td>Personnalisable pour l’organisation</td> <td>Catégories configurables, logo et message de bienvenue</td> </tr> </tbody> </table> <hr> <h2 id="3-procédures-de-signalement-art-9"> §3. Procédures de signalement (Art. 9) <a href="#3-proc%c3%a9dures-de-signalement-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Exigence</th> <th>Article</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Désigner une personne ou un département impartial</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>Système d’assignation des dossiers avec contrôle d’accès basé sur les rôles — seuls les gestionnaires autorisés voient les signalements</td> </tr> <tr> <td>Accuser réception dans les 7 jours</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Suivi automatique des délais avec notifications par e-mail aux gestionnaires à l’approche ou au dépassement du délai de 7 jours</td> </tr> <tr> <td>Suivi diligent par la personne désignée</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Gestion des dossiers avec circuit de statut (reçu, accusé de réception, en cours d’investigation, clôturé), notes internes pour la collaboration entre gestionnaires et journal d’audit complet</td> </tr> <tr> <td>Fournir un retour dans les 3 mois</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Suivi automatique du délai de 3 mois avec alertes de retard envoyées à tous les administrateurs de l’organisation. Les lanceurs d’alerte voient le calendrier sur le portail et peuvent consulter le statut à tout moment à l’aide de leur code d’accès et de leur code secret</td> </tr> <tr> <td>Permettre le signalement oral (téléphone, messagerie vocale ou rencontre physique à la demande)</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Numéro de téléphone configurable affiché sur le portail ; les gestionnaires peuvent enregistrer les signalements par téléphone, en personne et par courrier directement dans le système</td> </tr> <tr> <td>Informer sur les possibilités de signalement externe</td> <td><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>Le portail affiche des informations sur le droit du lanceur d’alerte de contacter les autorités compétentes, conformément à la Loi Waserman (qui supprime l’obligation de signalement interne préalable)</td> </tr> </tbody> </table> <hr> <h2 id="4-champ-de-la-protection-art-4"> §4. Champ de la protection (Art. 4) <a href="#4-champ-de-la-protection-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La Directive protège non seulement les employés, mais aussi les contractants, fournisseurs, actionnaires et autres tiers.</p> <p>EthicsPortal affiche des indications claires sur le portail précisant que le signalement est ouvert àux employés, contractants, fournisseurs et tout autre tiers.</p> <hr> <h2 id="5-anti-représailles-art-6-1921"> §5. Anti-représailles (Art. 6, 19–21) <a href="#5-anti-repr%c3%a9sailles-art-6-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les lanceurs d’alerte doivent être informés que les représailles sont interdites par la loi.</p> <p>EthicsPortal affiche un avis de protection contre les représailles sur chaque page du portail, en référence à la Loi Waserman, avant que le lanceur d’alerte ne soumette son signalement.</p> <hr> <h2 id="6-confidentialité-de-lidentité-art-16"> §6. Confidentialité de l’identité (Art. 16) <a href="#6-confidentialit%c3%a9-de-lidentit%c3%a9-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Exigence</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Identité non divulguée au-delà du personnel autorisé</td> <td>Contrôle d’accès basé sur les rôles — seuls les administrateurs, le responsable principal et les participants explicitement ajoutés (juridique, RH, etc.) peuvent consulter un signalement. Les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés ou auxquels ils ont été ajoutés comme participants</td> </tr> <tr> <td>Anonymat du gestionnaire vis-à-vis du lanceur d’alerte</td> <td>Les lanceurs d’alerte voient « Gestionnaire du dossier » dans les messages, jamais le nom réel ni l’adresse e-mail du gestionnaire</td> </tr> <tr> <td>Données sensibles chiffrées</td> <td>Les noms dès lanceurs d’alerte, leurs coordonnées, les descriptions des signalements et le contenu des messages sont chiffrés au repos avec un chiffrement non déterministe</td> </tr> </tbody> </table> <p><strong>Aucun traitement par IA du contenu des signalements.</strong> La confidentialité visée par l’<a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> couvre également <em>quels tiers</em> voient le signalement. EthicsPortal ne transmet ni le contenu des signalements, ni l’identité des lanceurs d’alerte, ni les communications relatives au dossier à un grand modèle de langage ou à un service d’inférence IA — ni pour la catégorisation, ni pour la synthèse, ni pour la traduction. Aucun fournisseur d’IA (OpenAI, Anthropic, Google, Mistral ou autre) n’est sous-traitant ultérieur. Cela retire une catégorie entière de divulgations de sous-traitants de votre DPA et écarte les considérations relatives à l’<a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> (décision automatisée) de votre AIPD. Voir la <a href="/fr/subprocessors/">liste des sous-traitants</a> pour l’entrée correspondante.</p> <p>Deux raisons supplémentaires pour lesquelles il s’agit d’une décision de niveau confidentialité, et non d’une préférence fonctionnelle :</p> <ul> <li><strong>Aucune hallucination dans la chaîne de preuve de conformité.</strong> Les grands modèles de langage produisent des sorties probabilistes. Une synthèse indiquant « ce signalement ne paraît pas urgent » est une probabilité, pas un fait, et ne peut être ni reproduite ni auditée. EthicsPortal consigne l’acteur, l’action et l’horodatage de manière déterministe — le journal d’audit est une preuve, pas une conjecture.</li> <li><strong>Aucune surface d’attaque par injection d’invite sur les signalements.</strong> Les saisies des lanceurs d’alerte sont par définition non fiables. Les acheminer dans un LLM crée une classe d’attaques où des instructions dissimulées dans le texte du signalement peuvent manipuler la sortie destinée aux gestionnaires (réponses suggérées, synthèses, catégorisation). EthicsPortal supprime entièrement cette surface en n’effectuant aucune inférence sur le contenu des signalements.</li> </ul> <hr> <h2 id="7-conservation-des-documents-art-18"> §7. Conservation des documents (Art. 18) <a href="#7-conservation-des-documents-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Exigence</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Conserver un registre de chaque signalement</td> <td>Journal d’audit complet de toutes les actions : soumissions, changements de statut, messages, assignations et consultations de signalements</td> </tr> <tr> <td>Documents stockés de manière sécurisée</td> <td>Tous les champs sensibles sont chiffrés au repos</td> </tr> <tr> <td>Documents récupérables</td> <td>Export complet du dossier en PDF incluant les métadonnées, le fil de messages, la liste des pièces jointes et le journal d’audit. Rapport PDF de conformité au niveau de l’organisation disponible pour les auditeurs — incluant une liste de contrôle de la Directive, des indicateurs SLA et un résumé de la protection des données sans exposer les données sensibles des signalements</td> </tr> <tr> <td>Supprimer les documents lorsqu’ils ne sont plus nécessaires</td> <td>Durée de conservation configurable (12, 24, 36 ou 60 mois) avec suppression automatique des signalements clôturés expirés</td> </tr> </tbody> </table> <hr> <h2 id="8-conformité-au-rgpd"> §8. Conformité au RGPD <a href="#8-conformit%c3%a9-au-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Exigence</th> <th>Article</th> <th>Comment EthicsPortal y répond</th> </tr> </thead> <tbody> <tr> <td>Base légale du traitement</td> <td>Art. 6(1)(c)</td> <td>Le traitement est nécessaire au respect de la Directive européenne 2019/1937</td> </tr> <tr> <td>Information sur le traitement des données</td> <td>Art. 13/14</td> <td>Avis de confidentialité affiché sur le formulaire de soumission de signalement avant que le lanceur d’alerte ne soumette</td> </tr> <tr> <td>Minimisation des données</td> <td>Art. 5(1)(c)</td> <td>Seuls les champs essentiels sont collectés ; le nom et les coordonnées du lanceur d’alerte sont facultatifs</td> </tr> <tr> <td>Limitation de la conservation</td> <td>Art. 5(1)(e)</td> <td>Durée de conservation configurable par organisation avec suppression automatique</td> </tr> <tr> <td>Intégrité et confidentialité</td> <td>Art. 5(1)(f)</td> <td>Chiffrement au repos pour toutes les données sensibles ; aucune journalisation des adresses IP sur les routes du portail ; suppression automatique des métadonnées des fichiers</td> </tr> <tr> <td>Droit à l’effacement</td> <td>Art. 17</td> <td>Suppression automatique basée sur la durée de conservation ; suppression manuelle disponible pour les administrateurs</td> </tr> </tbody> </table> <hr> <h2 id="9-mesures-de-sécurité"> §9. Mesures de sécurité <a href="#9-mesures-de-s%c3%a9curit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Mesure</th> <th>Détail</th> </tr> </thead> <tbody> <tr> <td>Chiffrement au repos</td> <td>Toutes les descriptions de signalements, noms dès lanceurs d’alerte, coordonnées et corps des messages sont chiffrés avec un chiffrement non déterministe</td> </tr> <tr> <td>Aucune journalisation des adresses IP</td> <td>Les adresses IP dès lanceurs d’alerte ne sont jamais stockées — la limitation de débit utilise des hachages irréversibles à sens unique</td> </tr> <tr> <td>Suppression des métadonnées des fichiers</td> <td>Les données EXIF (coordonnées GPS, modèle de l’appareil photo, informations sur l’auteur) sont automatiquement supprimées des images téléchargées avant le stockage</td> </tr> <tr> <td>Identité anonyme du gestionnaire</td> <td>Les lanceurs d’alerte ne voient jamais le nom réel du gestionnaire — les messages affichent « Gestionnaire du dossier »</td> </tr> <tr> <td>Limitation de débit</td> <td>Les points d’accès publics du portail sont limités en débit pour prévenir les abus</td> </tr> <tr> <td>Contrôle d’accès</td> <td>Les permissions basées sur les rôles garantissent que seuls les gestionnaires autorisés peuvent consulter les signalements ; les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés ou auxquels ils ont été ajoutés comme participants</td> </tr> <tr> <td>Journal d’audit</td> <td>Chaque action est enregistrée avec horodatage, acteur et type d’action — en ajout seul et toujours disponible pour un examen réglementaire</td> </tr> </tbody> </table> <hr> <h2 id="10-ce-que-votre-organisation-doit-encore-faire"> §10. Ce que votre organisation doit encore faire <a href="#10-ce-que-votre-organisation-doit-encore-faire" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal gère les exigences techniques. Votre organisation est responsable de :</p> <ul> <li><strong>Désigner un responsable des signalements</strong> — assignez au moins une personne responsable du traitement des signalements</li> <li><strong>Politique interne</strong> — adoptez une politique de protection dès lanceurs d’alerte et communiquez-la aux employés</li> <li><strong>Formation</strong> — assurez-vous que les gestionnaires désignés comprennent les obligations de confidentialité</li> <li><strong>Application de la non-représailles</strong> — assurez-vous que la direction comprend que les représailles constituent une infraction légale</li> <li><strong>Consentement à la divulgation de l’identité</strong> — si l’identité d’un lanceur d’alerte doit être partagée au-delà des gestionnaires autorisés (par exemple, avec les forces de l’ordre), obtenez d’abord le consentement explicite du lanceur d’alerte (<a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Informer les travailleurs</strong> — partagez l’URL du portail avec les employés (EthicsPortal fournit un lien de partage et un QR code)</li> </ul> <hr> <h2 id="dès-questions-"> Dès questions ? <a href="#d%c3%a8s-questions-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les administrateurs peuvent télécharger un <strong>rapport de conformité PDF</strong> directement depuis la page des paramètres du portail. Il inclut une liste de contrôle complète de la Loi Waserman et de la Directive UE 2019/1937, des indicateurs SLA, les mesures de protection des données et un résumé du journal d’audit — prêt à être remis à un auditeur sans exposer de données sensibles de signalement.</p> <p>Pour les détails complets du droit français, consultez notre <a href="/fr/whistleblower-laws/france/">page dédiée à la législation française</a> .</p> <p>Pour la manière dont EthicsPortal interprète les dispositions ambiguës de la directive (seuil de 50 travailleurs, « suivi diligent », justifications de la durée de conservation, base juridique RGPD), consultez la <a href="/fr/directive-interpretations/">méthodologie</a> .</p> <p>Si vous avez besoin d’aide pour démontrer votre conformité à votre équipe juridique ou à un régulateur, contactez-nous à <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/industries/manufacturing/Exigences en matière de signalement pour les fabricants selon la Directive européenne 2019/1937, la loi allemande sur la chaîne d'approvisionnement (LkSG) et la future directive CSDDD.<h1 id="conformité-lanceurs-dalerte-pour-lindustrie-et-la-chaîne-dapprovisionnement"> Conformité lanceurs d’alerte pour l’industrie et la chaîne d’approvisionnement <a href="#conformit%c3%a9-lanceurs-dalerte-pour-lindustrie-et-la-cha%c3%aene-dapprovisionnement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Les fabricants sont soumis à des obligations de signalement sur deux fronts : la <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman</a> (transposition française de la Directive UE 2019/1937) pour le signalement interne, et les lois sur le devoir de vigilance qui exigent explicitement des mécanismes de recours couvrant les employés <em>et</em> les tiers.</p> <h2 id="réglementations-exigeant-des-canaux-de-signalement"> Réglementations exigeant des canaux de signalement <a href="#r%c3%a9glementations-exigeant-des-canaux-de-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong><a href="/fr/whistleblower-laws/france/">Loi Waserman (n° 2022-401)</a> </strong> — transposition française de la Directive UE 2019/1937, s’applique à tous les fabricants de 50 salariés ou plus. Canaux internes pour les employés.</li> <li><strong>Loi allemande sur la chaîne d’approvisionnement (LkSG)</strong> — en vigueur depuis janvier 2023. Exige des entreprises de 1 000 employés ou plus (et de leurs fournisseurs directs) d’établir une <strong>procédure de réclamation</strong> accessible aux personnes affectées dans la chaîne d’approvisionnement — pas seulement aux employés. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Section 8 LkSG</a> </li> <li><strong>Directive européenne sur le devoir de vigilance (CSDDD)</strong> — adoptée en 2024, mise en œuvre progressive à partir de 2027. Exige des entreprises de 1 000 employés ou plus et 450 M€+ de chiffre d’affaires d’établir des mécanismes de réclamation pour les violations des droits humains et environnementales dans leurs chaînes de valeur.</li> <li><strong>Règlement européen sur la sécurité des produits (2023/988)</strong> — exige des fabricants qu’ils disposent de canaux internes pour signaler les problèmes de sécurité des produits.</li> </ul> <h2 id="lksg-vs-directive-sur-les-lanceurs-dalerte"> LkSG vs. Directive sur les lanceurs d’alerte <a href="#lksg-vs-directive-sur-les-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th></th> <th>Directive sur les lanceurs d’alerte</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Qui peut signaler</td> <td>Employés, prestataires</td> <td>Employés, fournisseurs, tiers affectés</td> </tr> <tr> <td>Périmètre</td> <td>Violations du droit européen/national</td> <td>Droits humains, violations environnementales dans la chaîne d’approvisionnement</td> </tr> <tr> <td>Anonymat requis</td> <td>Varie selon les pays</td> <td>Non requis mais recommandé (orientation BAFA)</td> </tr> <tr> <td>Application</td> <td>Autorités nationales de protection dès lanceurs d’alerte</td> <td>BAFA (Office fédéral allemand des affaires économiques)</td> </tr> <tr> <td>Sanctions</td> <td>Varie selon les pays</td> <td>Jusqu’à 2 % du chiffre d’affaires annuel mondial</td> </tr> </tbody> </table> <p>Les entreprises soumises àux deux lois ont besoin d’un canal répondant aux deux obligations — signalement interne <em>et</em> recours dans la chaîne d’approvisionnement. Un canal de signalement unique peut couvrir les deux s’il est configuré correctement.</p> <h2 id="ce-qui-est-signalé"> Ce qui est signalé <a href="#ce-qui-est-signal%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Violations de la sécurité au travail dans les installations de production</li> <li>Non-conformité environnementale (émissions, traitement des déchets)</li> <li>Travail forcé ou conditions d’exploitation chez les fournisseurs</li> <li>Défauts de sécurité des produits dissimulés aux régulateurs</li> <li>Corruption dans les achats ou les relations avec les fournisseurs</li> <li>Contournement des contrôles à l’exportation ou des sanctions</li> </ul> <h2 id="pourquoi-agir-maintenant"> Pourquoi agir maintenant <a href="#pourquoi-agir-maintenant" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La CSDDD étend les obligations de vigilance dans la chaîne d’approvisionnement à l’ensemble de l’UE, pas seulement à l’Allemagne. Les entreprises qui préparent leur conformité pour 2027 doivent mettre en place des mécanismes de recours dès maintenant. Attendre signifie une mise en conformité dans l’urgence — le même schéma qui a conduit cinq États membres à être sanctionnés pour transposition tardive de la Directive.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/industries/public-sector/Exigences en matière de signalement pour les municipalités, administrations et organismes publics selon la Loi Waserman. Pas de seuil de 50 employés.<h1 id="conformité-lanceurs-dalerte-pour-le-secteur-public"> Conformité lanceurs d’alerte pour le secteur public <a href="#conformit%c3%a9-lanceurs-dalerte-pour-le-secteur-public" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Les entités du secteur public ont une obligation plus stricte que les entreprises privées. Selon la <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman</a> et la Directive UE 2019/1937, <strong>toutes les organisations du secteur public doivent établir des canaux de signalement internes</strong> — il n’y a pas de minimum de 50 employés. En France, les lanceurs d’alerte peuvent signaler directement aux autorités externes sans passer par le canal interne.</p> <h2 id="application-différenciée-de-la-directive"> Application différenciée de la Directive <a href="#application-diff%c3%a9renci%c3%a9e-de-la-directive" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Exigence</th> <th>Secteur privé</th> <th>Secteur public</th> </tr> </thead> <tbody> <tr> <td>Seuil d’effectifs</td> <td>50 employés ou plus</td> <td><strong>Pas de seuil</strong> (toutes les entités)</td> </tr> <tr> <td>Échéance</td> <td>Décembre 2023 pour les entités de 50 à 249 employés</td> <td>Décembre 2021 (la plupart des États membres)</td> </tr> <tr> <td>Canaux partagés</td> <td>Autorisés pour les municipalités de moins de 10 000 habitants</td> <td>Autorisés pour les municipalités de moins de 10 000 habitants</td> </tr> <tr> <td>Signalement anonyme</td> <td>Varie selon les pays</td> <td>Obligatoire dans certains États membres</td> </tr> </tbody> </table> <p>L’article 8(9) de la Directive autorisé les municipalités de moins de 10 000 habitants ou de moins de 50 agents à partager des canaux de signalement. C’est la seule concession — toutes les autres entités publiques doivent disposer de leur propre canal.</p> <h2 id="variations-nationales"> Variations nationales <a href="#variations-nationales" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Allemagne (HinSchG)</strong> — tous les employeurs publics doivent établir des canaux internes. Amendes de 20 000 à 50 000 € pour non-conformité (jusqu’à 500 000 € pour les personnes morales).</li> <li><strong>France (Loi Waserman)</strong> — tous les organismes publics sont couverts. Les lanceurs d’alerte peuvent signaler directement aux autorités externes sans utiliser les canaux internes au préalable.</li> <li><strong>Pologne</strong> — toutes les entités publiques sont couvertes. Procédures internes obligatoires depuis le 1er janvier 2025.</li> <li><strong>Espagne (Ley 2/2023)</strong> — toutes les entités publiques sont couvertes quelle que soit leur taille. Amendes jusqu’à 1 000 000 €.</li> </ul> <h2 id="ce-qui-est-signalé"> Ce qui est signalé <a href="#ce-qui-est-signal%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Détournement de fonds publics ou fraude aux marchés publics</li> <li>Conflits d’intérêts dans l’attribution des marchés</li> <li>Violations environnementales par les travaux publics</li> <li>Défaillances en matière de sécurité au travail dans les installations publiques</li> <li>Violations de la protection des données impliquant des données citoyennes</li> <li>Abus d’autorité</li> </ul> <h2 id="pourquoi-les-municipalités-sont-exposées"> Pourquoi les municipalités sont exposées <a href="#pourquoi-les-municipalit%c3%a9s-sont-expos%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La plupart des grandes administrations disposent d’une infrastructure de conformité. Les municipalités et les petites entités publiques souvent non. Elles supposent que la Directive ne s’applique pas à elles parce qu’elles emploient moins de 50 personnes. C’est faux. Un canal de signalement pour une municipalité peut être opérationnel en quelques minutes — aucune procédure de marché public ni intégration informatique n’est requise.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/industries/financial-services/Exigences en matière de signalement pour les banques, sociétés d'investissement et assureurs selon la Loi Waserman, MiFID II, MAR et les directives anti-blanchiment.<h1 id="conformité-lanceurs-dalerte-pour-les-services-financiers"> Conformité lanceurs d’alerte pour les services financiers <a href="#conformit%c3%a9-lanceurs-dalerte-pour-les-services-financiers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Les institutions financières sont soumises à la <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman</a> (transposition française de la Directive UE 2019/1937) <em>et</em> à des réglementations sectorielles qui exigent indépendamment des canaux de signalement internes. Le non-respect exposé les entreprises à des sanctions pénales (jusqu’à 60 000 € et 3 ans d’emprisonnement pour représailles) et à des sanctions des régulateurs financiers (AMF, ACPR).</p> <h2 id="réglementations-exigeant-des-canaux-de-signalement"> Réglementations exigeant des canaux de signalement <a href="#r%c3%a9glementations-exigeant-des-canaux-de-signalement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong><a href="/fr/whistleblower-laws/france/">Loi Waserman (n° 2022-401)</a> </strong> — transposition française de la Directive UE 2019/1937, s’applique à toutes les entreprises de 50 salariés ou plus. Exige des canaux de signalement confidentiels, un accusé de réception sous 7 jours et un retour d’information sous 3 mois.</li> <li><strong>MiFID II (2014/65/UE)</strong> — l’article 73 exige que les sociétés d’investissement disposent de procédures permettant aux employés de signaler des violations potentielles en interne. Les régulateurs nationaux l’appliquent indépendamment de la Directive sur les lanceurs d’alerte.</li> <li><strong>Règlement sur les abus de marché (UE 596/2014)</strong> — l’article 32 exige que les États membres établissent des mécanismes de signalement des abus de marché réels ou potentiels. Les entreprises doivent garantir l’existence de canaux internes pour que les employés puissent signaler avant de s’adresser aux régulateurs.</li> <li><strong>Directives anti-blanchiment (AMLD 4/5/6)</strong> — exigent des procédures de signalement interne pour les transactions suspectes. Le prochain paquet AMLD (2024) renforce la protection dès lanceurs d’alerte pour le signalement anti-blanchiment.</li> <li><strong>Solvabilité II (2009/138/CE)</strong> — l’article 71 exige des assureurs qu’ils maintiennent des procédures de signalement.</li> </ul> <h2 id="régulateurs-sectoriels-dotés-de-pouvoirs-de-sanction"> Régulateurs sectoriels dotés de pouvoirs de sanction <a href="#r%c3%a9gulateurs-sectoriels-dot%c3%a9s-de-pouvoirs-de-sanction" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Pays</th> <th>Régulateur</th> <th>Périmètre</th> </tr> </thead> <tbody> <tr> <td>Allemagne</td> <td>BaFin</td> <td>Banque, assurance, valeurs mobilières</td> </tr> <tr> <td>France</td> <td>AMF / ACPR</td> <td>Marchés / banque et assurance</td> </tr> <tr> <td>Pays-Bas</td> <td>AFM / DNB</td> <td>Marchés / supervision prudentielle</td> </tr> <tr> <td>Italie</td> <td>Consob / Banca d’Italia</td> <td>Marchés / banque</td> </tr> <tr> <td>Espagne</td> <td>CNMV</td> <td>Marchés des valeurs mobilières</td> </tr> <tr> <td>Pologne</td> <td>KNF</td> <td>Tous les secteurs financiers</td> </tr> <tr> <td>Irlande</td> <td>Central Bank of Ireland</td> <td>Tous les secteurs financiers</td> </tr> </tbody> </table> <p>Ces régulateurs peuvent imposer des amendes indépendamment des autorités nationales de protection dès lanceurs d’alerte.</p> <h2 id="ce-qui-est-signalé"> Ce qui est signalé <a href="#ce-qui-est-signal%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Manipulation de marché et délit d’initié</li> <li>Défaillances des procédures LCB/KYC</li> <li>Vente abusive de produits financiers</li> <li>Contournement de sanctions</li> <li>Opérations non autorisées ou dépassement des limites de risque</li> <li>Conflits d’intérêts dans les rôles de conseil</li> </ul> <h2 id="pourquoi-un-canal-dédié-est-essentiel"> Pourquoi un canal dédié est essentiel <a href="#pourquoi-un-canal-d%c3%a9di%c3%a9-est-essentiel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les employés du secteur financier qui signalent via les canaux RH classiques risquent que leur signalement soit redirigé vers la personne responsable de la violation. L’article 9 de la Directive exige des canaux qui protègent la confidentialité et préviennent les conflits d’intérêts — essentiel dans les organisations où conformité, trading et direction se chevauchent.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/contact/Contactez l'équipe EthicsPortal pour vos questions sur la conformité européenne en matière de lanceurs d'alerte.<h1 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Des questions sur EthicsPortal ou la conformité européenne en matière de lanceurs d’alerte ? Écrivez-nous directement.</p> <hr> <p><strong>Général :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Confidentialité / droits RGPD :</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Délégué à la protection des données :</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Signalements de sécurité :</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Juridique / DPA :</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Accessibilité :</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </p> <p>Nous répondons généralement sous un jour ouvrable.</p> <hr> <h2 id="questions-fréquentes"> Questions fréquentes <a href="#questions-fr%c3%a9quentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>“Combien ça coûte ?”</strong> 49 €/mois. Tout inclus. Voir la <a href="/fr/pricing/">tarification</a> .</p> <p><strong>“Puis-je l’essayer d’abord ?”</strong> Oui. Inscrivez-vous sur <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> et explorez la plateforme immédiatement.</p> <p><strong>“Est-ce conforme à la Directive européenne 2019/1937 ?”</strong> Oui. Consultez notre <a href="/fr/directive-coverage/">analyse de conformité article par article</a> .</p> <p><strong>“Où sont stockées mes données ?”</strong> Les données centrales des signalements sont hébergées sur l’infrastructure Hetzner à Nuremberg, en Allemagne. Le site de présentation est diffusé via Cloudflare (États-Unis) ; le portail de signalement et le portail des gestionnaires ne le sont pas. Voir notre <a href="/fr/dpa/">DPA</a> et la page <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> .</p> <p><strong>“Proposez-vous un DPA ?”</strong> Oui. Consultez notre <a href="/fr/dpa/">Accord de traitement des données</a> ou écrivez-nous pour un PDF contresigné.</p> <p><strong>“Quelle est la partie contractante ?”</strong> Voir notre page <a href="/fr/trust/">confiance</a> pour les informations contractuelles et le dossier achats.</p> <p><strong>“Pouvez-vous fournir un dossier pour le service achats ?”</strong> Oui. DPA contresigné, justificatifs d’immatriculation et autres pièces de validation par le service achats sont disponibles sur demande. Voir <a href="/fr/trust/">confiance</a> .</p> <hr> <p><strong>LinkedIn :</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/accessibility/L'engagement d'EthicsPortal en matière d'accessibilité et de conformité à la norme EN 301 549 et aux WCAG 2.2 niveau AA.<h1 id="déclaration-daccessibilité"> Déclaration d’accessibilité <a href="#d%c3%a9claration-daccessibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal s’engage à rendre sa plateforme de signalement accessible à toutes les utilisatrices et tous les utilisateurs, conformément à la norme européenne <strong>EN 301 549 V3.2.3</strong> et aux <strong>Règles pour l’accessibilité des contenus Web (WCAG) 2.2 niveau AA</strong>. EN 301 549 V3.2.1 demeure la version citée dans la liste des normes harmonisées au titre de la directive sur l’accessibilité du web ; nous rendons compte par rapport à la version plus récente V3.2.3, qui est la version publiée en vigueur de la norme et qui remplace la V3.2.1 sur le plan technique.</p> <p>Cette déclaration s’applique à :</p> <ul> <li>L’application web EthicsPortal à <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>Les portails publics de signalement hébergés sous <code>*.ethicsportal.eu</code></li> <li>Le site web marketing à <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="état-de-conformité"> État de conformité <a href="#%c3%a9tat-de-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal est <strong>partiellement conforme</strong> à la norme EN 301 549 V3.2.3 et aux WCAG 2.2 niveau AA. « Partiellement conforme » signifie qu’une partie du contenu n’est pas encore pleinement conforme à la norme d’accessibilité. Les non-conformités et les alternatives disponibles sont listées ci-dessous.</p> <p>Une auto-évaluation clause par clause est publiée sous la forme du <a href="/en-301-549-conformance/">rapport de conformité EN 301 549</a> et peut être fournie en PDF sur demande pour les marchés publics.</p> <h2 id="comment-ethicsportal-soutient-laccessibilité"> Comment EthicsPortal soutient l’accessibilité <a href="#comment-ethicsportal-soutient-laccessibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le produit est conçu et testé au regard des exigences :</p> <ul> <li><strong>Opérabilité au clavier</strong> dans l’ensemble de l’application et du portail public de signalement — chaque élément interactif est accessible et utilisable sans souris</li> <li><strong>Compatibilité lecteur d’écran</strong> vérifiée avec VoiceOver (macOS, Safari) et NVDA (Windows, Firefox)</li> <li><strong>Authentification sans mot de passe</strong> par lien magique ou code à usage unique, avec TOTP optionnel — supprime la charge cognitive liée à la mémorisation des mots de passe (WCAG 2.2 §3.3.8 Accessible Authentication)</li> <li><strong>Prise en charge du mouvement réduit</strong> — les animations et transitions sont désactivées lorsque le système d’exploitation le demande</li> <li><strong>Zoom et reflow</strong> — les mises en page reflowent à 200 % de zoom navigateur sans défilement horizontal, à l’exception des tableaux et des blocs de code</li> <li><strong>Le pinch-to-zoom est activé</strong> sur chaque page</li> <li><strong>Cibles tactiles</strong> d’au moins 24×24 pixels CSS, portées à 44×44 sur les pointeurs grossiers lorsque la mise en page le permet (WCAG 2.2 §2.5.8)</li> <li><strong>Texte à fort contraste</strong> — le corps de texte utilise un quasi-noir sur blanc (≈21:1) sur le thème clair et l’équivalent sur le thème sombre</li> <li><strong>Localisé</strong> en 10 langues de l’UE (allemand, anglais, bulgare, croate, français, grec, luxembourgeois, polonais, roumain — et travaux en cours sur l’espagnol), avec l’attribut de langue défini sur chaque page</li> </ul> <h2 id="contenu-non-accessible"> Contenu non accessible <a href="#contenu-non-accessible" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les contenus suivants ne sont pas entièrement accessibles. Nous travaillons à résoudre chacun de ces points.</p> <h3 id="non-conformité-à-la-norme-daccessibilité"> Non-conformité à la norme d’accessibilité <a href="#non-conformit%c3%a9-%c3%a0-la-norme-daccessibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Documents PDF générés</strong> — les rapports de conformité, les certificats de conformité, les modèles de politique d’alerte, les avis de confidentialité, les affiches, le manuel des gestionnaires de cas et les exports de dossier sont produits sous forme de PDF non balisés. Ils ne respectent pas EN 301 549 §10.1 (structure balisée, ordre de lecture, textes alternatifs). Toute personne nécessitant une version accessible d’un document peut demander une alternative HTML en contactant <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — voir <a href="#retour-dexp%c3%a9rience">Retour d’expérience</a> ci-dessous. Nous migrons ces documents vers une chaîne PDF balisée ; les alternatives HTML servies depuis l’application sont la solution intermédiaire prévue.</li> <li><strong>Pages d’erreur statiques (HTTP 400, 404, 422, 500 et la page de repli pour navigateur non pris en charge)</strong> — ces pages sont servies en anglais quelle que soit la locale de la personne utilisatrice (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Langue de la page). Elles sont rencontrées rarement ; la même information est présentée dans la langue de l’utilisateur à l’intérieur de l’application. Les pages elles-mêmes utilisent du HTML sémantique et respectent les autres exigences §9.</li> </ul> <h3 id="contenus-exemptés-des-exigences-daccessibilité"> Contenus exemptés des exigences d’accessibilité <a href="#contenus-exempt%c3%a9s-des-exigences-daccessibilit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Les contenus tiers intégrés au produit — par exemple le widget de chat Crisp et les pages de paiement hébergées par Stripe — ne sont pas sous le contrôle direct d’EthicsPortal. Nous avons sélectionné des fournisseurs qui publient une documentation d’accessibilité et réexaminons ces choix chaque année.</li> <li>Les contenus produits par les gestionnaires de cas (notes, pièces jointes) ne relèvent pas du contrôle éditorial direct du produit. L’interface destinée aux gestionnaires invite à des descriptions et à des alternatives accessibles lorsque cela s’applique, conformément à EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="établissement-de-cette-déclaration"> Établissement de cette déclaration <a href="#%c3%a9tablissement-de-cette-d%c3%a9claration" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Cette déclaration a été établie le <strong>14 mai 2026</strong> sur la base d’une auto-évaluation conduite par EthicsPortal au regard de <strong>EN 301 549 V3.2.3</strong> et des <strong>WCAG 2.2 niveau AA</strong>. L’évaluation a combiné :</p> <ul> <li>Vérifications automatisées en CI via <code>axe-core-capybara</code> sur les parcours du portail public de signalement (page d’accueil, soumission, consultation)</li> <li>Tests manuels au clavier, avec VoiceOver et à 200 % de zoom sur le parcours de soumission de signalement, le flux de gestion de cas, l’authentification et la gestion de compte</li> <li>Revue de code par rapport à la check-list interne d’accessibilité documentée dans notre dépôt d’ingénierie</li> </ul> <p>La déclaration sera revue au moins trimestriellement et après tout changement significatif de la plateforme.</p> <h2 id="retour-dexpérience"> Retour d’expérience <a href="#retour-dexp%c3%a9rience" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous accueillons vos retours sur l’accessibilité d’EthicsPortal. Si vous rencontrez un obstacle d’accessibilité, ne pouvez pas accéder à un contenu ou avez besoin d’une information dans un format alternatif :</p> <ul> <li><strong>Courriel :</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>Également accepté :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — veuillez indiquer « accessibility » en objet</li> <li>Nous nous engageons à accuser réception des demandes d’accessibilité sous <strong>2 jours ouvrés</strong> et à fournir un format alternatif ou une réponse de fond sous <strong>5 jours ouvrés</strong></li> </ul> <h2 id="voies-de-recours"> Voies de recours <a href="#voies-de-recours" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous n’êtes pas satisfait·e de notre réponse, vous pouvez saisir l’organisme de contrôle de l’accessibilité de votre pays :</p> <ul> <li><strong>France :</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Pologne :</strong> Minister właściwy do spraw informatyzacji — via <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , avec le Rzecznik Praw Obywatelskich comme recours secondaire pour les réclamations non résolues</li> <li><strong>Allemagne :</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Autres États membres de l’UE :</strong> voir la liste tenue par la Commission européenne sur <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="normes-et-références"> Normes et références <a href="#normes-et-r%c3%a9f%c3%a9rences" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Cette déclaration est établie en référence à :</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016L2102" rel="nofollow">Directive (UE) 2016/2102</a> — accessibilité des sites internet et applications mobiles des organismes du secteur public</li> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L0882" rel="nofollow">Directive (UE) 2019/882</a> — Acte législatif européen sur l’accessibilité</li> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32018D1523" rel="nofollow">Décision d’exécution (UE) 2018/1523</a> — modèle de déclaration sur l’accessibilité</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — Exigences d’accessibilité applicables aux produits et services TIC (version au regard de laquelle nous rendons compte)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — version citée dans les normes harmonisées au titre de la directive sur l’accessibilité du web</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 niveau AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/compare/eqs-integrity-line/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/compare/eqs-integrity-line/Comparez EthicsPortal et EQS Integrity Line pour la conformité au dispositif d'alerte européen. Découvrez comment l'acteur historique entreprise se compare à une alternative moderne et abordable.<h1 id="ethicsportal-vs-eqs-integrity-line"> EthicsPortal vs. EQS Integrity Line <a href="#ethicsportal-vs-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EQS Integrity Line est le produit de signalement d’alerte d’EQS Group, une entreprise munichoise spécialisée dans les technologies de conformité, comptant environ 640 employés et un chiffre d’affaires de 81 M€ (2024). Rachetée par le fonds de capital-investissement Thoma Bravo, EQS sert plus de 1 200 entreprises dans plus de 165 pays. La solution est résolument positionnée comme une offre entreprise — les tarifs ne sont pas publiés et nécessitent un échange commercial.</p> <h2 id="comparatif-rapide"> Comparatif rapide <a href="#comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Fonctionnalité</th> <th>EthicsPortal</th> <th>EQS Integrity Line</th> </tr> </thead> <tbody> <tr> <td><strong>Tarif</strong></td> <td>49 €/mois forfaitaire</td> <td>Non public — estimé à 2 000 €+/mois, appel commercial requis</td> </tr> <tr> <td><strong>Inscription en libre-service</strong></td> <td>Oui, instantanée</td> <td>Non — processus commercial obligatoire</td> </tr> <tr> <td><strong>Chiffrement</strong></td> <td>Oui (chiffrement ActiveRecord non déterministe)</td> <td>Oui</td> </tr> <tr> <td><strong>Hébergement UE</strong></td> <td>Oui (Hetzner, Allemagne)</td> <td>Oui (UE)</td> </tr> <tr> <td><strong>Suppression des métadonnées de fichiers</strong></td> <td>Oui (EXIF, GPS, auteur)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Anonymisation IP</strong></td> <td>Oui (hachage unidirectionnel, aucun stockage)</td> <td>Oui</td> </tr> <tr> <td><strong>Piste d’audit</strong></td> <td>Oui, en ajout seul</td> <td>Oui</td> </tr> <tr> <td><strong>Suivi des délais</strong></td> <td>Oui (7 jours et 3 mois avec notifications)</td> <td>Oui</td> </tr> <tr> <td><strong>Export PDF</strong></td> <td>Oui</td> <td>Oui</td> </tr> <tr> <td><strong>Langues</strong></td> <td>EN, FR, PL (d’autres à venir)</td> <td>70+ langues avec traduction IA</td> </tr> </tbody> </table> <h2 id="les-points-forts-deqs-integrity-line"> Les points forts d’EQS Integrity Line <a href="#les-points-forts-deqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Envergure entreprise et notoriété.</strong> EQS sert plus de 1 200 entreprises dans plus de 165 pays. Pour les grandes entreprises qui ont besoin d’un prestataire ayant fait ses preuves à grande échelle, ce palmarès compte.</li> <li><strong>Traduction assistée par IA.</strong> Leur prise en charge de plus de 70 langues inclut la traduction par IA, ce qui peut s’avérer précieux pour les organisations recevant des signalements dans dès langues inattendues.</li> </ul> <h2 id="ce-qui-distingue-ethicsportal"> Ce qui distingue EthicsPortal <a href="#ce-qui-distingue-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Un tarif transparent et prévisible.</strong> EthicsPortal coûte 49 €/mois. Point final. EQS nécessite un échange commercial, et le tarif estimé démarre autour de 2 000 €/mois — soit environ 40 fois plus cher. Pour une PME, cette différence finance une année entière de conformité au lieu d’un seul mois.</li> <li><strong>Autonomie totale, du début à la fin.</strong> Inscrivez-vous, configurez votre portail, partagez le lien. Pas d’appel commercial, pas de processus d’achat, pas de semaines d’allers-retours. EQS est conçu pour les cycles d’achat des grandes entreprises ; EthicsPortal est conçu pour les équipes qui ont besoin de la conformité maintenant.</li> <li><strong>La protection de la vie privée de série.</strong> La suppression des métadonnées de fichiers et l’anonymisation IP sont intégrées à chaque compte EthicsPortal. Pas de négociation, pas de module complémentaire entreprise.</li> <li><strong>Un produit plus simple et plus rapide.</strong> EthicsPortal est un outil ciblé — rapide à charger, rapide à prendre en main, rapide à utiliser.</li> </ul> <h2 id="qui-devrait-choisir-eqs-integrity-line"> Qui devrait choisir EQS Integrity Line <a href="#qui-devrait-choisir-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EQS Integrity Line convient aux grandes entreprises (1 000+ employés) opérant dans de nombreux pays, qui ont besoin de plus de 70 langues, d’un support 24h/24 et 7j/7, et d’un prestataire avec un solide historique entreprise. Si votre organisation dispose d’une équipe conformité dédiée et d’un processus d’achat structuré, et que le budget n’est pas la préoccupation principale, EQS est un choix éprouvé.</p> <h2 id="qui-devrait-choisir-ethicsportal"> Qui devrait choisir EthicsPortal <a href="#qui-devrait-choisir-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal s’adresse aux PME qui ont besoin de se conformer à la directive européenne 2019/1937 sans dépenser des budgets entreprise ni attendre des semaines la conclusion d’un processus commercial. Si vous devez être en conformité cette semaine — et non ce trimestre — et que vous préférez dépenser 49 €/mois plutôt que 2 000 €+/mois pour des fonctionnalités que vous n’utiliserez jamais, EthicsPortal est le choix pragmatique.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/compare/faceup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/compare/faceup/Comparez EthicsPortal et FaceUp pour la conformité au dispositif d'alerte européen. Tarifs, fonctionnalités et protection de la vie privée comparés côte à côte pour les entreprises.<h1 id="ethicsportal-vs-faceup"> EthicsPortal vs. FaceUp <a href="#ethicsportal-vs-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>FaceUp est une plateforme d’alerte utilisée par plus de 3 500 organisations dans 60 pays. Conçu à l’origine avec un fort accent sur les écoles et l’éducation, FaceUp s’est étendu à la conformité en entreprise. La plateforme prend en charge un nombre impressionnant de 113 langues et dispose d’un programme d’affiliation dynamique. Leurs tarifs sont en dollars américains, ce qui peut rendre la budgétisation moins prévisible pour les entreprises européennes.</p> <h2 id="comparatif-rapide"> Comparatif rapide <a href="#comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Fonctionnalité</th> <th>EthicsPortal</th> <th>FaceUp</th> </tr> </thead> <tbody> <tr> <td><strong>Tarif</strong></td> <td>49 €/mois forfaitaire (EUR)</td> <td>Non public — « Demander un devis » sur tous les paliers (USD)</td> </tr> <tr> <td><strong>Inscription en libre-service</strong></td> <td>Oui, instantanée</td> <td>Non — devis requis</td> </tr> <tr> <td><strong>Chiffrement</strong></td> <td>Oui (chiffrement ActiveRecord non déterministe)</td> <td>Oui</td> </tr> <tr> <td><strong>Hébergement UE</strong></td> <td>Oui (Hetzner, Allemagne)</td> <td>Oui (UE)</td> </tr> <tr> <td><strong>Suppression des métadonnées de fichiers</strong></td> <td>Oui (EXIF, GPS, auteur)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Anonymisation IP</strong></td> <td>Oui (hachage unidirectionnel, aucun stockage)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Piste d’audit</strong></td> <td>Oui, en ajout seul</td> <td>Oui</td> </tr> <tr> <td><strong>Suivi des délais</strong></td> <td>Oui (7 jours et 3 mois avec notifications)</td> <td>Oui</td> </tr> <tr> <td><strong>Export PDF</strong></td> <td>Oui</td> <td>Oui</td> </tr> <tr> <td><strong>Langues</strong></td> <td>EN, FR, PL (d’autres à venir)</td> <td>113 langues</td> </tr> </tbody> </table> <h2 id="les-points-forts-de-faceup"> Les points forts de FaceUp <a href="#les-points-forts-de-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Prise en charge linguistique.</strong> 113 langues, c’est l’une des couvertures les plus larges du marché. Si votre organisation opère dans des pays aux langues moins courantes, FaceUp vous couvre probablement.</li> <li><strong>Marché de l’éducation.</strong> FaceUp occupe une position unique dans les écoles et universités. Si vous avez besoin d’un outil de signalement pour un établissement éducatif, ils disposent de fonctionnalités conçues pour ce contexte.</li> <li><strong>Application mobile.</strong> FaceUp propose une application mobile, ce qu’EthicsPortal ne propose pas actuellement.</li> </ul> <h2 id="ce-qui-distingue-ethicsportal"> Ce qui distingue EthicsPortal <a href="#ce-qui-distingue-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Tarification en euros, transparente.</strong> EthicsPortal coûte 49 €/mois forfaitaire — visible sur le site, sans appel commercial. FaceUp ne publie pas ses prix : les trois paliers (Starter, Professional, Enterprise) affichent des boutons « Demander un devis ». La tarification est en dollars américains, ce qui signifie que les entreprises européennes subissent les fluctuations de change en plus d’une tarification opaque. Avec EthicsPortal, il y à une offre à un prix.</li> <li><strong>Protection de la vie privée intégrée.</strong> La suppression des métadonnées de fichiers (EXIF, GPS, données d’auteur) et l’anonymisation IP (hachage unidirectionnel) sont incluses de série dans chaque compte EthicsPortal. Ce ne sont pas des fonctionnalités payantes en supplément.</li> <li><strong>Centré sur la conformité en entreprise.</strong> EthicsPortal est conçu spécifiquement pour la conformité à la directive européenne 2019/1937. Le double positionnement de FaceUp sur les écoles et les entreprises signifie que le produit sert deux audiences différentes, ce qui peut diluer l’expérience de conformité pour les utilisateurs en entreprise.</li> <li><strong>Hébergé dans l’UE sur Hetzner en Allemagne.</strong> Vos données sont stockées sur une infrastructure allemande spécifique et vérifiable — essentiel pour les organisations qui doivent démontrer une résidence des données conforme au RGPD.</li> </ul> <h2 id="qui-devrait-choisir-faceup"> Qui devrait choisir FaceUp <a href="#qui-devrait-choisir-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>FaceUp convient aux organisations qui ont besoin de 113 langues, souhaitent une application mobile pour les lanceurs d’alerte, ou opèrent dans le secteur éducatif. Si vous êtes une école, une université ou une entreprise multinationale pour laquelle la tarification en USD n’est pas un problème, FaceUp offre une large couverture.</p> <h2 id="qui-devrait-choisir-ethicsportal"> Qui devrait choisir EthicsPortal <a href="#qui-devrait-choisir-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal est conçu pour les PME européennes qui veulent une conformité simple à la directive européenne, en euros, sans naviguer entre plusieurs paliers tarifaires ni se demander quelles fonctionnalités nécessitent une mise à niveau. Si vous privilégiez une protection de la vie privée intégrée et un produit entièrement centré sur le signalement d’alertes plutôt que partagé entre écoles et entreprises, EthicsPortal est le choix le plus clair.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/compare/navex/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/compare/navex/Comparez EthicsPortal et NAVEX pour la conformité au dispositif d'alerte européen. Découvrez comment le géant américain se compare à une alternative européenne ciblée et abordable.<h1 id="ethicsportal-vs-navex"> EthicsPortal vs. NAVEX <a href="#ethicsportal-vs-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>NAVEX Global est une plateforme américaine de gouvernance, risques et conformité (GRC) soutenue par Goldman Sachs et Blackstone. Avec 1 000 à 5 000 employés, un chiffre d’affaires de 293 M$ et 13 000 organisations sur sa plateforme — dont 75 % du Fortune 100 — NAVEX est le plus grand acteur du marché des logiciels de conformité. Leur ligne d’alerte n’est qu’un élément d’une suite GRC beaucoup plus large couvrant la gestion des politiques, le risque tiers et la formation éthique.</p> <h2 id="comparatif-rapide"> Comparatif rapide <a href="#comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Fonctionnalité</th> <th>EthicsPortal</th> <th>NAVEX</th> </tr> </thead> <tbody> <tr> <td><strong>Tarif</strong></td> <td>49 €/mois forfaitaire</td> <td>Non public — estimé à 25 000 €+/an, sur devis entreprise</td> </tr> <tr> <td><strong>Inscription en libre-service</strong></td> <td>Oui, instantanée</td> <td>Non — processus commercial entreprise</td> </tr> <tr> <td><strong>Chiffrement</strong></td> <td>Oui (chiffrement ActiveRecord non déterministe)</td> <td>Oui</td> </tr> <tr> <td><strong>Hébergement UE</strong></td> <td>Oui (Hetzner, Allemagne)</td> <td>Basé aux États-Unis (hébergement UE non précisé)</td> </tr> <tr> <td><strong>Suppression des métadonnées de fichiers</strong></td> <td>Oui (EXIF, GPS, auteur)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Anonymisation IP</strong></td> <td>Oui (hachage unidirectionnel, aucun stockage)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Piste d’audit</strong></td> <td>Oui, en ajout seul</td> <td>Oui</td> </tr> <tr> <td><strong>Suivi des délais</strong></td> <td>Oui (7 jours et 3 mois avec notifications)</td> <td>Oui</td> </tr> <tr> <td><strong>Export PDF</strong></td> <td>Oui</td> <td>Oui</td> </tr> <tr> <td><strong>Langues</strong></td> <td>EN, FR, PL (d’autres à venir)</td> <td>150+ langues</td> </tr> </tbody> </table> <h2 id="les-points-forts-de-navex"> Les points forts de NAVEX <a href="#les-points-forts-de-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Domination du marché.</strong> 75 % du Fortune 100 utilise NAVEX. Ce niveau d’adoption implique des intégrations entreprise approfondies, une vaste couverture jurisprudentielle et un prestataire que les équipes achats connaissent déjà.</li> <li><strong>150+ langues.</strong> La couverture linguistique la plus large du marché, indispensable pour les entreprises véritablement mondiales avec des opérations dans chaque région.</li> <li><strong>Plateforme GRC complète.</strong> Si vous avez besoin d’alerte professionnelle, de gestion des politiques, de formation éthique et de gestion du risque tiers chez un seul prestataire, NAVEX couvre tout.</li> </ul> <h2 id="ce-qui-distingue-ethicsportal"> Ce qui distingue EthicsPortal <a href="#ce-qui-distingue-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Abordable et transparent.</strong> EthicsPortal coûte 49 €/mois. Les contrats NAVEX sont estimés à 25 000 €+/an — soit environ 40 fois plus. Pour une PME, le tarif NAVEX à lui seul peut dépasser l’ensemble du budget annuel de conformité.</li> <li><strong>Hébergé dans l’UE, centré sur l’UE.</strong> EthicsPortal est hébergé sur Hetzner en Allemagne, conçu spécifiquement pour la conformité à la directive européenne 2019/1937. NAVEX est une entreprise américaine avec une infrastructure centrée sur les États-Unis, ce qui soulève dès questions de résidence des données pour les organisations européennes.</li> <li><strong>Protection de la vie privée par défaut.</strong> La suppression des métadonnées de fichiers et l’anonymisation IP sont intégrées à chaque compte. Aucune négociation de contrat entreprise n’est nécessaire pour obtenir des fonctionnalités de protection de la vie privée qui devraient être standard.</li> <li><strong>Expérience utilisateur moderne.</strong> Les avis sur NAVEX mentionnent systématiquement des interfaces dépassées et des performances lentes. EthicsPortal est une application moderne — rapide, épurée et construite avec les standards web actuels.</li> </ul> <h2 id="qui-devrait-choisir-navex"> Qui devrait choisir NAVEX <a href="#qui-devrait-choisir-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>NAVEX est le bon choix pour les entreprises du Fortune 500 qui ont besoin d’une plateforme GRC complète couvrant l’alerte professionnelle, la gestion des politiques et le risque tiers. Si votre organisation opère dans plus de 100 pays, a besoin de plus de 150 langues, dispose d’un département conformité dédié et à le budget pour un logiciel entreprise, NAVEX à l’envergure pour répondre à vos besoins.</p> <h2 id="qui-devrait-choisir-ethicsportal"> Qui devrait choisir EthicsPortal <a href="#qui-devrait-choisir-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal s’adresse aux PME européennes qui ont besoin de conformité au dispositif d’alerte, pas d’une suite GRC complète. Si vous voulez être en conformité avec la directive européenne 2019/1937 sans signer un contrat à 25 000 €/an, suivre des démonstrations grand compte ou mettre en place une plateforme conçue pour les entreprises du Fortune 100, EthicsPortal vous donne exactement ce dont vous avez besoin à un prix qui a du sens.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/compare/speakup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/compare/speakup/Comparez EthicsPortal et SpeakUp pour la conformité au dispositif d'alerte européen. Tarifs, fonctionnalités de protection de la vie privée et mise en place comparés côte à côte.<h1 id="ethicsportal-vs-speakup"> EthicsPortal vs. SpeakUp <a href="#ethicsportal-vs-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>SpeakUp est une plateforme européenne d’éthique et de conformité servant plus de 2 000 organisations. Initialement centrée sur le signalement d’alertes, SpeakUp s’est étendue vers une suite de conformité tout-en-un plus large. La société détient les certifications ISO 27001, ISO 27701 et ISAE 3000 Type II — parmi les plus solides du marché. Leurs tarifs démarrent à 3 000 €/an pour les petites entreprises et passent à un tarif sur devis pour les organisations de plus de 1 000 employés.</p> <h2 id="comparatif-rapide"> Comparatif rapide <a href="#comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Fonctionnalité</th> <th>EthicsPortal</th> <th>SpeakUp</th> </tr> </thead> <tbody> <tr> <td><strong>Tarif</strong></td> <td>49 €/mois forfaitaire</td> <td>3 000 €/an pour <1 000 employés, sur devis au-delà</td> </tr> <tr> <td><strong>Inscription en libre-service</strong></td> <td>Oui, instantanée</td> <td>Partielle</td> </tr> <tr> <td><strong>Chiffrement</strong></td> <td>Oui (chiffrement ActiveRecord non déterministe)</td> <td>Oui</td> </tr> <tr> <td><strong>Hébergement UE</strong></td> <td>Oui (Hetzner, Allemagne)</td> <td>Oui (UE)</td> </tr> <tr> <td><strong>Suppression des métadonnées de fichiers</strong></td> <td>Oui (EXIF, GPS, auteur)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Anonymisation IP</strong></td> <td>Oui (hachage unidirectionnel, aucun stockage)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Piste d’audit</strong></td> <td>Oui, en ajout seul</td> <td>Oui</td> </tr> <tr> <td><strong>Suivi des délais</strong></td> <td>Oui (7 jours et 3 mois avec notifications)</td> <td>Oui</td> </tr> <tr> <td><strong>Export PDF</strong></td> <td>Oui</td> <td>Oui</td> </tr> <tr> <td><strong>Langues</strong></td> <td>EN, FR, PL (d’autres à venir)</td> <td>Plusieurs (nombre exact non publié)</td> </tr> </tbody> </table> <h2 id="les-points-forts-de-speakup"> Les points forts de SpeakUp <a href="#les-points-forts-de-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Certifications.</strong> ISO 27001, ISO 27701 et ISAE 3000 Type II forment une combinaison solide. Pour les organisations où les certifications fournisseur sont une exigence d’achat, SpeakUp coche toutes les cases.</li> <li><strong>Plateforme de conformité étendue.</strong> SpeakUp couvre l’éthique, la conformité et l’alerte professionnelle dans une seule plateforme. Si vos besoins de conformité vont au-delà du signalement d’alertes, leur suite plus large peut être pertinente.</li> <li><strong>Basé dans l’UE.</strong> En tant qu’entreprise européenne servant plus de 2 000 organisations, SpeakUp comprend les exigences réglementaires de l’UE et les attentes en matière de souveraineté des données.</li> </ul> <h2 id="ce-qui-distingue-ethicsportal"> Ce qui distingue EthicsPortal <a href="#ce-qui-distingue-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Tarification prévisible et forfaitaire.</strong> EthicsPortal coûte 49 €/mois — soit 588 €/an. SpeakUp démarre à 3 000 €/an pour les entreprises de moins de 1 000 employés, soit environ 5 fois plus. Avec EthicsPortal, vous connaissez votre coût aujourd’hui et dans deux ans.</li> <li><strong>Protection de la vie privée de série.</strong> EthicsPortal supprime les métadonnées des fichiers (EXIF, coordonnées GPS, informations d’auteur) avant le stockage et anonymise les adresses IP à l’aide d’un hachage unidirectionnel. Ces protections fonctionnent automatiquement sur chaque compte — ce ne sont pas des fonctionnalités premium.</li> <li><strong>Mise en place instantanée en libre-service.</strong> Inscrivez-vous, configurez votre portail et commencez à recevoir des signalements en quelques minutes. Pas de conversations commerciales, pas d’attente de provisionnement.</li> <li><strong>Centré sur l’alerte professionnelle.</strong> EthicsPortal fait une seule chose bien : le signalement d’alertes conforme à la directive européenne 2019/1937. SpeakUp évolue vers le marché haut de gamme avec une conformité plus large, ce qui signifie plus de complexité et des fonctionnalités que vous n’utiliserez peut-être jamais.</li> </ul> <h2 id="qui-devrait-choisir-speakup"> Qui devrait choisir SpeakUp <a href="#qui-devrait-choisir-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>SpeakUp est un bon choix pour les organisations de taille intermédiaire qui ont besoin d’un prestataire avec des certifications solides (ISO 27001, ISO 27701, ISAE 3000 Type II) pour satisfaire les exigences d’achat, ou qui souhaitent une plateforme unique couvrant l’éthique et la conformité au-delà du seul dispositif d’alerte. Si votre équipe conformité a besoin d’un ensemble d’outils plus large et accepte une tarification évolutive, SpeakUp répond aux attentes.</p> <h2 id="qui-devrait-choisir-ethicsportal"> Qui devrait choisir EthicsPortal <a href="#qui-devrait-choisir-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal s’adresse aux PME qui ont besoin de conformité au dispositif d’alerte sans acheter une suite de conformité complète. Si vous voulez la conformité à la directive européenne 2019/1937 à un tarif forfaitaire de 49 €/mois, avec des protections de la vie privée intégrées et sans processus commercial, EthicsPortal vous met en conformité plus rapidement et à moindre coût. Si vous avez besoin de certifications ISO de votre prestataire, EthicsPortal n’en dispose pas encore — mais si vous devez être en conformité aujourd’hui à un prix raisonnable, c’est la solution.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/compare/witik/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/compare/witik/Comparez EthicsPortal et Witik pour la conformité au dispositif d'alerte Loi Waserman et Sapin 2. Engagement 12 mois vs. 36 mois, tarif transparent, taxonomie Directive 2019/1937.<h1 id="ethicsportal-vs-witik"> EthicsPortal vs. Witik <a href="#ethicsportal-vs-witik" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Witik est une plateforme GRC française fondée en 2020. Elle regroupe trois modules — RGPD, Sapin 2 (dont le dispositif d’alerte interne) et EU AI Act — sur une infrastructure ISO 27001 et HDS hébergée en France. Le module Sapin 2 démarre à 100 € HT/mois en Premium, avec un engagement de 36 mois et un paiement annuel.</p> <h2 id="comparatif-rapide"> Comparatif rapide <a href="#comparatif-rapide" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Fonctionnalité</th> <th>EthicsPortal</th> <th>Witik</th> </tr> </thead> <tbody> <tr> <td><strong>Tarif dispositif d’alerte</strong></td> <td>49 €/mois forfaitaire (588 € HT/an)</td> <td>Starter gratuit (limité) ; Premium à partir de 100 € HT/mois (1 200 € HT/an)</td> </tr> <tr> <td><strong>Durée d’engagement</strong></td> <td>Mensuel, sans engagement</td> <td>36 mois, paiement annuel</td> </tr> <tr> <td><strong>Inscription en libre-service</strong></td> <td>Oui, instantanée</td> <td>Non — démonstration commerciale obligatoire</td> </tr> <tr> <td><strong>Produit dédié à l’alerte</strong></td> <td>Oui</td> <td>Non — inclus dans le module Sapin 2 aux côtés des cadeaux, conflits d’intérêts et contrôles anti-corruption</td> </tr> <tr> <td><strong>Taxonomie Directive 2019/1937 (Art. 2(1))</strong></td> <td>Oui, structurée selon l’article</td> <td>Non documentée ; catégories ad hoc (“comportements inappropriés, fraudes, irrégularités”)</td> </tr> <tr> <td><strong>Citations d’articles Loi Waserman / Sapin 2</strong></td> <td>Oui, article par article (Art. 8, 9, 10, 17)</td> <td>Mention “conforme aux lois Sapin 2 et Waserman” sans référence d’article</td> </tr> <tr> <td><strong>Suivi des délais 7 jours / 3 mois</strong></td> <td>Oui, notifications automatiques</td> <td>Évoqué (“délais légaux de traitement”) sans détail public</td> </tr> <tr> <td><strong>Accès double facteur du lanceur d’alerte</strong></td> <td>Oui (ID de dossier + mot de passe choisi par le lanceur)</td> <td>Non documenté publiquement</td> </tr> <tr> <td><strong>Piste d’audit append-only</strong></td> <td>Oui (trigger PostgreSQL au niveau base)</td> <td>“Documentation horodatée” revendiquée ; propriété append-only non garantie</td> </tr> <tr> <td><strong>Hébergement</strong></td> <td>UE (Hetzner, Allemagne — Falkenstein / Nuremberg)</td> <td>France (“cloud de confiance” ; centre de données non nommé)</td> </tr> <tr> <td><strong>Certifications</strong></td> <td>Conformité RGPD + Directive 2019/1937</td> <td>ISO 27001, HDS, EcoVadis Bronze</td> </tr> <tr> <td><strong>API publique</strong></td> <td>Oui</td> <td>Oui (REST + webhooks)</td> </tr> <tr> <td><strong>Langues de l’interface</strong></td> <td>EN, FR, PL (DE, LB disponibles)</td> <td>7 langues (couverture du formulaire de signalement non détaillée)</td> </tr> </tbody> </table> <h2 id="les-points-forts-de-witik"> Les points forts de Witik <a href="#les-points-forts-de-witik" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Stack souverain français.</strong> ISO 27001 + HDS, hébergement exclusif en France. Pour un établissement de santé, une mutuelle ou un organisme public qui exige l’HDS, Witik est l’un des rares candidats crédibles.</li> <li><strong>Plateforme GRC unifiée.</strong> Si vous avez besoin de RGPD, Sapin 2 et AI Act chez un seul prestataire, Witik couvre les trois depuis la même interface d’administration.</li> <li><strong>API + webhooks.</strong> Une API REST publique avec moteur de webhooks est rare sur les plateformes GRC modulaires françaises — utile pour intégrer un SIRH ou un outil ticketing existant.</li> </ul> <h2 id="ce-qui-distingue-ethicsportal"> Ce qui distingue EthicsPortal <a href="#ce-qui-distingue-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Engagement mensuel, pas 36 mois.</strong> Witik impose un contrat de 36 mois avec paiement annuel sur ses formules Premium. EthicsPortal est mensuel, sans engagement. Si le produit ne vous convient pas au bout de trois mois, vous partez — pas au bout de trois ans.</li> <li><strong>Tarif inférieur à l’équivalent Witik.</strong> 49 €/mois contre 100 € HT/mois sur la formule Premium Sapin 2 de Witik. Sur la durée d’engagement Witik (36 mois), l’écart cumulé dépasse 1 800 €.</li> <li><strong>Directive 2019/1937 au cœur du produit.</strong> Taxonomie des signalements alignée sur l’article 2(1) de la Directive (infractions UE, marchés publics, services financiers, sécurité des produits, santé publique, protection des consommateurs, protection des données, etc.). Les pages publiques de Witik ne citent pas la Directive ; la Loi Waserman apparaît dans une seule ligne de FAQ.</li> <li><strong>Délais réglementaires tracés.</strong> Accusé de réception 7 jours, retour motivé 3 mois : compteurs automatiques, relances, export PDF du registre des alertes conforme à l’article 17 Sapin 2.</li> <li><strong>Libre-service, sans démo commerciale.</strong> Vous créez votre espace, configurez votre canal interne et testez le parcours signalant en quelques minutes. Aucun CTA ne passe par /contact/.</li> <li><strong>Accès double facteur du lanceur d’alerte.</strong> Identifiant de dossier + mot de passe choisi par le lanceur, standard recommandé par la Directive. Witik décrit un “espace personnel sécurisé” sans documenter le mécanisme d’accès.</li> </ul> <h2 id="qui-devrait-choisir-witik"> Qui devrait choisir Witik <a href="#qui-devrait-choisir-witik" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Witik est adapté aux organisations françaises qui ont déjà déployé Witik pour le RGPD ou qui exigent un hébergement HDS (santé, mutuelles, secteur public régulé). Si vous cherchez une suite GRC unifiée RGPD + Sapin 2 + AI Act chez un seul prestataire français et que les 36 mois d’engagement ne posent pas de problème, Witik répond au besoin.</p> <h2 id="qui-devrait-choisir-ethicsportal"> Qui devrait choisir EthicsPortal <a href="#qui-devrait-choisir-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal s’adresse aux organisations qui veulent un dispositif d’alerte interne conforme à la Directive 2019/1937 et à la Loi Waserman, sans s’engager sur 36 mois et sans passer par une démonstration commerciale. Si vous êtes un groupe avec des filiales dans plusieurs pays de l’UE, un cabinet de conseil qui déploie le canal interne chez ses clients, ou une ETI française qui n’a pas besoin de l’HDS, EthicsPortal offre la profondeur réglementaire pan-européenne à un tarif plus bas et sans engagement long.</p> <hr> <p><a href="/fr/pricing/">Activer votre canal de signalement →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/directive-interpretations/Comment EthicsPortal interprète les dispositions ambiguës de la directive (UE) 2019/1937. Document de référence destiné aux responsables de la conformité, aux délégués à la protection des données et aux conseillers juridiques.<h1 id="méthodologie"> Méthodologie <a href="#m%c3%a9thodologie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Le présent document exposé la manière dont EthicsPortal interprète les dispositions de la directive (UE) 2019/1937 qui admettent plus d’une lecture raisonnable. Il s’adresse aux responsables de la conformité, aux délégués à la protection des données et aux conseillers juridiques qui doivent prendre des décisions opérationnelles défendables en l’absence d’interprétation faisant autorité de la part de la Commission européenne ou de la Cour de justice de l’Union européenne.</p> <p>Il s’agit d’un document évolutif. Lorsque la Cour de justice, le Comité européen de la protection des données ou une autorité nationale compétente publie une interprétation contraignante divergente des positions ci-dessous, le présent document est révisé et la position antérieure est conservée dans le journal des révisions.</p> <p>Pour la correspondance exigence-fonctionnalité — la capacité EthicsPortal qui répond à chaque disposition de la directive —, consultez la page <a href="/fr/directive-coverage/">conformité</a> . Les deux documents sont complémentaires : la conformité documente ce que le produit fait ; la méthodologie documente la manière dont nous lisons la loi.</p> <p><strong>La version anglaise du présent document fait foi.</strong> Les traductions sont fournies à titre informatif. En cas de divergence entre les versions linguistiques, la version anglaise prévaut. Cette règle suit la pratique des institutions de l’Union pour les documents multilingues destinés à être cités.</p> <p>Dernière mise à jour : avril 2026.</p> <hr> <h2 id="1-champ-dapplication-et-sources"> §1. Champ d’application et sources <a href="#1-champ-dapplication-et-sources" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La présente méthodologie porte sur la directive 2019/1937 telle que transposée dans le droit national des 27 États membres de l’Union. Lorsque la transposition nationale est plus stricte que la directive, la règle nationale s’applique aux organisations opérant dans cette juridiction (voir §9).</p> <p>Sources faisant autorité, par ordre de précédence :</p> <ol> <li><strong>Le texte de la directive lui-même</strong> — Directive (UE) 2019/1937 du 23 octobre 2019, y compris ses considérants.</li> <li><strong>Les lois nationales de transposition</strong> — contraignantes au sein de chaque État membre. Voir notre <a href="/fr/whistleblower-laws/">référence des lois sur la protection dès lanceurs d’alerte par pays</a> pour les intitulés précis et les autorités de contrôle.</li> <li><strong>Les arrêts de la Cour de justice de l’Union européenne</strong> — contraignants dans toute l’Union.</li> <li><strong>Les orientations du Comité européen de la protection des données</strong> — pour les aspects relatifs à la protection des données (Art. 17 de la directive, articulation avec le RGPD).</li> <li><strong>Les orientations des autorités nationales compétentes</strong> — persuasives au sein de l’État qui les émet.</li> </ol> <p>Le présent document constitue une méthodologie opérationnelle. Il ne constitue pas un avis juridique. Les organisations doivent faire valider les interprétations par un conseil juridique compétent dans leur juridiction avant de s’y fier dans le cadre d’un audit ou d’un contentieux.</p> <hr> <h2 id="2-conventions-rédactionnelles"> §2. Conventions rédactionnelles <a href="#2-conventions-r%c3%a9dactionnelles" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La directive dispose</strong> introduit une déclaration de ce que le texte de la directive exige.</p> <p><strong>En pratique, cela signifie</strong> introduit l’interprétation d’EthicsPortal lorsque le texte admet plus d’une lecture.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> introduit la manière dont l’interprétation se traduit dans le produit. Les opérateurs retenant une interprétation différente devront ajuster leur configuration ou leurs procédures en conséquence.</p> <p>Toutes les références d’articles renvoient à la directive 2019/1937, sauf indication contraire.</p> <hr> <h2 id="3-le-seuil-de-50-travailleurs-art-8"> §3. Le seuil de 50 travailleurs (art. 8) <a href="#3-le-seuil-de-50-travailleurs-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 8(3) exige des entités comptant « 50 travailleurs ou plus » qu’elles mettent en place des canaux de signalement interne. La directive ne définit pas les modalités de calcul des effectifs, ni la manière dont les travailleurs à temps partiel et les intérimaires sont comptabilisés, ni si le seuil s’applique à chaque entité juridique ou au groupe dans son ensemble.</p> <p><strong>La directive dispose</strong> que « les entités juridiques du secteur privé ayant 50 travailleurs ou plus » sont soumises à l’obligation (art. 8(3)). Le considérant 48 précise que le seuil est calculé « conformément au droit national transposant les actes pertinents du droit de l’Union ».</p> <p><strong>En pratique, cela signifie</strong> que le calcul suit les règles nationales existantes de décompte des effectifs applicables en matière d’emploi et de sécurité sociale. Ces règles varient :</p> <ul> <li><strong>Allemagne</strong> (HinSchG §12) : effectif fondé sur le nombre de personnes employées de manière régulière, calculé par entité juridique.</li> <li><strong>France</strong> (Loi Waserman, art. 8) : 50 travailleurs calculés comme la moyenne des effectifs mensuels au cours des 12 mois précédents.</li> <li><strong>Italie</strong> (D.Lgs. 24/2023) : moyenne des effectifs au cours de l’année précédente.</li> <li><strong>Espagne</strong> (Ley 2/2023) : 50 travailleurs par entité, avec possibilité de canaux de groupe sous conditions.</li> </ul> <p><strong>Le seuil est calculé par entité juridique</strong>, et non par groupe. Une société mère et sa filiale constituent des entités distinctes aux fins de l’article 8, sauf disposition contraire du droit national. L’article 8(6) permet le partage de ressources au sein d’un groupe pour les entités comptant jusqu’à 249 travailleurs — mais l’obligation de mettre en place un canal reste déclenchée par entité dès que le seuil de 50 travailleurs est atteint.</p> <p><strong>Les travailleurs indépendants, les intérimaires et les stagiaires</strong> comptent généralement dans le calcul du seuil dès lors qu’ils entrent dans la définition nationale du « travailleur » — qui est plus large que celle d’« employé » en droit de l’Union. La Cour de justice juge de manière constante que la notion de « travailleur » en droit de l’Union inclut toute personne qui accomplit des prestations pour le compte et sous la direction d’autrui en contrepartie d’une rémunération (voir <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>EthicsPortal met cela en œuvre en</strong> ne conditionnant l’accès à aucun seuil d’effectif. Toute organisation peut déployer un portail, quelle que soit sa taille. Les organisations en dessous du seuil de 50 travailleurs exploitent fréquemment un portail à titre volontaire — pour la gestion des risques, parce que le droit national applique un seuil inférieur à leur secteur (par exemple dans les services financiers), ou parce que leur politique de groupe l’impose.</p> <hr> <h2 id="4-le-délai-daccusé-de-réception-art-9-1-b"> §4. Le délai d’accusé de réception (art. 9, §1, b) <a href="#4-le-d%c3%a9lai-daccus%c3%a9-de-r%c3%a9ception-art-9-1-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 9, §1, point b), exige que l’accusé de réception soit adressé « dans un délai de sept jours à compter de cette réception ». La directive ne précise pas s’il s’agit de jours calendaires ou ouvrables, ni le point de départ du délai pour les signalements reçus en dehors des heures ouvrables.</p> <p><strong>La directive dispose</strong> de l’envoi d’un accusé de réception « dans un délai de sept jours à compter de la réception ». Aucune autre précision n’est donnée.</p> <p><strong>En pratique, cela signifie</strong> sept jours <strong>calendaires</strong>, comptés à partir du moment où le signalement entre dans le canal. Ceci suit le principe général selon lequel les délais fixés par le droit de l’Union courent en jours calendaires, sauf disposition expresse contraire (règlement (CEE, Euratom) n° 1182/71, art. 3). Les États membres ayant transposé la directive ont systématiquement retenu le délai de sept jours comme étant exprimé en jours calendaires (HinSchG §17(1)2 ; D.Lgs. 24/2023 art. 5(1)(d) ; Loi Waserman art. 8).</p> <p>Un signalement soumis à 23h59 un dimanche est un signalement reçu ce dimanche. Le délai de sept jours commence le jour suivant (jour 1 = lundi) et expire à la fin du septième jour. Ceci découle de l’article 3(1) du règlement 1182/71, qui dispose que lorsqu’un délai est exprimé en jours, le jour de l’événement qui le déclenche n’est pas compté.</p> <p><strong>L’accusé de réception n’est pas équivalent à une réponse substantielle.</strong> L’accusé de réception est une confirmation que le signalement a été reçu et enregistré. Il n’a pas à contenir d’évaluation du fond du signalement, ni le nom de la personne chargée de son traitement.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> envoyant un accusé de réception automatique au lanceur d’alerte au moment du dépôt, affiché sur le portail et (lorsque des coordonnées sont fournies) transmis par courrier électronique. L’accusé de réception inclut la référence du dossier et le délai légal de retour d’informations de trois mois. Les organisations configurées pour un accusé manuel reçoivent des alertes à 48 heures àvant l’expiration du délai de sept jours ainsi que le jour de l’échéance.</p> <hr> <h2 id="5-le-délai-de-retour-dinformations-art-9-1-f"> §5. Le délai de retour d’informations (art. 9, §1, f) <a href="#5-le-d%c3%a9lai-de-retour-dinformations-art-9-1-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 9, §1, point f), exige un retour d’informations « n’excédant pas trois mois à compter de l’accusé de réception ou, si aucun accusé de réception n’a été envoyé à l’auteur du signalement, trois mois à compter de l’expiration du délai de sept jours suivant le signalement ». La directive ne définit pas ce qui constitue un « retour d’informations ».</p> <p><strong>La directive dispose</strong> que le retour d’informations désigne « la communication à l’auteur de signalement d’informations sur les mesures envisagées ou prises à titre de suivi et sur les motifs de ce suivi » (art. 5, point 13).</p> <p><strong>En pratique, cela signifie</strong> que le retour d’informations est substantiel. Un nouvel accusé de réception, ou la simple mention que le signalement est « en cours d’examen », ne constitue pas un retour d’informations au sens de l’article 9, §1, point f). Le lanceur d’alerte est en droit de connaître, dans le délai de trois mois, l’action que l’organisation entend prendre (ou a prise) et le raisonnement qui la motive.</p> <p>Le retour d’informations n’a pas à constituer une décision définitive. Une organisation peut indiquer que l’affaire est encore en cours d’instruction, à condition de préciser également ce qui a été fait à ce jour, quelles sont les étapes suivantes prévues et à quelle échéance une nouvelle information sera communiquée. Ce qui est exigé, c’est une information suffisante pour permettre au lanceur d’alerte d’apprécier si l’organisation traite le signalement sérieusement.</p> <p><strong>Le délai de trois mois court à compter de la date de l’accusé de réception</strong>, et non de la date de dépôt du signalement. Lorsque l’accusé de réception est tardif, la fenêtre du retour d’informations se réduit d’autant — la date ultime autorisée pour le retour d’informations est de trois mois et sept jours après le dépôt du signalement.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> suivant les deux délais (accusé à 7 jours, retour d’informations à 3 mois) par dossier et en remontant les alertes d’échéance dépassée à l’ensemble des administrateurs de l’organisation. Le retour d’informations au lanceur d’alerte est transmis par le canal de messagerie bidirectionnelle du portail, qui préserve l’anonymat du lanceur d’alerte lorsque celui-ci n’a pas révélé son identité.</p> <hr> <h2 id="6-le-suivi-diligent-art-9-1-d"> §6. Le suivi diligent (art. 9, §1, d) <a href="#6-le-suivi-diligent-art-9-1-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 9, §1, point d), exige « un suivi diligent par la personne ou le département désigné visé au point c) ». Le terme « diligent » n’est pas défini.</p> <p><strong>La directive dispose</strong> que le suivi désigne « toute mesure prise par le destinataire d’un signalement ou toute autorité compétente en vue d’évaluer l’exactitude des allégations formulées dans le signalement et, le cas échéant, de remédier à la violation signalée » (art. 5, point 12).</p> <p><strong>En pratique, cela signifie</strong> que le suivi diligent comporte trois composantes opérationnelles minimales :</p> <ol> <li><strong>Une évaluation.</strong> Une analyse documentée permettant de déterminer si les allégations, à les supposer fondées, constitueraient une violation relevant du champ d’application matériel de la directive (art. 2) ou de sa transposition nationale.</li> <li><strong>Une enquête proportionnée à l’allégation.</strong> Des démarches d’enquête adaptées à la gravité de la violation alléguée, à la force des éléments probants et au préjudice potentiel. Tout signalement ne justifie pas une enquête approfondie ; un signalement dépourvu de tout détail concret peut être évalué et clôturé avec une motivation documentée. Un signalement étayé par des éléments précis et concordants appelle davantage.</li> <li><strong>Une trace contemporaine des actes.</strong> Les mesures prises, les décisions adoptées et leur motivation doivent être consignées au moment où elles interviennent. Un suivi diligent qui ne laisse aucune trace est indiscernable d’une absence de suivi.</li> </ol> <p>« Diligent » est une norme objective. Elle n’est pas satisfaite par la seule bonne foi subjective. Une organisation qui clôture systématiquement les signalements sans évaluation, ou qui met des mois à ouvrir un dossier, n’est pas diligente, quelle que soit sa perception d’elle-même.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> fournissant un processus de gestion des dossiers avec transitions de statut (reçu, accusé de réception envoyé, en cours d’enquête, clôturé), des notes internes permettant la collaboration entre gestionnaires, et un journal d’audit en ajout seul qui enregistre chaque action avec horodatage et identifiant de l’acteur. Le journal d’audit constitue la preuve principale de la diligence lors d’un audit ou d’un contrôle réglementaire.</p> <hr> <h2 id="7-la-confidentialité-de-lidentité-art-16"> §7. La confidentialité de l’identité (art. 16) <a href="#7-la-confidentialit%c3%a9-de-lidentit%c3%a9-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 16, §1, exige que l’identité de l’auteur du signalement ne soit pas divulguée à d’autres personnes que les membres du personnel autorisés. La directive ne précise pas si l’« identité » s’étend aux métadonnées susceptibles d’identifier le lanceur d’alerte (adresses IP, empreintes de navigateur, métadonnées d’auteur dans les fichiers, schémas d’horodatage).</p> <p><strong>La directive dispose</strong> que « l’identité de l’auteur de signalement n’est pas divulguée, sans le consentement explicite de cette personne, à toute personne autre que les membres du personnel autorisés à recevoir ou à assurer le suivi des signalements » (art. 16, §1).</p> <p><strong>En pratique, cela signifie</strong> que l’« identité » s’entend de façon fonctionnelle : elle inclut toute information qui, seule ou combinée, permet d’identifier le lanceur d’alerte. Cette lecture s’aligne avec la définition des données à caractère personnel du RGPD (règlement (UE) 2016/679, art. 4, point 1) et avec la position constante du Comité européen de la protection des données selon laquelle l’identifiabilité est contextuelle.</p> <p>Sont traités comme des données relatives à l’identité :</p> <ul> <li>Le nom du lanceur d’alerte, ses coordonnées et toute information qu’il fournit à son sujet.</li> <li>L’<strong>adresse IP</strong> depuis laquelle le signalement a été soumis.</li> <li>Les <strong>métadonnées de fichier</strong> intégrées aux documents téléchargés (nom de l’auteur, coordonnées GPS dans les photographies, identifiants de dispositif, historique des révisions dans les documents bureautiques).</li> <li>Les schémas d’horodatage ou d’accès susceptibles d’identifier de manière unique une personne (par exemple, un signalement soumis à un horaire auquel un seul employé était vraisemblablement susceptible de le déposer).</li> </ul> <p>Les organisations qui conservent les adresses IP dès lanceurs d’alerte, ou qui acceptent des fichiers téléchargés sans en supprimer les métadonnées, s’exposent à une défaillance de confidentialité qui constitue techniquement une violation de l’article 16, même lorsque le nom du lanceur d’alerte n’est jamais divulgué.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> ne stockant jamais les adresses IP dès lanceurs d’alerte (la limitation de débit utilise des hachages irréversibles à sens unique), en supprimant les métadonnées EXIF et les métadonnées documentaires de tous les fichiers téléchargés avant leur stockage, et en chiffrant au repos les champs d’identité du lanceur d’alerte avec un chiffrement non déterministe (de sorte qu’un accès complet à la base de données ne permet pas une recherche en masse par nom).</p> <hr> <h2 id="8-la-durée-de-conservation-art-18"> §8. La durée de conservation (art. 18) <a href="#8-la-dur%c3%a9e-de-conservation-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 18, §1, exige que les signalements soient conservés « pour une durée qui n’excède pas celle nécessaire et proportionnée aux fins du respect des exigences imposées par la présente directive, ou d’autres exigences imposées par le droit de l’Union ou le droit national ». La directive ne fixe pas de durée maximale.</p> <p><strong>La directive dispose</strong> d’une exigence de « nécessité et de proportionnalité », rattachée à des finalités de conformité.</p> <p><strong>En pratique, cela signifie</strong> que la conservation doit être justifiée par une finalité juridique ou opérationnelle concrète, limitée dans le temps, et consignée dans le registre des traitements de l’organisation (RGPD, art. 30). En l’absence d’enquête, de contentieux ou d’obligation légale spécifique en cours, la conservation au-delà de la clôture du dossier devient progressivement plus difficile à justifier.</p> <p>Justifications courantes et durées typiques associées :</p> <table> <thead> <tr> <th>Finalité</th> <th>Durée typique</th> </tr> </thead> <tbody> <tr> <td>Dossier actif (réception jusqu’à clôture)</td> <td>Durée du dossier</td> </tr> <tr> <td>Enquête ou contentieux consécutifs</td> <td>Jusqu’à la résolution définitive</td> </tr> <tr> <td>Piste d’audit réglementaire</td> <td>Durée fixée par la réglementation sectorielle (couramment 5 ans pour les services financiers)</td> </tr> <tr> <td>Protection contre les réclamations pour représailles (art. 21)</td> <td>Délai de prescription national en matière de droit du travail (généralement 2 à 5 ans)</td> </tr> <tr> <td>Rapports statistiques au titre de l’art. 27(2)</td> <td>Données anonymisées uniquement ; données personnelles à minimiser ou à supprimer</td> </tr> </tbody> </table> <p>La transposition nationale peut fixer des durées spécifiques. Exemples :</p> <ul> <li><strong>Allemagne</strong> (HinSchG §11(5)) : documentation supprimée trois ans après la clôture de la procédure, durée prolongée uniquement lorsque d’autres lois l’exigent.</li> <li><strong>France</strong> (orientations de la CNIL sur la Loi Waserman) : durées de conservation calibrées par type de dossier, les dossiers courants étant supprimés dans les deux mois suivant leur clôture si aucun suivi n’est envisagé.</li> <li><strong>Italie</strong> (D.Lgs. 24/2023 art. 14) : cinq ans à compter de la clôture du signalement, sous réserve de la minimisation RGPD.</li> </ul> <p>Une durée de conservation générique retenue par commodité (« nous conservons tout pendant dix ans ») ne satisfait ni l’article 18, ni l’article 5, §1, point e), du RGPD. La conservation doit être rattachée à une finalité.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> proposant des durées de conservation configurables (12, 24, 36, 60 mois) avec suppression automatique des signalements clôturés à l’expiration de la période configurée. La valeur par défaut correspond à la durée la plus courte satisfaisant les exigences les plus courantes des transpositions nationales. Les opérateurs soumis à des obligations de conservation sectorielles plus longues configurent la durée en conséquence.</p> <hr> <h2 id="9-la-base-juridique-du-traitement-articulation-avec-le-rgpd"> §9. La base juridique du traitement (articulation avec le RGPD) <a href="#9-la-base-juridique-du-traitement-articulation-avec-le-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 17 de la directive exige que le traitement des données à caractère personnel respecte le RGPD. La directive ne constitue pas en elle-même une base juridique au sens de l’article 6 du RGPD — le responsable du traitement doit identifier la base applicable.</p> <p><strong>La directive dispose</strong> que le traitement « est effectué conformément au règlement (UE) 2016/679 » (art. 17).</p> <p><strong>En pratique, cela signifie</strong> que la base juridique est l’<strong>article 6, §1, point c), du RGPD — l’obligation légale</strong>, lorsque l’organisation est soumise à une obligation légale de mettre en place et d’exploiter un canal de signalement. Pour les organisations au-dessus du seuil de 50 travailleurs (ou en dessous de ce seuil lorsqu’une législation sectorielle impose l’obligation), l’article 6, §1, point c), est la base correcte et suffisante. Aucun consentement du lanceur d’alerte n’est requis, et aucun ne devrait être sollicité — traiter la démarche comme fondée sur le consentement serait trompeur et créerait un droit théorique de retrait que le responsable ne pourrait pas honorer.</p> <p>Pour les organisations exploitant un canal de signalement <strong>à titre volontaire</strong> (en dessous du seuil de 50 travailleurs et non soumises à un mandat sectoriel), la base juridique est l’<strong>article 6, §1, point f) — l’intérêt légitime</strong>, sous réserve d’un test de mise en balance documenté. L’intérêt légitime à prévenir et à détecter des actes répréhensibles au sein de l’organisation est bien établi et reconnu par les orientations nationales dans l’ensemble des États membres.</p> <p>Des catégories particulières de données à caractère personnel (RGPD, art. 9) peuvent apparaître de manière incidente dans les signalements — un signalement de discrimination peut révéler des informations relatives à la santé ou à l’origine ethnique. La base juridique pour les données relevant de l’article 9 est typiquement l’article 9, §2, point g) — intérêt public important, à condition que le traitement soit proportionné et accompagné de garanties spécifiques. Les signalements révélant des infractions pénales (RGPD, art. 10) sont traités sur la base correspondante prévue par le droit national.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> documentant l’article 6, §1, point c), comme base juridique par défaut dans l’accord de traitement des données (DPA) et la notice d’information. Les opérateurs en dessous du seuil légal ajustent la notice d’information pour refléter l’article 6, §1, point f), et consignent leur test de mise en balance séparément.</p> <hr> <h2 id="10-la-primauté-du-droit-national-art-25"> §10. La primauté du droit national (art. 25) <a href="#10-la-primaut%c3%a9-du-droit-national-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> L’article 25, §1, dispose que les États membres peuvent introduire ou maintenir des dispositions « plus favorables aux droits des auteurs de signalement » que celles prévues par la directive. La directive ne précise pas comment les opérateurs doivent résoudre les conflits lorsque le droit national est plus strict.</p> <p><strong>La directive dispose</strong> à son article 25, §1, que « les États membres peuvent introduire ou maintenir des dispositions plus favorables aux droits des auteurs de signalement que celles prévues par la présente directive, sans préjudice de l’article 22 [droits des personnes concernées] et de l’article 23, §2 [sanctions pour signalement délibérément mensonger] ».</p> <p><strong>En pratique, cela signifie</strong> que lorsque la transposition nationale est plus stricte que la directive, <strong>le droit national s’applique</strong> aux organisations opérant dans cette juridiction. Il n’est pas possible de se prévaloir du minimum de la directive lorsque la règle locale est plus stricte. La directive établit un plancher, non un plafond.</p> <p>Exemples de règles nationales plus strictes :</p> <ul> <li><strong>La France</strong> exige un accusé de réception des signalements externes dans un délai de sept jours ouvrés et un délai de retour d’informations pouvant être plus court que le minimum de la directive pour certains secteurs (AMF, ACPR).</li> <li><strong>L’Allemagne</strong> étend explicitement la protection aux signalements portant sur certaines catégories de manquements juridiques excédant le champ d’application matériel de la directive (HinSchG §2).</li> <li><strong>L’Italie</strong> impose un seuil de travailleurs inférieur (50, mais à tout effectif pour certaines entités sectorielles) ainsi que des formalités documentaires particulières.</li> <li><strong>La Pologne</strong> impose des exigences spécifiques sur la forme de la politique du canal de signalement, absentes du texte de la directive.</li> </ul> <p><strong>Pour les opérateurs multi-pays</strong>, la règle opérationnelle est la suivante : dans chaque juridiction, appliquer la plus stricte des deux (directive, loi nationale). Cela conduit parfois à ce qu’une politique de groupe retienne un standard uniforme élevé, calé sur la règle nationale la plus stricte parmi les pays d’opération. Cette approche est généralement préférable au maintien de politiques parallèles par juridiction, qui accroît la charge administrative et le risque d’application erronée.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> adoptant par défaut le plus strict commun dénominateur des 27 États membres : les délais d’accusé de réception et de retour d’informations les plus courts, la durée de conservation la plus étroite, la notice anti-représailles la plus complète. Les opérateurs dans une juridiction unique peuvent assouplir des valeurs par défaut spécifiques pour s’aligner sur les règles nationales, mais la ligne de base est calibrée au-dessus du minimum de la directive dans chaque article où les transpositions nationales l’excèdent.</p> <hr> <h2 id="11-le-signalement-anonyme-art-6-2--art-9-1-e"> §11. Le signalement anonyme (art. 6, §2 ; art. 9, §1, e) <a href="#11-le-signalement-anonyme-art-6-2--art-9-1-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>La question.</strong> Une organisation doit-elle accepter les signalements anonymes ?</p> <p><strong>La directive dispose</strong> à son article 6, §2, qu’elle « n’affecte pas le pouvoir des États membres de décider d’exiger ou non des entités juridiques […] qu’elles acceptent et assurent le suivi des signalements anonymes ». L’article 9, §1, point e), exige « un suivi diligent, lorsque cela est prévu par le droit national, en ce qui concerne le signalement anonyme ».</p> <p><strong>En pratique, cela signifie</strong> que le droit national tranche. Deux postures :</p> <ul> <li><strong>Obligatoire</strong> dans certaines juridictions ou certains secteurs (p. ex. la réglementation française des services financiers).</li> <li><strong>Permis</strong> dans la plupart des États membres — Allemagne (HinSchG), Italie (D.Lgs. 24/2023, avec suivi diligent imposé une fois un signalement accepté), Pologne (Ustawa o ochronie sygnalistów), et d’autres.</li> </ul> <p>Trois conséquences.</p> <p><strong>Une fois accepté, engagement contraignant.</strong> Une organisation qui publie « nous acceptons les signalements anonymes » a déclenché l’article 9, §1, point e). L’obligation s’attache à la politique, non au signalement individuel.</p> <p><strong>L’anti-représailles ne s’applique qu’à partir de l’identification.</strong> L’article 21 ne peut protéger une personne inconnue. Les actes commis pendant la période anonyme ne sont pas couverts rétroactivement.</p> <p><strong>L’anonymat est un standard technique, non une promesse.</strong> Un formulaire qui collecte une adresse électronique n’est pas anonyme. Un canal qui journalise les adresses IP n’est pas anonyme. La confidentialité de l’article 16 protège une identité connue contre la divulgation ; l’anonymat empêche l’identification.</p> <p><strong>EthicsPortal met cela en œuvre en</strong> acceptant par défaut les signalements anonymes. Aucune coordonnée n’est requise. Les adresses IP ne sont jamais stockées (la limitation de débit utilise des hachages irréversibles à sens unique). Les métadonnées des fichiers sont supprimées avant stockage. Les opérateurs peuvent configurer le portail pour exiger des coordonnées lorsque le droit national impose des signalements identifiés. Les signalements anonymes acceptés suivent la même procédure, les mêmes délais et le même standard de suivi diligent que les signalements identifiés.</p> <hr> <h2 id="journal-des-révisions"> Journal des révisions <a href="#journal-des-r%c3%a9visions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Avril 2026</strong> — Ajout du §11 sur le signalement anonyme (art. 6, §2 ; art. 9, §1, e).</li> <li><strong>Avril 2026</strong> — Publication initiale.</li> </ul> <hr> <h2 id="corrections-et-demandes"> Corrections et demandes <a href="#corrections-et-demandes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le présent document est destiné à être cité et à faire autorité. Si vous identifiez une erreur, une position en contradiction avec un arrêt de la Cour de justice, un avis du Comité européen de la protection des données ou des orientations nationales contraignantes, contactez <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . Les corrections sont publiées dans le journal des révisions avec leur date et un résumé de la modification.</p> <p>Pour les questions relatives à l’application d’une interprétation spécifique à la situation de votre organisation, le présent document ne se substitue pas à un avis juridique. Consultez un conseil juridique compétent dans votre juridiction.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/privacy/Politique de confidentialité d'EthicsPortal — comment nous collectons, utilisons, stockons et protégeons vos données personnelles.<h1 id="politique-de-confidentialité"> Politique de confidentialité <a href="#politique-de-confidentialit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Date d’effet :</strong> 17 février 2026 <strong>Dernière mise à jour :</strong> 21 mai 2026</p> <h2 id="1-introduction"> 1. Introduction <a href="#1-introduction" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal (« nous », « notre ») est exploité par Yaroslav Shmarov, dont l’adresse enregistrée est ul. Obrzeżna 1A, 02-691 Varsovie, Pologne. La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles lorsque vous utilisez EthicsPortal sur <a href="https://ethicsportal.eu">ethicsportal.eu</a> (le « Service »).</p> <p>En utilisant le Service, vous acceptez la collecte et l’utilisation des informations telles que décrites dans la présente politique. Si vous n’êtes pas d’accord, veuillez ne pas utiliser le Service.</p> <p><strong>Contact :</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>Les informations de base sur la partie contractante sont publiées sur la page <a href="/fr/trust/">confiance</a> .</p> <h2 id="2-informations-que-nous-collectons"> 2. Informations que nous collectons <a href="#2-informations-que-nous-collectons" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="21-informations-de-compte"> 2.1 Informations de compte <a href="#21-informations-de-compte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Lors de la création de votre compte, nous collectons :</p> <ul> <li>Adresse e-mail</li> <li>Nom d’affichage (si fourni)</li> <li>Préférence de langue</li> </ul> <p>L’authentification est sans mot de passe — nous utilisons des liens magiques (codes à usage unique envoyés à votre e-mail). Nous ne collectons ni ne stockons de mots de passe.</p> <h3 id="22-informations-de-paiement"> 2.2 Informations de paiement <a href="#22-informations-de-paiement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les paiements sont entièrement traités par <a href="https://stripe.com" rel="nofollow">Stripe</a> . Nous ne stockons <strong>pas</strong> de numéros de carte bancaire, de numéros de compte bancaire ou d’autres données financières sensibles sur nos serveurs. Stripe peut collecter les informations de paiement directement. Veuillez consulter la <a href="https://stripe.com/privacy" rel="nofollow">Politique de confidentialité de Stripe</a> pour plus de détails.</p> <h3 id="23-journaux-du-serveur"> 2.3 Journaux du serveur <a href="#23-journaux-du-serveur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nos serveurs enregistrent automatiquement des informations lorsque vous accédez au Service, notamment :</p> <ul> <li>Adresse IP</li> <li>Type et version du navigateur</li> <li>Pages visitées et horodatages</li> <li>URL de provenance</li> </ul> <p>Les journaux du serveur sont utilisés pour la surveillance de la sécurité et le débogage. Ils ne sont pas utilisés à des fins publicitaires ou de suivi.</p> <h3 id="24-données-des-signalements-de-lanceurs-dalerte"> 2.4 Données des signalements de lanceurs d’alerte <a href="#24-donn%c3%a9es-des-signalements-de-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Lorsqu’un lanceur d’alerte soumet un signalement via le portail d’une organisation, nous collectons :</p> <ul> <li>Description du signalement, catégorie et source</li> <li>Nom et coordonnées du signalant (si fournis volontairement)</li> <li>Messages échangés entre le signalant et l’organisation</li> </ul> <p>Les descriptions des signalements, les noms des signalants, leurs coordonnées et le contenu des messages sont <strong>chiffrés dans la base de données</strong> à l’aide d’un chiffrement au niveau applicatif. Les adresses IP dès lanceurs d’alerte sont <strong>anonymisées</strong> par un hachage unidirectionnel et ne sont jamais stockées sous leur forme originale. Les journaux du serveur pour les routes du portail sont <strong>expurgés</strong> des adresses IP afin de protéger l’identité dès lanceurs d’alerte.</p> <h2 id="3-comment-nous-utilisons-vos-informations"> 3. Comment nous utilisons vos informations <a href="#3-comment-nous-utilisons-vos-informations" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous utilisons les informations collectées pour :</p> <ul> <li><strong>Fournir le Service</strong> — créer et gérer votre compte</li> <li><strong>Traiter les paiements</strong> — gérer les abonnements via Stripe</li> <li><strong>Envoyer des notifications</strong> — fournir des notifications dans l’application et par e-mail concernant l’activité du compte</li> <li><strong>Maintenir la sécurité</strong> — détecter et prévenir la fraude, les abus et les accès non autorisés</li> <li><strong>Améliorer le Service</strong> — diagnostiquer les problèmes techniques et améliorer les fonctionnalités</li> </ul> <p>Nous ne vendons <strong>pas</strong> vos données personnelles. Nous n’utilisons <strong>pas</strong> vos données à des fins publicitaires.</p> <h2 id="4-services-tiers"> 4. Services tiers <a href="#4-services-tiers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous partageons des données avec les services tiers suivants, uniquement dans la mesure nécessaire à la fourniture du Service :</p> <table> <thead> <tr> <th>Service</th> <th>Objectif</th> <th>Données partagées</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Traitement des paiements</td> <td>E-mail, informations de paiement (collectées directement par Stripe)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Hébergement de fichiers (avatars, pièces jointes)</td> <td>Fichiers téléchargés</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Envoi d’e-mails transactionnels</td> <td>Adresse e-mail, contenu des e-mails</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Analyse web respectueuse de la vie privée</td> <td>Pages vues, provenance, type de navigateur, pays (anonyme, sans cookies, sans données personnelles)</td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Suivi des erreurs et supervision de performance applicative</td> <td>Détails des erreurs, contexte de la requête (URL, adresse IP, type de navigateur) — aucune donnée personnelle n’est intentionnellement collectée</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Chat d’assistance en direct</td> <td>Adresse e-mail, nom, messages de chat, type de navigateur, pages visitées. Crisp est basé en France (UE). Voir la <a href="https://crisp.chat/fr/privacy/" rel="nofollow">politique de confidentialité de Crisp</a> </td> </tr> </tbody> </table> <p>Chaque service tiers est régi par sa propre politique de confidentialité. Nous vous encourageons à les consulter.</p> <h2 id="5-cookies"> 5. Cookies <a href="#5-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous utilisons les cookies suivants :</p> <table> <thead> <tr> <th>Cookie</th> <th>Objectif</th> <th>Durée</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Gestion de session (authentification)</td> <td>2 ans</td> </tr> <tr> <td><code>session_token</code></td> <td>Identifiant de session signé pour la connexion persistante</td> <td>La session côté serveur expire après 14 jours d’inactivité</td> </tr> <tr> <td><code>locale</code></td> <td>Stocke votre préférence de langue</td> <td>1 an</td> </tr> </tbody> </table> <p>Un cookie temporaire <code>pending_authentication_token</code> (15 minutes) est utilisé pendant le processus de connexion par lien magique.</p> <p>Le chat en direct Crisp peut définir ses propres cookies (par ex. <code>crisp-client/*</code>) lorsque les gestionnaires utilisent le chat d’assistance intégré. Ces cookies sont fonctionnels, ne sont pas utilisés à des fins publicitaires, et ne sont déposés qu’à l’intérieur du portail gestionnaire — pas sur le site de présentation ni sur le portail de signalement.</p> <p>Tous les cookies propriétaires sont définis avec les attributs <code>Secure</code> et <code>HttpOnly</code> en production. Nous n’utilisons <strong>pas</strong> de cookies de suivi tiers ni de cookies publicitaires. La protection CSRF est assurée par des jetons intégrés dans les formulaires HTML, et non par des cookies.</p> <h2 id="6-stockage-et-sécurité-des-données"> 6. Stockage et sécurité des données <a href="#6-stockage-et-s%c3%a9curit%c3%a9-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Emplacement des serveurs :</strong> Nos serveurs sont hébergés par Hetzner à Nuremberg, Allemagne (Union européenne)</li> <li><strong>Chiffrement en transit :</strong> Toutes les connexions utilisent HTTPS/TLS</li> <li><strong>Chiffrement au repos :</strong> Les données des signalements de lanceurs d’alerte (descriptions, noms des signalants, coordonnées, messages) sont chiffrées dans la base de données à l’aide d’Active Record Encryption</li> <li><strong>Authentification sans mot de passe :</strong> Nous utilisons des liens magiques — aucun mot de passe n’est stocké</li> <li><strong>Contrôle d’accès :</strong> L’accès à la base de données est restreint au personnel autorisé uniquement</li> </ul> <p>Bien que nous prenions des mesures raisonnables pour protéger vos données, aucune méthode de transmission ou de stockage n’est sécurisée à 100 %. Si vous découvrez une faille de sécurité, veuillez nous contacter à <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-conservation-des-données"> 7. Conservation des données <a href="#7-conservation-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Données de compte</strong> conservées tant que votre compte est actif</li> <li><strong>Données d’organisation</strong> conservées tant que votre organisation est active</li> <li><strong>Signalements de lanceurs d’alerte</strong> — les signalements clôturés ou rejetés sont automatiquement supprimés après <strong>60 mois (5 ans)</strong> conformément aux recommandations de conservation de la directive européenne sur les lanceurs d’alerte. Les signalements actifs et en cours sont conservés jusqu’à leur clôture</li> <li><strong>Journaux du serveur</strong> conservés pendant 90 jours maximum</li> <li><strong>Registres de paiement</strong> conservés conformément aux lois fiscales et comptables applicables</li> <li><strong>Journaux d’audit</strong> — les enregistrements indiquant qui a consulté les signalements et à quel moment sont conservés avec le signalement à des fins de conformité</li> </ul> <p>Lorsque vous supprimez votre compte, vos données personnelles sont définitivement supprimées de nos systèmes, sauf lorsque la conservation est exigée par la loi (par exemple, les registres financiers).</p> <h2 id="8-vos-droits-en-vertu-du-rgpd"> 8. Vos droits en vertu du RGPD <a href="#8-vos-droits-en-vertu-du-rgpd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Étant basés dans l’Union européenne, le Règlement général sur la protection des données (RGPD) s’applique. Vous avez le droit de :</p> <ul> <li><strong>Accès</strong> — demander une copie des données personnelles que nous détenons à votre sujet</li> <li><strong>Rectification</strong> — demander la correction de données inexactes</li> <li><strong>Effacement</strong> — demander la suppression de vos données (« droit à l’oubli »)</li> <li><strong>Limitation</strong> — demander que nous limitions le traitement de vos données</li> <li><strong>Portabilité des données</strong> — demander vos données dans un format structuré et lisible par machine</li> <li><strong>Opposition</strong> — vous opposer au traitement de vos données</li> <li><strong>Retrait du consentement</strong> — retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement</li> </ul> <p><strong>Comment exercer vos droits :</strong> Vous pouvez gérer la plupart de vos données directement depuis les paramètres de votre compte. Pour supprimer votre compte, rendez-vous sur la page des paramètres de votre compte. Pour toute autre demande, envoyez-nous un e-mail à <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Délégué à la protection des données :</strong> Les questions relatives à nos pratiques de protection des données peuvent être adressées à <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>Notre base juridique pour le traitement de vos données est :</p> <ul> <li><strong>Exécution du contrat</strong> — pour fournir le Service auquel vous vous êtes inscrit</li> <li><strong>Intérêt légitime</strong> — pour maintenir la sécurité et améliorer le Service</li> <li><strong>Consentement</strong> — pour les fonctionnalités optionnelles</li> </ul> <h2 id="9-suppression-du-compte-et-des-données"> 9. Suppression du compte et des données <a href="#9-suppression-du-compte-et-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Vous pouvez supprimer votre compte à tout moment depuis les paramètres de votre compte. La suppression du compte entraîne la suppression définitive de :</p> <ul> <li>Votre profil et les informations de votre compte</li> <li>Vos adhésions aux organisations</li> </ul> <h2 id="10-protection-des-données-des-mineurs"> 10. Protection des données des mineurs <a href="#10-protection-des-donn%c3%a9es-des-mineurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Le Service ne s’adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d’enfants de moins de 16 ans. Si vous pensez qu’un enfant de moins de 16 ans nous a fourni des données personnelles, veuillez nous contacter à <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> et nous les supprimerons.</p> <h2 id="11-transferts-internationaux-de-données"> 11. Transferts internationaux de données <a href="#11-transferts-internationaux-de-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les données centrales des signalements sont stockées sur des serveurs situés en Allemagne (UE). Le site de présentation est diffusé via Cloudflare (États-Unis) ; le portail de signalement et le portail des gestionnaires ne le sont pas. Lorsque des transferts vers un sous-traitant ultérieur hors UE ont lieu, ils sont décrits dans le <a href="/fr/dpa/">DPA</a> et sur la page <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> .</p> <h2 id="12-modifications-de-la-présente-politique"> 12. Modifications de la présente politique <a href="#12-modifications-de-la-pr%c3%a9sente-politique" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre. En cas de modifications substantielles, nous vous en informerons par e-mail ou par une notification dans l’application. La date de « Dernière mise à jour » en haut de cette page indique la date de la dernière révision.</p> <p>Votre utilisation continue du Service après la publication des modifications constitue votre acceptation de la politique mise à jour.</p> <h2 id="13-nous-contacter"> 13. Nous contacter <a href="#13-nous-contacter" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous avez des questions concernant cette politique de confidentialité ou souhaitez exercer vos droits relatifs à vos données, contactez-nous à :</p> <p><strong>Général :</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Confidentialité / droits RGPD :</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Délégué à la protection des données :</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Signalements de sécurité :</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Juridique / DPA :</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Localisation :</strong> Varsovie, Pologne</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/faq/Questions courantes sur EthicsPortal — conformité, anonymat, sécurité des données, facturation et détails techniques.<h1 id="questions-fréquentes"> Questions fréquentes <a href="#questions-fr%c3%a9quentes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <hr> <h2 id="pour-les-responsables-conformité-et-les-décideurs"> Pour les responsables conformité et les décideurs <a href="#pour-les-responsables-conformit%c3%a9-et-les-d%c3%a9cideurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="ethicsportal-est-il-conforme-à-la-directive-européenne-20191937-"> EthicsPortal est-il conforme à la Directive européenne 2019/1937 ? <a href="#ethicsportal-est-il-conforme-%c3%a0-la-directive-europ%c3%a9enne-20191937-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. EthicsPortal est spécifiquement conçu pour répondre aux exigences de la Directive européenne sur la protection dès lanceurs d’alerte. Cela inclut des canaux de signalement sécurisés, une communication bidirectionnelle anonyme, le suivi des délais (accusé de réception sous 7 jours, retour sous 3 mois), les contrôles d’accès, les politiques de conservation des données et un journal d’audit complet. Consultez la <a href="/fr/directive-coverage/">page conformité</a> pour un détail article par article.</p> <h3 id="dans-quels-pays-ethicsportal-est-il-conforme-"> Dans quels pays EthicsPortal est-il conforme ? <a href="#dans-quels-pays-ethicsportal-est-il-conforme-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal couvre les exigences de la Directive européenne 2019/1937, qui a été transposée en droit national dans les États membres de l’UE. La plateforme est conçue pour répondre aux exigences de base de la Directive, applicables dans toute l’UE. Si votre pays a des exigences nationales supplémentaires (par exemple, la Loi Waserman en France), consultez nos <a href="/fr/whistleblower-laws/">guides par pays</a> ou <a href="mailto:support@ethicsportal.eu">contactez-nous</a> .</p> <h3 id="pouvons-nous-exploiter-le-canal-de-signalement-en-interne-"> Pouvons-nous exploiter le canal de signalement en interne ? <a href="#pouvons-nous-exploiter-le-canal-de-signalement-en-interne-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui — l’article 8(5) de la Directive 2019/1937 l’autorise explicitement. Mais satisfaire les conditions de la Directive est structurellement plus difficile en interne.</p> <p>L’article 9(1) exige la confidentialité de l’identité du lanceur d’alerte, un suivi impartial et un accès restreint aux signalements. Un canal interne fait passer ces trois exigences par les mêmes administrateurs informatiques, sauvegardes et outils de conservation à des fins de contentieux qui touchent tous les autres systèmes de l’entreprise. Un sous-domaine ou une boîte de réception distincts ne changent pas qui a accès.</p> <p>Le RGPD ajoute un second problème. Le signalement figure sur la liste des traitements soumis à AIPD obligatoire publiée par le CEPD. Une AIPD interne doit documenter comment le responsable du traitement s’empêche lui-même d’accéder aux données qui le concernent — ce qui est circulaire en soi.</p> <p>L’exploitation externe est prévue à l’art. 8(5) et dans les transpositions nationales : Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="où-sont-stockées-mes-données-"> Où sont stockées mes données ? <a href="#o%c3%b9-sont-stock%c3%a9es-mes-donn%c3%a9es-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les données centrales des signalements sont stockées sur des serveurs Hetzner à Nuremberg, en Allemagne. Le site de présentation est diffusé via Cloudflare (États-Unis) ; le portail de signalement et le portail des gestionnaires ne le sont pas. Hetzner est un hébergeur allemand soumis àu droit européen de la protection des données, et les garanties de transfert sont décrites dans le <a href="/fr/dpa/">DPA</a> et la page <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> .</p> <h3 id="le-signalement-est-il-vraiment-anonyme-"> Le signalement est-il vraiment anonyme ? <a href="#le-signalement-est-il-vraiment-anonyme-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui, si le lanceur d’alerte le souhaite. Fournir un nom ou des coordonnées est facultatif. EthicsPortal ne journalise pas les adresses IP, supprime les métadonnées des fichiers (EXIF, GPS, informations sur l’auteur) des pièces jointes, et le fil de messages sécurisé ne révèle jamais l’identité du gestionnaire de dossier au lanceur d’alerte. Il n’existe aucun mécanisme technique pour remonter d’un signalement anonyme à une personne.</p> <h3 id="comment-fonctionne-le-suivi-des-délais-de-7-jours-et-3-mois-"> Comment fonctionne le suivi des délais de 7 jours et 3 mois ? <a href="#comment-fonctionne-le-suivi-des-d%c3%a9lais-de-7-jours-et-3-mois-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Lorsqu’un signalement est soumis, EthicsPortal démarre automatiquement deux minuteries basées sur les exigences de la Directive :</p> <ul> <li><strong>7 jours</strong> pour accuser réception du signalement.</li> <li><strong>3 mois</strong> pour fournir un retour substantiel au lanceur d’alerte.</li> </ul> <p>Les signalements en retard sont signalés dans le tableau de bord, et les gestionnaires reçoivent des notifications à l’approche des échéances.</p> <h3 id="proposez-vous-un-accord-de-traitement-des-données-dpa-"> Proposez-vous un accord de traitement des données (DPA) ? <a href="#proposez-vous-un-accord-de-traitement-des-donn%c3%a9es-dpa-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Le DPA en vigueur est publié sur la page <a href="/fr/dpa/">DPA</a> , et une version contresignée est disponible sur demande.</p> <h3 id="quelles-certifications-détenez-vous-"> Quelles certifications détenez-vous ? <a href="#quelles-certifications-d%c3%a9tenez-vous-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal ne revendique actuellement sur ce site ni certification ISO 27001, ni SOC 2, ni certification équivalente. Nous documentons publiquement la posture de sécurité actuelle, les sous-traitants ultérieurs, la divulgation des incidents et les engagements de service sur les pages <a href="/fr/security/">sécurité</a> , <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> , <a href="/fr/incidents/">registre des incidents</a> et <a href="/fr/sla/">SLA</a> .</p> <h3 id="quelle-est-la-partie-contractante-"> Quelle est la partie contractante ? <a href="#quelle-est-la-partie-contractante-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal est exploité par Yaroslav Shmarov, immatriculé en Pologne. Les informations de base sur la partie contractante et le dossier achats sont publiées sur la page <a href="/fr/trust/">confiance</a> .</p> <h3 id="pouvez-vous-fournir-un-dossier-pour-notre-service-achats-"> Pouvez-vous fournir un dossier pour notre service achats ? <a href="#pouvez-vous-fournir-un-dossier-pour-notre-service-achats-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Les pièces publiques de diligence raisonnable sont publiées sur le site, et des pièces complémentaires sont disponibles sur demande pendant l’évaluation. Voir <a href="/fr/trust/">confiance</a> .</p> <h3 id="puis-je-exporter-les-données-dun-dossier-pour-les-auditeurs-"> Puis-je exporter les données d’un dossier pour les auditeurs ? <a href="#puis-je-exporter-les-donn%c3%a9es-dun-dossier-pour-les-auditeurs-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Chaque signalement peut être exporté en PDF, incluant l’historique complet des messages, la chronologie et le journal d’audit. Cela est conçu pour le partage avec un conseil juridique, des auditeurs ou des régulateurs. Si vous avez besoin d’un format de portabilité supplémentaire pour une migration ou un examen réglementaire, contactez-nous pendant l’évaluation ou au moment de la résiliation.</p> <hr> <h2 id="pour-les-employés-et-les-lanceurs-dalerte"> Pour les employés et les lanceurs d’alerte <a href="#pour-les-employ%c3%a9s-et-les-lanceurs-dalerte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="dois-je-créer-un-compte-pour-soumettre-un-signalement-"> Dois-je créer un compte pour soumettre un signalement ? <a href="#dois-je-cr%c3%a9er-un-compte-pour-soumettre-un-signalement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non. Vous n’avez besoin ni d’un compte, ni d’une adresse e-mail, ni d’aucune information personnelle. Vous accédez au lien du portail, remplissez le signalement, choisissez un code secret à 6 chiffres et recevez un code d’accès. C’est tout.</p> <h3 id="mon-employeur-peut-il-découvrir-qui-je-suis-"> Mon employeur peut-il découvrir qui je suis ? <a href="#mon-employeur-peut-il-d%c3%a9couvrir-qui-je-suis-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Pas via EthicsPortal. Si vous choisissez de soumettre de manière anonyme (sans fournir votre nom ni vos coordonnées), il n’y a aucun moyen pour votre employeur de vous identifier via la plateforme. EthicsPortal ne journalise pas votre adresse IP et supprime les métadonnées d’identification de tout fichier que vous téléchargez.</p> <p>Cela dit, soyez attentif à ce que vous écrivez — si votre signalement contient des détails que vous seul pourriez connaître, cela échappe au contrôle de la plateforme.</p> <h3 id="comment-consulter-mon-signalement-"> Comment consulter mon signalement ? <a href="#comment-consulter-mon-signalement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Il vous faut deux éléments : le code d’accès (au format <code>WB-XXXX-XXXX</code>) affiché après la soumission, et le code secret à 6 chiffres que vous avez choisi. Retournez sur le portail à tout moment, saisissez les deux, et consultez le statut actuel ou échangez des messages avec le gestionnaire du dossier. Conservez le code d’accès en lieu sûr et mémorisez le code secret — nous ne pouvons pas le récupérer et les deux sont nécessaires.</p> <h3 id="puis-je-joindre-des-fichiers-à-mon-signalement-"> Puis-je joindre des fichiers à mon signalement ? <a href="#puis-je-joindre-des-fichiers-%c3%a0-mon-signalement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Vous pouvez télécharger des images, des PDF, des vidéos et des fichiers audio jusqu’à 100 Mo chacun. Toutes les métadonnées des fichiers (données de localisation, informations sur l’auteur, détails de l’appareil photo) sont automatiquement supprimées avant le stockage pour protéger votre identité.</p> <h3 id="puis-je-communiquer-anonymement-avec-le-gestionnaire-du-dossier-"> Puis-je communiquer anonymement avec le gestionnaire du dossier ? <a href="#puis-je-communiquer-anonymement-avec-le-gestionnaire-du-dossier-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Le fil de messages intégré est entièrement anonyme. Vous voyez « Gestionnaire du dossier » — jamais un nom réel. Le gestionnaire voit vos messages mais n’a aucun moyen de vous identifier, sauf si vous choisissez de partager cette information vous-même.</p> <h3 id="que-se-passe-t-il-après-avoir-soumis-un-signalement-"> Que se passe-t-il après avoir soumis un signalement ? <a href="#que-se-passe-t-il-apr%c3%a8s-avoir-soumis-un-signalement-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Votre signalement est reçu par le gestionnaire de dossier désigné par l’organisation. Conformément au droit européen, celui-ci doit accuser réception dans un délai de 7 jours et fournir un retour substantiel dans un délai de 3 mois. Vous pouvez consulter le statut à tout moment à l’aide de votre code d’accès et de votre code secret.</p> <hr> <h2 id="pour-les-équipes-informatiques-et-techniques"> Pour les équipes informatiques et techniques <a href="#pour-les-%c3%a9quipes-informatiques-et-techniques" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="quel-chiffrement-utilisez-vous-"> Quel chiffrement utilisez-vous ? <a href="#quel-chiffrement-utilisez-vous-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Toutes les données sensibles des signalements sont chiffrées au repos dans la base de données. Toutes les connexions utilisent TLS (HTTPS). Les fichiers joints sont stockés de manière chiffrée sur une infrastructure hébergée dans l’UE.</p> <h3 id="supprimez-vous-les-métadonnées-des-fichiers-"> Supprimez-vous les métadonnées des fichiers ? <a href="#supprimez-vous-les-m%c3%a9tadonn%c3%a9es-des-fichiers-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Les données EXIF, les coordonnées GPS, les informations sur l’auteur et les autres métadonnées sont automatiquement supprimées de tous les fichiers téléchargés avant le stockage. Cela empêche la divulgation accidentelle d’identité par les propriétés des fichiers.</p> <h3 id="analysez-vous-les-fichiers-téléchargés-pour-détecter-les-virus-"> Analysez-vous les fichiers téléchargés pour détecter les virus ? <a href="#analysez-vous-les-fichiers-t%c3%a9l%c3%a9charg%c3%a9s-pour-d%c3%a9tecter-les-virus-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Tous les fichiers téléchargés sont analysés à la recherche de logiciels malveillants à l’aide de ClamAV, un moteur antivirus open source. L’analyse s’effectué côté serveur — aucune donnée de fichier n’est envoyée à des services externes. Les fichiers infectés sont supprimés automatiquement avant que les gestionnaires de dossiers puissent y accéder.</p> <h3 id="journalisez-vous-les-adresses-ip-"> Journalisez-vous les adresses IP ? <a href="#journalisez-vous-les-adresses-ip-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non. EthicsPortal ne stocke pas l’adresse IP du lanceur d’alerte dans les journaux applicatifs ni dans la base de données. C’est une décision de conception délibérée pour protéger l’anonymat dès lanceurs d’alerte.</p> <h3 id="quels-services-tiers-utilisez-vous-"> Quels services tiers utilisez-vous ? <a href="#quels-services-tiers-utilisez-vous-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Allemagne) — hébergement des serveurs</li> <li><strong>Stripe</strong> — traitement des paiements</li> <li><strong>Mailjet</strong> (France) — envoi d’e-mails transactionnels</li> </ul> <p>Aucun traceur analytique, aucun réseau publicitaire, aucun cookie tiers sur le portail de signalement.</p> <h3 id="disposez-vous-dune-api-"> Disposez-vous d’une API ? <a href="#disposez-vous-dune-api-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non disponible actuellement. <a href="mailto:support@ethicsportal.eu">Contactez-nous</a> si l’accès API est une exigence pour votre organisation.</p> <h3 id="prenez-vous-en-charge-les-domaines-personnalisés-"> Prenez-vous en charge les domaines personnalisés ? <a href="#prenez-vous-en-charge-les-domaines-personnalis%c3%a9s-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non disponible actuellement. Tous les portails sont servis sous le domaine EthicsPortal.</p> <h3 id="prenez-vous-en-charge-le-sso-"> Prenez-vous en charge le SSO ? <a href="#prenez-vous-en-charge-le-sso-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non disponible actuellement. Les utilisateurs se connectent via lien magique (authentification sans mot de passe par e-mail).</p> <hr> <h2 id="facturation"> Facturation <a href="#facturation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="combien-coûte-ethicsportal-"> Combien coûte EthicsPortal ? <a href="#combien-co%c3%bbte-ethicsportal-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>49 €/mois</strong>, forfait fixe. Une seule formule, tout inclus. Pas de frais par utilisateur, pas de frais par signalement, pas de paliers de fonctionnalités.</p> <h3 id="y-a-t-il-un-essai-gratuit-"> Y a-t-il un essai gratuit ? <a href="#y-a-t-il-un-essai-gratuit-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Non — créez votre compte, choisissez votre formule, et votre portail est opérationnel en moins de 10 minutes. 49 €/mois ou 490 €/an. Résiliable à tout moment.</p> <h3 id="puis-je-annuler-à-tout-moment-"> Puis-je annuler à tout moment ? <a href="#puis-je-annuler-%c3%a0-tout-moment-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Oui. Annulez depuis les paramètres de votre compte à tout moment. Pas de contrat, pas de frais d’annulation, pas d’appel téléphonique requis.</p> <h3 id="quels-modes-de-paiement-acceptez-vous-"> Quels modes de paiement acceptez-vous ? <a href="#quels-modes-de-paiement-acceptez-vous-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Cartes de crédit et de débit via Stripe. Si vous devez payer par facture ou virement bancaire, envoyez un e-mail à <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="vous-avez-encore-une-question-"> Vous avez encore une question ? <a href="#vous-avez-encore-une-question-" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Envoyez un e-mail à <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Vous recevrez une réponse dans un délai d’un jour ouvré.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/en-301-549-conformance/Auto-évaluation de conformité, clause par clause, d'EthicsPortal au regard d'EN 301 549 V3.2.3 et des WCAG 2.2 niveau AA.<h1 id="rapport-de-conformité-en-301-549"> Rapport de conformité EN 301 549 <a href="#rapport-de-conformit%c3%a9-en-301-549" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Ce rapport est une auto-évaluation structurée d’EthicsPortal au regard des exigences d’accessibilité d’<strong>EN 301 549 V3.2.3</strong> (et, par voie de conséquence, des <strong>WCAG 2.2 niveau AA</strong>). Il est destiné aux acheteurs publics qui ont besoin d’une réponse clause par clause au-delà de la <a href="/accessibility/">déclaration d’accessibilité</a> .</p> <table> <thead> <tr> <th>Champ</th> <th>Valeur</th> </tr> </thead> <tbody> <tr> <td>Produit</td> <td>EthicsPortal — plateforme européenne de conformité pour les signalements</td> </tr> <tr> <td>Version du produit</td> <td>Déploiement continu ; ce rapport décrit l’état à la date de préparation</td> </tr> <tr> <td>Norme</td> <td>EN 301 549 V3.2.3 (intégrant WCAG 2.2 niveau AA)</td> </tr> <tr> <td>Approche de conformité</td> <td>Auto-évaluation</td> </tr> <tr> <td>Date de préparation</td> <td>14 mai 2026</td> </tr> <tr> <td>Prochaine revue</td> <td>Août 2026 (trimestrielle)</td> </tr> <tr> <td>Contact</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Une copie PDF de ce rapport peut être fournie pour les marchés publics sur demande.</p> <h2 id="périmètre"> Périmètre <a href="#p%c3%a9rim%c3%a8tre" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Ce rapport couvre trois surfaces de déploiement :</p> <ol> <li><strong>Application web</strong> — <code>secure.ethicsportal.eu</code>, l’interface authentifiée des gestionnaires de cas</li> <li><strong>Portails publics de signalement</strong> — <code>*.ethicsportal.eu</code>, la soumission et le suivi côté lanceur d’alerte</li> <li><strong>Site marketing</strong> — <code>ethicsportal.eu</code>, le site public rendu par Hugo (incluant cette page)</li> </ol> <p>Il couvre également les documents téléchargeables et les services de support fournis via ces surfaces.</p> <p>EthicsPortal est un produit SaaS basé sur le web. Il ne fournit pas d’applications mobiles natives, de matériel kiosque, de TIC vocales bidirectionnelles, de sortie vidéo pour médias ni de texte temps réel. Les clauses 6, 7, 8 et 13 d’EN 301 549 sont par conséquent largement <strong>non applicables</strong>.</p> <h2 id="synthèse"> Synthèse <a href="#synth%c3%a8se" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Domaine</th> <th>Statut</th> </tr> </thead> <tbody> <tr> <td>§5 Exigences génériques</td> <td>Conforme, avec exceptions notées au §5.4</td> </tr> <tr> <td>§6 TIC avec communication vocale bidirectionnelle</td> <td>Non applicable</td> </tr> <tr> <td>§7 TIC avec capacités vidéo</td> <td>Non applicable</td> </tr> <tr> <td>§8 Matériel</td> <td>Non applicable</td> </tr> <tr> <td>§9 Web</td> <td>Partiellement conforme (voir détails §9)</td> </tr> <tr> <td>§10 Documents non-web</td> <td>Non conforme — voir §10.1</td> </tr> <tr> <td>§11 Logiciels</td> <td>Partiellement conforme (voir détails §11)</td> </tr> <tr> <td>§12 Documentation et services de support</td> <td>Conforme</td> </tr> <tr> <td>§13 TIC fournissant un accès aux services de relais ou d’urgence</td> <td>Non applicable</td> </tr> </tbody> </table> <h2 id="évaluation-clause-par-clause"> Évaluation clause par clause <a href="#%c3%a9valuation-clause-par-clause" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="5-exigences-génériques"> §5 Exigences génériques <a href="#5-exigences-g%c3%a9n%c3%a9riques" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Clause</th> <th>Exigence</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Activation des fonctionnalités d’accessibilité</td> <td>Conforme</td> <td>La plateforme expose les fonctionnalités d’accessibilité via HTML et ARIA standard. Aucune étape d’activation propriétaire n’est requise</td> </tr> <tr> <td>5.2</td> <td>Activation des fonctionnalités d’accessibilité</td> <td>Conforme</td> <td>Les réglages au niveau du navigateur et du système d’exploitation (zoom, contraste, mouvement réduit, lecteur d’écran) sont respectés</td> </tr> <tr> <td>5.3</td> <td>Biométrie</td> <td>Non applicable</td> <td>L’authentification se fait par lien magique ou code à usage unique avec TOTP optionnel ; aucune entrée biométrique n’est requise</td> </tr> <tr> <td>5.4</td> <td>Préservation des informations d’accessibilité lors de la conversion</td> <td>Partiellement conforme</td> <td>Le contenu applicatif préserve les informations d’accessibilité ; les exports PDF ne le font pas (voir §10.1)</td> </tr> <tr> <td>5.5</td> <td>Parties opérables</td> <td>Conforme</td> <td>Tous les éléments interactifs sont opérables au clavier et au pointeur ; la taille de cible respecte §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Statut de verrouillage ou de bascule</td> <td>Conforme</td> <td>Les états de bascule sont exposés via <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Répétition de touche</td> <td>Non applicable</td> <td>Le logiciel ne configure pas la répétition de touche système</td> </tr> <tr> <td>5.8</td> <td>Acceptation des doubles frappes</td> <td>Non applicable</td> <td>Le logiciel ne configure pas l’acceptation des frappes système</td> </tr> <tr> <td>5.9</td> <td>Actions utilisateur simultanées</td> <td>Conforme</td> <td>Aucune interaction ne nécessite d’actions utilisateur simultanées</td> </tr> </tbody> </table> <h3 id="9-web-intègre-wcag-22-niveaux-a-et-aa"> §9 Web (intègre WCAG 2.2 niveaux A et AA) <a href="#9-web-int%c3%a8gre-wcag-22-niveaux-a-et-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal vise WCAG 2.2 niveau AA. Les nouveaux critères ajoutés en WCAG 2.2 sont rapportés individuellement afin que les évaluateurs puissent confirmer la couverture au-delà de WCAG 2.1.</p> <p><strong>Principe 1 — Perceptible</strong></p> <table> <thead> <tr> <th>CS</th> <th>Titre</th> <th>Niveau</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Contenu non textuel</td> <td>A</td> <td>Conforme</td> <td>Les images et icônes SVG ont un texte alternatif ou sont marquées décoratives. Les boutons à icône seule portent un <code>aria-label</code>. Le statut transmis par icône seule possède un équivalent texte <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Média temporel</td> <td>A/AA</td> <td>Non applicable</td> <td>Aucun contenu audio ou vidéo</td> </tr> <tr> <td>1.3.1</td> <td>Information et relations</td> <td>A</td> <td>Conforme</td> <td>HTML sémantique ; les tableaux utilisent <code><th scope></code> ; les formulaires utilisent <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Séquence logique</td> <td>A</td> <td>Conforme</td> <td>L’ordre du DOM correspond à l’ordre visuel</td> </tr> <tr> <td>1.3.3</td> <td>Caractéristiques sensorielles</td> <td>A</td> <td>Conforme</td> <td>Les instructions ne reposent pas uniquement sur la forme, la taille ou la position</td> </tr> <tr> <td>1.3.4</td> <td>Orientation</td> <td>AA</td> <td>Conforme</td> <td>La mise en page fonctionne en portrait et en paysage</td> </tr> <tr> <td>1.3.5</td> <td>Identifier l’objet de la saisie</td> <td>AA</td> <td>Conforme</td> <td>Les champs correspondant à un objet WCAG utilisent <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Utilisation de la couleur</td> <td>A</td> <td>Conforme</td> <td>La couleur n’est jamais le seul signal — toujours associée à du texte ou des icônes</td> </tr> <tr> <td>1.4.3</td> <td>Contraste (minimum)</td> <td>AA</td> <td>Conforme</td> <td>Corps de texte ≥ 4,5:1, texte large ≥ 3:1, audité en interne</td> </tr> <tr> <td>1.4.4</td> <td>Redimensionner le texte</td> <td>AA</td> <td>Conforme</td> <td>La mise en page reflowe à 200 % de zoom sans perte de contenu</td> </tr> <tr> <td>1.4.5</td> <td>Texte sous forme d’image</td> <td>AA</td> <td>Conforme</td> <td>Le logo de marque est la seule image de texte ; toutes les étiquettes d’IU sont en HTML</td> </tr> <tr> <td>1.4.10</td> <td>Reflow</td> <td>AA</td> <td>Conforme</td> <td>Reflowe à 320 pixels CSS de largeur (tableaux et blocs de code exclus comme permis)</td> </tr> <tr> <td>1.4.11</td> <td>Contraste non textuel</td> <td>AA</td> <td>Conforme</td> <td>Les composants d’IU et objets graphiques atteignent 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Espacement du texte</td> <td>AA</td> <td>Conforme</td> <td>Les surcharges utilisateur d’espacement ne cassent pas la mise en page</td> </tr> <tr> <td>1.4.13</td> <td>Contenu au survol ou au focus</td> <td>AA</td> <td>Conforme</td> <td>Les info-bulles sont dismissibles (Échap), hoverables et persistantes jusqu’à la perte de focus de l’élément déclencheur</td> </tr> </tbody> </table> <p><strong>Principe 2 — Utilisable</strong></p> <table> <thead> <tr> <th>CS</th> <th>Titre</th> <th>Niveau</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Clavier</td> <td>A</td> <td>Conforme</td> <td>Toutes les fonctionnalités sont opérables au clavier</td> </tr> <tr> <td>2.1.2</td> <td>Pas de piège au clavier</td> <td>A</td> <td>Conforme</td> <td>Les modales ne capturent le focus qu’ouvertes et le restaurent à la fermeture</td> </tr> <tr> <td>2.1.4</td> <td>Raccourcis à un seul caractère</td> <td>A</td> <td>Non applicable</td> <td>Aucun raccourci à un seul caractère implémenté</td> </tr> <tr> <td>2.2.1</td> <td>Délai modulable</td> <td>A</td> <td>Conforme</td> <td>Le délai d’inactivité de session est de 30 jours, satisfaisant l’exception de 20 heures</td> </tr> <tr> <td>2.2.2</td> <td>Mettre en pause, arrêter, masquer</td> <td>A</td> <td>Conforme</td> <td>Aucun contenu se mettant à jour automatiquement ne bouge, ne clignote ou ne défile plus de 5 secondes sans contrôle de pause</td> </tr> <tr> <td>2.3.1</td> <td>Pas plus de trois flashs</td> <td>A</td> <td>Conforme</td> <td>Aucun contenu clignotant</td> </tr> <tr> <td>2.4.1</td> <td>Contourner des blocs</td> <td>A</td> <td>Conforme</td> <td>Lien d’évitement vers le contenu principal présent sur chaque gabarit</td> </tr> <tr> <td>2.4.2</td> <td>Titre de page</td> <td>A</td> <td>Conforme</td> <td>Chaque page a un <code><title></code> localisé et descriptif</td> </tr> <tr> <td>2.4.3</td> <td>Ordre de focus</td> <td>A</td> <td>Conforme</td> <td>Le focus suit l’ordre du DOM</td> </tr> <tr> <td>2.4.4</td> <td>Fonction du lien (selon le contexte)</td> <td>A</td> <td>Conforme</td> <td>Le texte des liens décrit la destination</td> </tr> <tr> <td>2.4.5</td> <td>Accès multiples</td> <td>AA</td> <td>Conforme</td> <td>Recherche, navigation et fil d’Ariane disponibles</td> </tr> <tr> <td>2.4.6</td> <td>En-têtes et étiquettes</td> <td>AA</td> <td>Conforme</td> <td>Un seul <code><h1></code> par page ; les en-têtes descendent sans saut</td> </tr> <tr> <td>2.4.7</td> <td>Visibilité du focus</td> <td>AA</td> <td>Conforme</td> <td><code>:focus-visible</code> activé globalement ; les anneaux de focus ne sont pas désactivés</td> </tr> <tr> <td>2.4.11</td> <td>Focus non masqué (minimum)</td> <td>AA <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>Les éléments focalisés ne sont pas entièrement recouverts par des en-têtes sticky ou d’autres contenus auteur</td> </tr> <tr> <td>2.5.1</td> <td>Gestes de pointeur</td> <td>A</td> <td>Conforme</td> <td>Aucun geste multipoint ou par chemin requis</td> </tr> <tr> <td>2.5.2</td> <td>Annulation de pointeur</td> <td>A</td> <td>Conforme</td> <td>Toutes les actions de clic se complètent au <code>up-event</code></td> </tr> <tr> <td>2.5.3</td> <td>Étiquette dans le nom</td> <td>A</td> <td>Conforme</td> <td>Les noms accessibles contiennent l’étiquette visible</td> </tr> <tr> <td>2.5.4</td> <td>Activation par le mouvement</td> <td>A</td> <td>Non applicable</td> <td>Aucune entrée par mouvement de l’appareil</td> </tr> <tr> <td>2.5.7</td> <td>Mouvements de glissement</td> <td>AA <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>Aucun flux exclusivement par glisser ; les téléversements acceptent des alternatives clic et clavier</td> </tr> <tr> <td>2.5.8</td> <td>Taille de cible (minimum)</td> <td>AA <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>Cibles interactives ≥ 24×24 px CSS</td> </tr> </tbody> </table> <p><strong>Principe 3 — Compréhensible</strong></p> <table> <thead> <tr> <th>CS</th> <th>Titre</th> <th>Niveau</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Langue de la page</td> <td>A</td> <td>Partiellement conforme</td> <td>Les pages de l’application et du portail définissent <code><html lang></code> sur la locale active. Les pages d’erreur statiques de repli sont uniquement en anglais — voir <a href="/fr/accessibility/#contenu-non-accessible">déclaration d’accessibilité</a> </td> </tr> <tr> <td>3.1.2</td> <td>Langue des parties</td> <td>AA</td> <td>Conforme</td> <td>Les chaînes en langue étrangère intégrées utilisent des attributs <code>lang</code> lorsque nécessaire</td> </tr> <tr> <td>3.2.1</td> <td>Au focus</td> <td>A</td> <td>Conforme</td> <td>Le focus ne déclenche pas de changement de contexte</td> </tr> <tr> <td>3.2.2</td> <td>À la saisie</td> <td>A</td> <td>Conforme</td> <td>La saisie ne déclenche pas de changement de contexte sans avertissement</td> </tr> <tr> <td>3.2.3</td> <td>Navigation cohérente</td> <td>AA</td> <td>Conforme</td> <td>L’ordre de navigation est cohérent dans toute l’application</td> </tr> <tr> <td>3.2.4</td> <td>Identification cohérente</td> <td>AA</td> <td>Conforme</td> <td>Les icônes et composants sont utilisés de manière cohérente</td> </tr> <tr> <td>3.2.6</td> <td>Aide cohérente</td> <td>A <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>Le contact support et les liens d’aide apparaissent au même endroit sur chaque page authentifiée (zone basse de la sidebar) et dans le pied du portail</td> </tr> <tr> <td>3.3.1</td> <td>Identification des erreurs</td> <td>A</td> <td>Conforme</td> <td>Les erreurs sont remontées via <code>role="alert"</code> et décrites à l’utilisateur</td> </tr> <tr> <td>3.3.2</td> <td>Étiquettes ou instructions</td> <td>A</td> <td>Conforme</td> <td>Les champs sont étiquetés ; les indices utilisent <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Suggestion sur erreur</td> <td>AA</td> <td>Conforme</td> <td>Les erreurs disent ce qui ne va pas et comment corriger</td> </tr> <tr> <td>3.3.4</td> <td>Prévention des erreurs (juridique, financier, données)</td> <td>AA</td> <td>Conforme</td> <td>Actions réversibles ou confirmation explicite pour les actions destructives</td> </tr> <tr> <td>3.3.7</td> <td>Saisie redondante</td> <td>A <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>Les informations déjà saisies (e-mail, organisation) sont pré-remplies lorsqu’elles sont à nouveau requises dans la même session</td> </tr> <tr> <td>3.3.8</td> <td>Authentification accessible (minimum)</td> <td>AA <em>(nouveau en 2.2)</em></td> <td>Conforme</td> <td>L’authentification utilise des liens magiques et des codes à usage unique pouvant être collés ; aucun test de fonction cognitive n’est requis</td> </tr> </tbody> </table> <p><strong>Principe 4 — Robuste</strong></p> <table> <thead> <tr> <th>CS</th> <th>Titre</th> <th>Niveau</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Nom, rôle, valeur</td> <td>A</td> <td>Conforme</td> <td>Les contrôles exposent nom, rôle et état</td> </tr> <tr> <td>4.1.3</td> <td>Messages d’état</td> <td>AA</td> <td>Conforme</td> <td>Les messages flash, notifications et résultats asynchrones utilisent des régions <code>aria-live</code></td> </tr> </tbody> </table> <h3 id="10-documents-non-web"> §10 Documents non-web <a href="#10-documents-non-web" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Clause</th> <th>Exigence</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Documents non-web (PDF)</td> <td>Non conforme</td> <td>Les rapports de conformité, certificats, modèles de politique, affiches, le manuel gestionnaire et les exports de dossier sont produits sous forme de PDF non balisés. Des alternatives HTML accessibles sont disponibles sur demande via <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Une chaîne PDF balisée est sur la feuille de route.</td> </tr> <tr> <td>10.2</td> <td>Modèles de politique DOCX</td> <td>Partiellement conforme</td> <td>Les fichiers DOCX générés (politique d’alerte, avis de confidentialité) portent leur structure mais n’ont pas été audités au regard des attentes équivalentes à PDF/UA pour les documents éditables. Des alternatives HTML sont disponibles sur demande.</td> </tr> </tbody> </table> <h3 id="11-logiciels"> §11 Logiciels <a href="#11-logiciels" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’application web se qualifie comme logiciel au sens du §11. Le §11 intègre WCAG (évalué ci-dessus au §9) auquel s’ajoutent des clauses spécifiques aux logiciels :</p> <table> <thead> <tr> <th>Clause</th> <th>Exigence</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interopérabilité avec les technologies d’assistance</td> <td>Conforme</td> <td>Construit sur HTML sémantique et ARIA ; testé avec VoiceOver, NVDA et la navigation clavier des plateformes</td> </tr> <tr> <td>11.6</td> <td>Usage accessible documenté</td> <td>Conforme</td> <td>Cette page et la <a href="/accessibility/">déclaration d’accessibilité</a> documentent les fonctionnalités d’accessibilité et les limitations connues</td> </tr> <tr> <td>11.7</td> <td>Préférences utilisateur</td> <td>Conforme</td> <td>Les préférences au niveau de l’OS (mouvement réduit, schéma de couleurs, mise à l’échelle du texte) sont respectées</td> </tr> <tr> <td>11.8</td> <td>Outils d’auteur</td> <td>Partiellement conforme</td> <td>L’interface gestionnaire est un outil d’auteur au sens du §11.8 puisque les gestionnaires créent des contenus consommés par les lanceurs d’alerte. Les téléversements de fichiers acceptent des descriptions ; les futures fonctionnalités d’édition riche seront évaluées au regard de <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-documentation-et-services-de-support"> §12 Documentation et services de support <a href="#12-documentation-et-services-de-support" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Clause</th> <th>Exigence</th> <th>Statut</th> <th>Notes</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Fonctionnalités d’accessibilité et de compatibilité</td> <td>Conforme</td> <td>Ce rapport et la <a href="/accessibility/">déclaration d’accessibilité</a> décrivent les technologies d’assistance et combinaisons de plateformes prises en charge</td> </tr> <tr> <td>12.1.2</td> <td>Documentation accessible</td> <td>Conforme</td> <td>La documentation est livrée sous forme de HTML sémantique sur le site marketing et via l’aide intégrée</td> </tr> <tr> <td>12.2.2</td> <td>Information sur les fonctionnalités d’accessibilité</td> <td>Conforme</td> <td>Le support et la déclaration publiée peuvent répondre aux questions d’accessibilité</td> </tr> <tr> <td>12.2.3</td> <td>Communication efficace</td> <td>Conforme</td> <td>Le canal de retour d’accessibilité est surveillé chaque jour ouvré ; accusé de réception sous 2 jours ouvrés</td> </tr> <tr> <td>12.2.4</td> <td>Documentation accessible (support)</td> <td>Partiellement conforme</td> <td>Les documents livrés en réponse aux demandes de support héritent du statut des artefacts sous-jacents — les PDF sont signalés ; des alternatives HTML sont disponibles</td> </tr> </tbody> </table> <h2 id="limitations-connues"> Limitations connues <a href="#limitations-connues" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les points ci-dessous sont suivis, pas masqués :</p> <ol> <li><strong>PDF non balisés.</strong> La plus grande lacune. Aujourd’hui atténuée par des alternatives HTML accessibles sur demande ; remplacement prévu par une chaîne PDF balisée ou HTML-canonique.</li> <li><strong>Pages d’erreur statiques en anglais uniquement.</strong> Rencontrées rarement ; la même information est présentée dans la langue de l’utilisateur à l’intérieur de l’application.</li> <li><strong>Intégrations tierces (Crisp, pages Stripe)</strong> hors de notre contrôle direct ; la documentation d’accessibilité des fournisseurs est revue chaque année.</li> </ol> <h2 id="méthodologie-de-test"> Méthodologie de test <a href="#m%c3%a9thodologie-de-test" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>L’auto-évaluation a combiné :</p> <ul> <li><strong>Automatisé</strong> : <code>axe-core-capybara</code> s’exécute sur les parcours du portail public (page d’accueil, soumission, consultation) en CI via <code>test/system/portal_accessibility_system_test.rb</code> ; toute violation fait échouer le build. L’extension de la couverture automatisée aux parcours authentifiés des gestionnaires est sur la feuille de route</li> <li><strong>Tests manuels au clavier</strong> sur le parcours de soumission, le flux de gestion, la gestion de compte et l’authentification</li> <li><strong>Passages au lecteur d’écran</strong> avec VoiceOver (macOS, Safari) et NVDA (Windows, Firefox) sur les mêmes parcours</li> <li><strong>Zoom 200 %</strong> vérification du reflow sur chaque gabarit à 1280×800</li> <li><strong>Mouvement réduit</strong> vérifié en activant la préférence OS</li> <li><strong>Simulation du daltonisme</strong> via Coblis</li> <li><strong>Revue de code</strong> au regard du <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">guide d’ingénierie accessibilité</a> interne</li> </ul> <h2 id="contact-et-retours"> Contact et retours <a href="#contact-et-retours" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Sujets d’accessibilité, demandes de formats alternatifs et questions de marchés publics :</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — surveillé chaque jour ouvré</li> <li>Voir la <a href="/accessibility/">déclaration d’accessibilité</a> pour la procédure complète de retour et de recours</li> </ul> <h2 id="normes-et-références"> Normes et références <a href="#normes-et-r%c3%a9f%c3%a9rences" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (version harmonisée)</li> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016L2102" rel="nofollow">Directive (UE) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L0882" rel="nofollow">Directive (UE) 2019/882</a> — Acte législatif européen sur l’accessibilité</li> <li><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32018D1523" rel="nofollow">Décision d’exécution (UE) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 niveau AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/incidents/Registre public des incidents matériels affectant les données à caractère personnel traitées par EthicsPortal. Tenu dans l'esprit de l'article 33 du RGPD et à titre de transparence institutionnelle.<h1 id="registre-des-incidents"> Registre des incidents <a href="#registre-des-incidents" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La présente page recense tout incident matériel affectant la confidentialité, l’intégrité ou la disponibilité des données à caractère personnel traitées par EthicsPortal. Elle est tenue dans l’esprit de l’article 33 du RGPD (notification d’une violation de données à caractère personnel) et à titre de transparence institutionnelle.</p> <p>Dernière mise à jour : 2026-04.</p> <hr> <h2 id="champ-dapplication"> Champ d’application <a href="#champ-dapplication" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Une entrée est créée pour l’un des cas suivants :</p> <ul> <li>Une violation de données à caractère personnel au sens de l’article 4, point 12, du RGPD — « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel, ou l’accès non autorisé à de telles données ».</li> <li>Une indisponibilité du service supérieure à deux heures àyant empêché les lanceurs d’alerte de soumettre des signalements ou les gestionnaires d’accéder aux dossiers actifs.</li> <li>Une vulnérabilité significative dans EthicsPortal ou chez un sous-traitant ayant nécessité une mesure d’urgence.</li> <li>Tout incident requérant une notification à une autorité de contrôle en vertu de l’article 33 du RGPD.</li> </ul> <p>Les interruptions de routine inférieures à deux heures, les fenêtres de maintenance planifiées et les incidents ne concernant pas de données à caractère personnel ne figurent pas ici.</p> <hr> <h2 id="calendrier-de-divulgation"> Calendrier de divulgation <a href="#calendrier-de-divulgation" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Dans les 72 heures</strong> suivant la prise de connaissance d’une violation — notification aux opérateurs concernés (responsables du traitement) par courrier électronique, conformément à l’article 33, §2, du RGPD.</li> <li><strong>Dans les 7 jours</strong> suivant le confinement — entrée préliminaire dans le présent registre avec résumé, catégories de données concernées et état des mesures d’atténuation.</li> <li><strong>Dans les 30 jours</strong> suivant le confinement — entrée finale avec cause racine, remédiation et leçons tirées.</li> </ul> <p>Les entrées restent publiques indéfiniment. Elles ne sont jamais modifiées pour en atténuer la portée ; les corrections sont ajoutées sous forme d’entrées ultérieures.</p> <hr> <h2 id="signaler-un-problème-de-sécurité"> Signaler un problème de sécurité <a href="#signaler-un-probl%c3%a8me-de-s%c3%a9curit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour signaler un problème de sécurité concernant EthicsPortal, écrivez à <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Les signalements chiffrés sont bienvenus ; clé PGP sur demande.</p> <hr> <h2 id="registre"> Registre <a href="#registre" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><em>Aucune entrée.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/penalties/Amendes et sanctions en cas de non-conformité à la directive européenne 2019/1937 dans chaque État membre. Mis à jour régulièrement avec les actions d'application.<h1 id="sanctions-de-la-directive-européenne-sur-les-lanceurs-dalerte-par-pays"> Sanctions de la directive européenne sur les lanceurs d’alerte par pays <a href="#sanctions-de-la-directive-europ%c3%a9enne-sur-les-lanceurs-dalerte-par-pays" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>La directive européenne 2019/1937 oblige toutes les entreprises de plus de 50 salariés à mettre en place des canaux internes de signalement pour les lanceurs d’alerte. Chaque État membre de l’UE a transposé la directive en droit national avec son propre régime de sanctions.</p> <p>La non-conformité n’est pas théorique. En mars 2025, la <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Cour de justice de l’UE a infligé à cinq États membres des amendes cumulées de 39 millions d’euros</a> pour leur retard dans la transposition de la loi. Les entreprises qui ne se conforment pas s’exposent à leurs propres sanctions en vertu du droit national.</p> <hr> <h2 id="aperçu-des-sanctions"> Aperçu des sanctions <a href="#aper%c3%a7u-des-sanctions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Pays</th> <th>Absence de canal de signalement</th> <th>Représailles</th> <th>Responsabilité pénale</th> <th>Loi</th> </tr> </thead> <tbody> <tr> <td>Espagne</td> <td>Jusqu’à 1 000 000 €</td> <td>Jusqu’à 1 000 000 €</td> <td>Non</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td>France</td> <td>—</td> <td>60 000 € + 3 ans de prison</td> <td><strong>Oui</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td>Pologne</td> <td>PLN 5 000 (~1 200 €)</td> <td>PLN 1 080 000 (~250 000 €) + jusqu’à 3 ans de prison</td> <td><strong>Oui</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Act of 14 June 2024</a> </td> </tr> <tr> <td>Portugal</td> <td>Jusqu’à 125 000 €</td> <td>Jusqu’à 125 000 €</td> <td>Non</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Law 93/2021</a> </td> </tr> <tr> <td>Italie</td> <td>10 000–50 000 €</td> <td>10 000–50 000 €</td> <td>Non</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td>Allemagne</td> <td>20 000–50 000 € (10x pour les personnes morales)</td> <td>Jusqu’à 50 000 €</td> <td>Non</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> </tbody> </table> <hr> <h2 id="détails-par-pays"> Détails par pays <a href="#d%c3%a9tails-par-pays" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="spain"> Espagne — Law 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — protection des personnes qui signalent des infractions réglementaires et lutte contre la corruption.</p> <p><strong>S’applique aux :</strong> Entreprises de plus de 50 salariés. Date limite : 13 juin 2023 (250+ salariés) et 1er décembre 2023 (50–249 salariés). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Source : Garrigues</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Absence de canal de signalement interne : 600 000–1 000 000 € pour les personnes morales. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source : CMS Expert Guide</a> </li> <li>Violation des obligations liées au canal de signalement : 100 000–1 000 000 € pour les personnes morales ; 1 000–300 000 € pour les personnes physiques. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source : CMS Expert Guide</a> </li> <li>Sanctions supplémentaires : avertissement public, interdiction de subventions/avantages fiscaux pendant 4 ans maximum et suspension éventuelle des licences d’exploitation. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Source : Garrigues</a> </li> </ul> <p><strong>Autorité d’application :</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>L’Espagne dispose des sanctions les plus sévères de l’UE en matière de non-conformité à la protection dès lanceurs d’alerte.</p> <hr> <h3 id="france"> France — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , modifiant la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>S’applique aux :</strong> Entreprises de plus de 50 salariés. En vigueur depuis septembre 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source : IntegrityLine</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Entrave à un signalement : jusqu’à 60 000 € d’amende et 1 an d’emprisonnement. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Source : Whispli</a> </li> <li>Représailles ou discrimination envers un lanceur d’alerte : jusqu’à 60 000 € d’amende et 3 ans d’emprisonnement. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Source : JP Karsenty</a> </li> </ul> <p>La France est l’un des rares pays de l’UE où l’entrave et les représailles sont passibles de <strong>sanctions pénales, y compris des peines de prison</strong>.</p> <p><strong>Différence clé :</strong> Les lanceurs d’alerte en France ne sont plus tenus d’utiliser les canaux internes avant de s’adresser aux autorités externes (fin du « signalement en cascade »). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source : IntegrityLine</a> </p> <hr> <h3 id="germany"> Allemagne — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — entrée en vigueur le 2 juillet 2023.</p> <p><strong>S’applique aux :</strong> Entreprises de plus de 50 salariés. Date limite : 2 juillet 2023 (250+ salariés) et 17 décembre 2023 (50–249 salariés). Amendes applicables depuis le 1er décembre 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Source : Library of Congress</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Absence de canal de signalement : amendes de 20 000–50 000 € conformément à la Section 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Source : Ebner Stolz</a> </li> <li>Pour les personnes morales, les amendes peuvent être multipliées par <strong>dix</strong> (jusqu’à 500 000 €) conformément à la Section 40(6). <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Source : activeMind</a> </li> <li>Représailles envers les lanceurs d’alerte : jusqu’à 50 000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Source : Morrison Foerster</a> </li> </ul> <p><strong>Note :</strong> L’Allemagne a été condamnée à une amende de 34 000 000 € par la Cour de justice de l’UE en mars 2025 pour transposition tardive de la directive. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source : eucrim</a> </p> <hr> <h3 id="italy"> Italie — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>S’applique aux :</strong> Entreprises de plus de 50 salariés (et toutes les entreprises disposant d’un programme de conformité Model 231, quelle que soit leur taille). Date limite : 15 juillet 2023 (250+ salariés) et 17 décembre 2023 (50–249 salariés). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source : Norton Rose Fulbright</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Absence de canal de signalement ou procédures non conformes : 10 000–50 000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source : Norton Rose Fulbright</a> </li> <li>Représailles ou entrave au signalement : 10 000–50 000 €. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Source : Hogan Lovells</a> </li> <li>Violation de la confidentialité de l’identité du signalant : 10 000–50 000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source : Norton Rose Fulbright</a> </li> <li>Signalement abusif par le lanceur d’alerte : 500–2 500 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source : Norton Rose Fulbright</a> </li> </ul> <p><strong>Autorité d’application :</strong> ANAC (Autorità Nazionale Anticorruzione). L’ANAC a prononcé sa première sanction pour représailles en juillet 2024 (Décision n° 380, affaire de représailles). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Source : ANAC via Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> Pologne — Act of 14 June 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — entrée en vigueur le 25 septembre 2024.</p> <p><strong>S’applique aux :</strong> Employeurs de plus de 50 salariés. Procédures internes obligatoires d’ici le 1er janvier 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source : DLA Piper</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Absence de procédures internes de signalement : amende de PLN 20–5 000 (~5–1 200 €) en tant que contravention. Les membres du conseil d’administration sont personnellement responsables. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Source : RSM Poland</a> </li> <li>Entrave au signalement : amende pouvant atteindre PLN 1 080 000 (~250 000 €), restriction de liberté ou jusqu’à 1 an d’emprisonnement. Avec violence ou menaces : jusqu’à 3 ans. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Source : Clifford Chance</a> </li> <li>Représailles : amende, restriction de liberté ou jusqu’à 2 ans d’emprisonnement. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Source : Kochanski & Partners</a> </li> <li>Divulgation de l’identité du lanceur d’alerte : amende, restriction de liberté ou jusqu’à 1 an d’emprisonnement. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source : DLA Piper</a> </li> </ul> <p><strong>Autorité d’application :</strong> Autorité indépendante de protection dès lanceurs d’alerte (Rzecznik Praw Sygnalistów) — début des opérations le 1er septembre 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Source : Wozniak Legal</a> </p> <p>La Pologne est l’un des rares pays de l’UE où l’entrave et les représailles sont passibles de <strong>sanctions pénales, y compris des peines de prison</strong>.</p> <hr> <h3 id="portugal"> Portugal — Law 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Loi :</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — Régime général de protection dès lanceurs d’alerte.</p> <p><strong>S’applique aux :</strong> Entreprises de plus de 50 salariés. Régime de sanctions applicable depuis le 7 juin 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source : IntegrityLine</a> </p> <p><strong>Sanctions :</strong></p> <ul> <li>Absence de canal de signalement : amendes pouvant atteindre 125 000 €. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source : IntegrityLine</a> </li> </ul> <p><strong>Autorité d’application :</strong> MENAC (Mecanismo Nacional Anticorrupção). La plateforme électronique est opérationnelle depuis novembre 2024. 152 signalements reçus en 2024. L’accent se déplace vers l’application dans le secteur privé en 2025. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Source : European Commission Rule of Law Report 2025</a> </p> <hr> <h2 id="amendes-de-la-cour-de-justice-de-lue-contre-les-états-membres-mars-2025"> Amendes de la Cour de justice de l’UE contre les États membres (mars 2025) <a href="#amendes-de-la-cour-de-justice-de-lue-contre-les-%c3%a9tats-membres-mars-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Cinq pays de l’UE ont été sanctionnés par la Cour de justice pour défaut de transposition de la directive dans les délais :</p> <table> <thead> <tr> <th>Pays</th> <th>Amende forfaitaire</th> <th>Astreinte journalière</th> </tr> </thead> <tbody> <tr> <td>Allemagne</td> <td>34 000 000 €</td> <td>—</td> </tr> <tr> <td>République tchèque</td> <td>2 300 000 €</td> <td>—</td> </tr> <tr> <td>Hongrie</td> <td>1 750 000 €</td> <td>—</td> </tr> <tr> <td>Estonie</td> <td>500 000 €</td> <td>1 500 €/jour</td> </tr> <tr> <td>Luxembourg</td> <td>375 000 €</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source : eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Source : CJEU press release (PDF)</a> </p> <hr> <h2 id="les-27-états-membres"> Les 27 États membres <a href="#les-27-%c3%a9tats-membres" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Tous les États membres de l’UE ont désormais transposé la directive. Consultez notre référence complète :</p> <p><strong><a href="/fr/whistleblower-laws/">Lois sur les lanceurs d’alerte dans les 27 États membres de l’UE →</a> </strong></p> <p>Nom de la loi nationale, lien vers le texte officiel, sanctions, délais et autorité d’application pour chaque pays.</p> <hr> <h2 id="lapplication-saccélère"> L’application s’accélère <a href="#lapplication-sacc%c3%a9l%c3%a8re" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>La plupart des États membres n’ont achevé la transposition de la directive qu’en 2023–2024. Les autorités d’application sont désormais opérationnelles et publient activement des orientations :</p> <ul> <li><strong>Italie :</strong> L’ANAC a prononcé sa première amende pour représailles en juillet 2024 et a publié des lignes directrices mises à jour en novembre 2025.</li> <li><strong>Portugal :</strong> La plateforme électronique du MENAC est opérationnelle depuis novembre 2024, avec un accent sur le secteur privé en 2025.</li> <li><strong>Pologne :</strong> Lancement de l’autorité indépendante d’application en septembre 2025.</li> <li><strong>Allemagne :</strong> Amendes applicables depuis décembre 2023.</li> <li><strong>Espagne :</strong> Amendes applicables depuis juin 2023.</li> </ul> <p>La fenêtre pour se mettre en conformité avant l’application active se referme.</p> <hr> <h2 id="mettez-vous-en-conformité-dès-maintenant"> Mettez-vous en conformité dès maintenant <a href="#mettez-vous-en-conformit%c3%a9-d%c3%a8s-maintenant" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal offre à votre organisation un canal de signalement pour lanceurs d’alerte entièrement conforme en quelques minutes — chiffré, anonyme et conçu pour la directive européenne 2019/1937.</p> <p><a href="/fr/directive-coverage/">Découvrez comment nous répondons à chaque exigence</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Lancez votre portail</a> </p> <hr> <p><em>Dernière mise à jour : avril 2026. Les montants des sanctions et le statut d’application sont basés sur les sources juridiques publiques citées ci-dessus. Contactez <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> si vous constatez une erreur.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/security/Mesures de sécurité techniques d'EthicsPortal — chiffrement, anonymat, contrôle d'accès, journal d'audit et détails de l'infrastructure pour l'examen de conformité.<h1 id="sécurité"> Sécurité <a href="#s%c3%a9curit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal traite des données sensibles de lanceurs d’alerte. Cette page documente les mesures techniques et organisationnelles spécifiques que nous avons mises en place. Elle est rédigée à l’attention des responsables conformité, des DPO et des équipes juridiques évaluant la plateforme.</p> <p>Dernière mise à jour : 2026-05-17.</p> <hr> <h2 id="chiffrement-des-données"> Chiffrement des données <a href="#chiffrement-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Tous les champs sensibles sont chiffrés au repos à l’aide du chiffrement ActiveRecord Encryption de Rails avec un <strong>chiffrement non déterministe</strong> (chaque opération de chiffrement produit un texte chiffré unique, empêchant l’analyse de motifs).</p> <table> <thead> <tr> <th>Champ</th> <th>Chiffré</th> <th>Déterministe</th> </tr> </thead> <tbody> <tr> <td>Description du signalement</td> <td>Oui</td> <td>Non</td> </tr> <tr> <td>Nom du lanceur d’alerte</td> <td>Oui</td> <td>Non</td> </tr> <tr> <td>Coordonnées du lanceur d’alerte</td> <td>Oui</td> <td>Non</td> </tr> <tr> <td>Corps du message (communication lanceur d’alerte–gestionnaire)</td> <td>Oui</td> <td>Non</td> </tr> </tbody> </table> <p>Le chiffrement non déterministe signifie que ces champs ne peuvent pas être interrogés par valeur au niveau de la base de données. Même avec un accès complet à la base de données, un attaquant ne peut pas rechercher un nom de lanceur d’alerte spécifique dans l’ensemble des enregistrements.</p> <p>Toutes les connexions à EthicsPortal utilisent <strong>HTTPS/TLS</strong>. Les requêtes HTTP non chiffrées sont redirigées.</p> <hr> <h2 id="anonymat-et-confidentialité"> Anonymat et confidentialité <a href="#anonymat-et-confidentialit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonymisation-des-adresses-ip"> Anonymisation des adresses IP <a href="#anonymisation-des-adresses-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal <strong>ne stocke jamais les adresses IP</strong>. Les routes du portail (soumission de signalement, consultation de dossier, messagerie) utilisent un hachage SHA256 à sens unique de l’adresse IP uniquement pour la limitation de débit. Le hachage n’est pas réversible — il est impossible de retrouver l’adresse IP d’origine à partir de la valeur stockée.</p> <p>Cela s’applique à tous les points d’accès publics du portail. Aucune adresse IP n’est inscrite dans aucun journal, champ de base de données ou système d’analyse.</p> <h3 id="suppression-des-métadonnées-des-fichiers"> Suppression des métadonnées des fichiers <a href="#suppression-des-m%c3%a9tadonn%c3%a9es-des-fichiers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les fichiers téléchargés sont automatiquement nettoyés de leurs métadonnées d’identification <strong>avant</strong> le stockage :</p> <table> <thead> <tr> <th>Type de fichier</th> <th>Métadonnées supprimées</th> <th>Méthode</th> </tr> </thead> <tbody> <tr> <td>Images (JPEG, PNG, TIFF, WebP)</td> <td>Données EXIF : coordonnées GPS, modèle de l’appareil photo, numéro de série de l’appareil, auteur, horodatages</td> <td>Traitement d’image Vips</td> </tr> <tr> <td>Documents PDF</td> <td>Auteur, application de création, historique des modifications</td> <td>exiftool</td> </tr> <tr> <td>Fichiers vidéo</td> <td>GPS, informations sur l’appareil, logiciel d’enregistrement</td> <td>exiftool</td> </tr> <tr> <td>Fichiers audio</td> <td>Appareil d’enregistrement, GPS, balises logicielles</td> <td>exiftool</td> </tr> </tbody> </table> <p>Les lanceurs d’alerte n’ont pas besoin de faire confiance quant à la sécurité de leurs fichiers — les métadonnées sont supprimées côté serveur, quel que soit le contenu du fichier.</p> <h3 id="analyse-antivirus"> Analyse antivirus <a href="#analyse-antivirus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tous les fichiers téléchargés sont automatiquement analysés à la recherche de logiciels malveillants à l’aide de <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , un moteur antivirus open source. L’analyse s’effectué côté serveur dans un processus en arrière-plan après le téléchargement. Les fichiers infectés sont supprimés automatiquement et n’atteignent jamais les gestionnaires de dossiers.</p> <p>Les fichiers sont analysés sur l’infrastructure d’EthicsPortal — aucune donnée de fichier n’est envoyée à des services d’analyse tiers.</p> <h3 id="anonymat-du-gestionnaire"> Anonymat du gestionnaire <a href="#anonymat-du-gestionnaire" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les lanceurs d’alerte ne voient jamais les noms réels ni les adresses e-mail des personnes qui traitent leur signalement. Tous les messages des gestionnaires sont affichés sous le nom <strong>« Gestionnaire du dossier »</strong>. Cela protège l’identité du gestionnaire et empêche l’ingénierie sociale.</p> <h3 id="aucun-traçage"> Aucun traçage <a href="#aucun-tra%c3%a7age" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal n’utilise pas de cookies de traçage tiers, de pixels publicitaires ni de scripts d’empreinte numérique. Nous utilisons <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> uniquement sur les pages marketing — sans cookies, sans collecte de données personnelles et entièrement conforme au RGPD. Le portail de signalement lui-même ne comporte aucune mesure d’audience.</p> <h3 id="statut-actuel-dassurance"> Statut actuel d’assurance <a href="#statut-actuel-dassurance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal ne revendique actuellement sur ce site ni ISO 27001, ni SOC 2, ni certification équivalente. Il ne publie pas non plus actuellement d’audit tiers indépendant de l’architecture d’anonymat. Si cela change, le périmètre et la date seront publiés ici.</p> <h3 id="documents-pour-la-revue-de-sécurité"> Documents pour la revue de sécurité <a href="#documents-pour-la-revue-de-s%c3%a9curit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les clients qui ont besoin de documents pour une validation par le service achats ou juridique peuvent les demander pendant l’évaluation. Les éléments disponibles peuvent inclure un DPA contresigné, des justificatifs d’immatriculation et fiscaux, un questionnaire de sécurité complété et des réponses écrites sur les procédures de sauvegarde et de restauration, les accès privilégiés à la production et la réponse aux incidents.</p> <hr> <h2 id="contrôle-daccès"> Contrôle d’accès <a href="#contr%c3%b4le-dacc%c3%a8s" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>L’autorisation est appliquée au niveau applicatif à l’aide de politiques <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> .</p> <table> <thead> <tr> <th>Rôle</th> <th>Peut voir les signalements</th> <th>Peut gérer les paramètres de l’organisation</th> <th>Peut assigner des gestionnaires</th> </tr> </thead> <tbody> <tr> <td>Administrateur</td> <td>Tous les signalements</td> <td>Oui</td> <td>Oui</td> </tr> <tr> <td>Gestionnaire</td> <td>Signalements assignés ou auxquels il participe</td> <td>Non</td> <td>Non</td> </tr> </tbody> </table> <ul> <li>Les gestionnaires ne peuvent pas voir les signalements qui ne leur sont ni assignés ni partagés en tant que participants. Les participants sont ajoutés explicitement par un administrateur ou par le responsable principal (par exemple pour impliquer le service juridique ou les RH).</li> <li>Les lanceurs d’alerte n’ont pas de compte utilisateur — ils accèdent à leur signalement à l’aide d’un code d’accès (<code>WB-XXXX-XXXX</code>) et d’un code secret à 6 chiffres qu’ils choisissent au moment de la soumission. Les deux sont requis. Le code secret est stocké uniquement sous forme de condensat bcrypt et ne peut pas être récupéré.</li> <li>Chaque action de contrôleur vérifie l’autorisation. Les tentatives d’accès non autorisées sont bloquées et enregistrées.</li> </ul> <h3 id="cycle-de-vie-des-sessions"> Cycle de vie des sessions <a href="#cycle-de-vie-des-sessions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Chaque session authentifiée enregistre <code>last_seen_at</code> à chaque requête (avec antirebond). Les utilisateurs peuvent consulter leurs sessions actives, voir la date de dernière activité de chacune, révoquer une session individuellement ou se déconnecter de toutes les autres sessions en une seule action depuis les paramètres de leur compte.</p> <p>Les sessions expirent automatiquement après <strong>14 jours d’inactivité</strong>. La requête suivante d’une session inactive détruit l’enregistrement côté serveur, efface le cookie et impose une nouvelle authentification via un lien magique. Un job nocturne nettoie les sessions abandonnées selon le même délai, de sorte que <code>user_agent</code> et <code>ip_address</code> ne sont pas conservés au-delà de la fenêtre d’inactivité, même si l’utilisateur ne revient jamais.</p> <p>L’authentification par lien magique limite la portée des sessions de longue durée : un cookie de session volé ne fournit pas d’identifiant réutilisable, et la ré-authentification exige l’accès à la messagerie.</p> <h3 id="accès-et-départ-des-membres"> Accès et départ des membres <a href="#acc%c3%a8s-et-d%c3%a9part-des-membres" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>L’accès à l’organisation est appliqué au niveau de la requête. Lorsqu’un membre est désactivé :</p> <ul> <li>L’accès à l’organisation est refusé immédiatement, y compris sur les URL précédemment mises en favoris.</li> <li>Les signalements ouverts qui lui étaient assignés sont retirés.</li> <li>Ses participations sont supprimées.</li> <li>L’historique du journal d’audit qui lui est attribuable est préservé.</li> <li>Le membre désactivé est notifié.</li> <li>Une réactivation ne rétablit pas automatiquement l’accès aux dossiers antérieurs.</li> </ul> <p>Le dernier administrateur actif et le propriétaire de l’organisation ne peuvent pas être désactivés. Tous les événements de désactivation et de réactivation sont inscrits dans le journal d’audit en ajout seul.</p> <p>Les adhésions sans empreinte de conformité (aucune entrée dans le journal d’audit, aucune assignation, aucune participation) sont supprimées définitivement à la suppression ; les adhésions ayant une empreinte sont désactivées en mode logique afin que la piste d’audit reste résolvable.</p> <h3 id="limitation-de-débit"> Limitation de débit <a href="#limitation-de-d%c3%a9bit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les points d’accès publics du portail sont limités en débit pour prévenir les abus et les attaques par énumération :</p> <table> <thead> <tr> <th>Point d’accès</th> <th>Limite</th> </tr> </thead> <tbody> <tr> <td>Soumission de signalement</td> <td>5 par 10 minutes par IP anonymisée</td> </tr> <tr> <td>Consultation de dossier (code d’accès + code secret)</td> <td>10 par 3 minutes par IP anonymisée</td> </tr> <tr> <td>Soumission de message</td> <td>10 par 3 minutes par IP anonymisée</td> </tr> </tbody> </table> <p>La limitation de débit utilise le hachage à sens unique de l’adresse IP décrit ci-dessus — aucune adresse IP réelle n’est stockée.</p> <hr> <h2 id="audit-et-conformité"> Audit et conformité <a href="#audit-et-conformit%c3%a9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="journal-daudit-en-ajout-seul"> Journal d’audit en ajout seul <a href="#journal-daudit-en-ajout-seul" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Chaque action dans EthicsPortal est enregistrée avec :</p> <ul> <li><strong>Horodatage</strong> (UTC)</li> <li><strong>Acteur</strong> (quel utilisateur ou processus système a effectué l’action)</li> <li><strong>Type d’action</strong> (signalement créé, statut modifié, message envoyé, gestionnaire assigné, signalement consulté, signalement exporté, signalement supprimé, etc.)</li> </ul> <p>Les entrées du journal d’audit sont en ajout seul. Une fois créées, elles ne peuvent être modifiées par aucun utilisateur, y compris les administrateurs de l’organisation. Le journal d’audit complet est inclus dans les exports PDF des dossiers pour l’examen réglementaire.</p> <h3 id="conservation-des-données"> Conservation des données <a href="#conservation-des-donn%c3%a9es" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Les organisations configurent leur propre durée de conservation : <strong>12, 24, 36 ou 60 mois</strong> après la clôture d’un signalement. Lorsque la durée de conservation expire, le signalement et toutes les données associées (messages, pièces jointes, entrées du journal d’audit) sont automatiquement et définitivement supprimés par un processus en arrière-plan.</p> <p>Cela satisfait les exigences de limitation de la conservation du RGPD (Art. 5(1)(e)) et les obligations de tenue de registres de la Directive 2019/1937 (Art. 17–18).</p> <h3 id="protection-csrf"> Protection CSRF <a href="#protection-csrf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Toutes les soumissions de formulaires sont protégées contre les attaques de falsification de requêtes intersites grâce aux jetons CSRF intégrés de Rails.</p> <hr> <h2 id="gestion-des-dépendances-et-des-correctifs"> Gestion des dépendances et des correctifs <a href="#gestion-des-d%c3%a9pendances-et-des-correctifs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal ne déploie aucun composant logiciel en fin de vie. L’application s’exécute sur des versions activement maintenues de Rails, Ruby, PostgreSQL et du système d’exploitation sous-jacent ; les correctifs de sécurité amont sont appliqués en continu.</p> <p>Les dépendances sont analysées en continu dans l’intégration continue :</p> <ul> <li><strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> signale les vulnérabilités spécifiques à Rails à chaque modification.</li> <li><strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> vérifie le Gemfile face à la Ruby Advisory Database à chaque modification.</li> <li><strong><code>importmap audit</code></strong> analyse les imports JavaScript à la recherche de vulnérabilités connues à chaque modification.</li> <li><strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> ouvre chaque semaine des pull requests pour les gems Ruby et les GitHub Actions obsolètes, regroupées par mises à jour mineures/correctives.</li> </ul> <p>Les composants atteignant leur fin de vie amont sont remplacés ou mis à niveau avant la clôture de leur fenêtre de support.</p> <hr> <h2 id="infrastructure"> Infrastructure <a href="#infrastructure" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Composant</th> <th>Fournisseur</th> <th>Localisation</th> </tr> </thead> <tbody> <tr> <td>Serveur d’application et base de données</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Nuremberg, Allemagne (UE)</td> </tr> <tr> <td>Stockage de fichiers</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Nuremberg, Allemagne (UE)</td> </tr> <tr> <td>E-mail transactionnel</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>France (UE)</td> </tr> <tr> <td>Traitement des paiements</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>UE</td> </tr> </tbody> </table> <ul> <li>Tout le traitement principal des données a lieu au sein de l’Union européenne.</li> <li>Aucun numéro de carte de crédit ni identifiant de paiement n’est stocké sur les serveurs d’EthicsPortal. Toutes les données de paiement sont gérées par Stripe.</li> <li>Mailjet est utilisé pour les e-mails transactionnels (notifications aux gestionnaires, pas aux lanceurs d’alerte). Mailjet est basé en France et traite toutes les données au sein de l’UE.</li> <li>Le site de présentation est servi via Cloudflare (CDN, États-Unis) ; le portail de signalement et le portail des gestionnaires ne le sont pas. La liste complète et les garanties de transfert figurent sur la page <a href="/fr/subprocessors/">sous-traitants ultérieurs</a> .</li> </ul> <hr> <h2 id="sauvegardes-et-restauration"> Sauvegardes et restauration <a href="#sauvegardes-et-restauration" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal exploite deux couches de sauvegarde complémentaires, toutes deux conservées au sein de l’UE :</p> <table> <thead> <tr> <th>Couche</th> <th>Quoi</th> <th>Où</th> <th>Conservation</th> </tr> </thead> <tbody> <tr> <td>Base de données</td> <td>Sauvegardes PostgreSQL chiffrées et quotidiennes via un accessoire Kamal</td> <td>Hetzner Object Storage, Nuremberg (UE)</td> <td>7 jours</td> </tr> <tr> <td>Serveur</td> <td>Instantanés complets du disque de l’hôte applicatif</td> <td>Hetzner Cloud, Nuremberg (UE)</td> <td>7 jours</td> </tr> </tbody> </table> <p><strong>Objectifs de reprise.</strong> L’objectif de point de reprise (RPO) est de 24 heures. L’objectif de temps de reprise (RTO) est de 4 heures. Ces objectifs figurent également dans l’<a href="/fr/sla/#objectifs-de-reprise">accord de niveau de service</a> .</p> <p><strong>Tests de restauration.</strong> Un exercice de restauration est exécuté au moins une fois par trimestre dans un environnement jetable. Dernier exercice : 2026-05-14.</p> <p><strong>Chiffrement.</strong> Les sauvegardes de la base de données sont chiffrées au repos par Hetzner Object Storage ; les champs chiffrés au niveau applicatif via Rails ActiveRecord Encryption restent chiffrés dans la sauvegarde.</p> <hr> <h2 id="revue-opérationnelle"> Revue opérationnelle <a href="#revue-op%c3%a9rationnelle" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Cette page est un résumé public de la sécurité. Une partie des documents opérationnels est partagée pendant la validation par le service achats plutôt que publiée intégralement sur le web ouvert, car elle contient des détails d’infrastructure et de réponse mieux adaptés à une diffusion contrôlée.</p> <p>Les sujets disponibles sur demande pendant la validation par le service achats incluent notamment :</p> <ul> <li>Synthèse des accès privilégiés à la production</li> <li>Procédure de réponse aux incidents et contacts d’escalade</li> <li>Réponses sur la continuité d’activité et la résiliation / restitution des données client</li> </ul> <hr> <h2 id="divulgation-responsable"> Divulgation responsable <a href="#divulgation-responsable" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Si vous découvrez une vulnérabilité de sécurité dans EthicsPortal, veuillez la signaler à <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Nous vous demandons de :</p> <ol> <li>Ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu l’occasion de la corriger.</li> <li>Fournir suffisamment de détails pour que nous puissions reproduire et résoudre le problème.</li> <li>Ne pas accéder aux données d’autres clients ni les modifier.</li> </ol> <p>Nous accuserons réception de votre signalement dans un délai de 2 jours ouvrés et nous nous efforcerons de résoudre rapidement les vulnérabilités confirmées.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/subprocessors/Services tiers qui traitent des données à caractère personnel pour le compte d'EthicsPortal. Publié conformément à l'article 28 du RGPD.<h1 id="sous-traitants-ultérieurs"> Sous-traitants ultérieurs <a href="#sous-traitants-ult%c3%a9rieurs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Les sous-traitants ultérieurs sont des tiers qui traitent des données à caractère personnel pour le compte d’EthicsPortal lorsque celui-ci agit comme sous-traitant pour les organisations opératrices (responsables du traitement). La présente liste est publiée conformément à l’article 28, §2, du RGPD et à l’accord de traitement des données (DPA).</p> <p>Dernière mise à jour : 2026-04.</p> <hr> <h2 id="sous-traitants-actuels"> Sous-traitants actuels <a href="#sous-traitants-actuels" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Sous-traitant</th> <th>Juridiction</th> <th>Finalité</th> <th>Catégories de données</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Allemagne (UE)</td> <td>Hébergement des serveurs, base de données et stockage des pièces jointes</td> <td>Ensemble des données applicatives : signalements, identité des gestionnaires, messages, journal d’audit ; pièces jointes téléversées (métadonnées supprimées avant téléversement)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 États-Unis</td> <td>CDN et protection DDoS du site de présentation</td> <td>Adresses IP des visiteurs et en-têtes de requêtes pour les requêtes vers le site de présentation ; actifs statiques mis en cache. Aucun signalement, donnée de gestionnaire ou donnée de compte</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 France (UE)</td> <td>Acheminement des e-mails transactionnels</td> <td>Adresses e-mail des gestionnaires, notifications de codes d’accès, e-mails de facturation</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irlande (UE)</td> <td>Facturation et traitement des paiements</td> <td>Coordonnées de facturation de l’opérateur, références de paiement chiffrées</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Pays-Bas (UE)</td> <td>Suivi d’erreurs et supervision de performance applicative (côté administrateur et gestionnaire uniquement)</td> <td>Traces d’exécution, métadonnées de requêtes ; les IP dès lanceurs d’alerte ne sont jamais journalisées</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 France (UE)</td> <td>Chat client intégré pour les gestionnaires (chargé uniquement dans le portail gestionnaire) ; prise en charge de la vérification d’identité des opérateurs (KYC). Voir la note ci-dessous sur la confidentialité dès lanceurs d’alerte.</td> <td>IP du gestionnaire, contenu des conversations, nom et coordonnées de l’organisation opératrice, éléments de vérification d’identité</td> </tr> </tbody> </table> <p><strong>Confidentialité dès lanceurs d’alerte.</strong> Crisp n’est chargé que dans le portail gestionnaire/administrateur. Il n’est pas présent sur le site de présentation ni sur le portail de signalement — la surface où les lanceurs d’alerte déposent et suivent leurs signalements. Aucun script, cookie ou identifiant Crisp n’atteint les pages destinées aux lanceurs d’alerte. Les lanceurs d’alerte ne sont jamais suivis par Crisp.</p> <p><strong>Aucun sous-traitant IA ou LLM.</strong> Aucun grand modèle de langage, service d’IA générative ni classificateur fondé sur l’IA n’est sous-traitant ultérieur d’EthicsPortal. Le contenu des signalements, l’identité des lanceurs d’alerte, les messages des gestionnaires et les journaux d’audit ne sont transmis ni à OpenAI, ni à Anthropic, ni à Google, ni à Mistral, ni à aucun autre fournisseur d’inférence IA. Il s’agit d’un engagement produit, non d’un paramètre par défaut — voir le <a href="/fr/directive-coverage/">§6 de la référence de conformité</a> pour le cadre juridique.</p> <p>Les transferts vers des juridictions hors UE/EEE reposent sur les Clauses Contractuelles Types et les garanties supplémentaires détaillées dans l’accord de traitement des données.</p> <hr> <h2 id="ce-qui-constitue-un-sous-traitant-ultérieur"> Ce qui constitue un sous-traitant ultérieur <a href="#ce-qui-constitue-un-sous-traitant-ult%c3%a9rieur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Un sous-traitant ultérieur est tout service tiers qui traite des données à caractère personnel pour le compte d’EthicsPortal en vertu d’un accord de traitement écrit. Les services ne figurent ici que s’ils reçoivent, stockent ou transmettent des données à caractère personnel. Les bibliothèques internes, registres de paquets et dépendances de compilation ne sont pas des sous-traitants ultérieurs.</p> <hr> <h2 id="notification-des-changements"> Notification des changements <a href="#notification-des-changements" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Les opérateurs sont notifiés de tout ajout ou modification de cette liste au moins 30 jours avant qu’un nouveau sous-traitant commence à traiter des données à caractère personnel. Les objections à un sous-traitant proposé peuvent être soulevées dans le cadre de l’accord de traitement des données.</p> <hr> <h2 id="questions"> Questions <a href="#questions" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pour toute question relative au traitement des données par les sous-traitants ultérieurs, contactez <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/fr/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/fr/pricing/Tarification simple et transparente pour EthicsPortal. Une seule offre, tout inclus. Pas de frais par salarié.<p><strong>Envisagez-vous une solution interne ?</strong> L’article 9(1) de la Directive 2019/1937 exige la confidentialité de l’identité du lanceur d’alerte, un suivi impartial et un accès restreint aux signalements. Un canal interne fait passer ces exigences par les mêmes administrateurs informatiques, sauvegardes et outils de conservation à des fins de contentieux qui touchent tous les autres systèmes de l’entreprise — et son AIPD doit documenter comment le responsable du traitement s’empêche lui-même d’accéder aux données qui le concernent. L’exploitation externe, prévue à l’art. 8(5), contourne les deux problèmes.</p> <p><a href="/fr/faq/">En savoir plus dans la FAQ →</a> </p>support@ethicsportal.eu (EthicsPortal)