Aller au contenu principal Obligatoire en France (Loi Waserman) pour les organisations de plus de 50 salariés

Méthodologie #

Le présent document expose la manière dont EthicsPortal interprète les dispositions de la directive (UE) 2019/1937 qui admettent plus d’une lecture raisonnable. Il s’adresse aux responsables de la conformité, aux délégués à la protection des données et aux conseillers juridiques qui doivent prendre des décisions opérationnelles défendables en l’absence d’interprétation faisant autorité de la part de la Commission européenne ou de la Cour de justice de l’Union européenne.

Il s’agit d’un document évolutif. Lorsque la Cour de justice, le Comité européen de la protection des données ou une autorité nationale compétente publie une interprétation contraignante divergente des positions ci-dessous, le présent document est révisé et la position antérieure est conservée dans le journal des révisions.

Pour la correspondance exigence-fonctionnalité — la capacité EthicsPortal qui répond à chaque disposition de la directive —, consultez la page conformité. Les deux documents sont complémentaires : la conformité documente ce que le produit fait ; la méthodologie documente la manière dont nous lisons la loi.

La version anglaise du présent document fait foi. Les traductions sont fournies à titre informatif. En cas de divergence entre les versions linguistiques, la version anglaise prévaut. Cette règle suit la pratique des institutions de l’Union pour les documents multilingues destinés à être cités.

Dernière mise à jour : avril 2026.

§1. Champ d’application et sources #

La présente méthodologie porte sur la directive 2019/1937 telle que transposée dans le droit national des 27 États membres de l’Union. Lorsque la transposition nationale est plus stricte que la directive, la règle nationale s’applique aux organisations opérant dans cette juridiction (voir §9).

Sources faisant autorité, par ordre de précédence :

  1. Le texte de la directive lui-même — Directive (UE) 2019/1937 du 23 octobre 2019, y compris ses considérants.
  2. Les lois nationales de transposition — contraignantes au sein de chaque État membre. Voir notre référence des lois sur la protection des lanceurs d’alerte par pays pour les intitulés précis et les autorités de contrôle.
  3. Les arrêts de la Cour de justice de l’Union européenne — contraignants dans toute l’Union.
  4. Les orientations du Comité européen de la protection des données — pour les aspects relatifs à la protection des données (Art. 17 de la directive, articulation avec le RGPD).
  5. Les orientations des autorités nationales compétentes — persuasives au sein de l’État qui les émet.

Le présent document constitue une méthodologie opérationnelle. Il ne constitue pas un avis juridique. Les organisations doivent faire valider les interprétations par un conseil juridique compétent dans leur juridiction avant de s’y fier dans le cadre d’un audit ou d’un contentieux.

§2. Conventions rédactionnelles #

La directive dispose introduit une déclaration de ce que le texte de la directive exige.

En pratique, cela signifie introduit l’interprétation d’EthicsPortal lorsque le texte admet plus d’une lecture.

EthicsPortal met cela en œuvre en introduit la manière dont l’interprétation se traduit dans le produit. Les opérateurs retenant une interprétation différente devront ajuster leur configuration ou leurs procédures en conséquence.

Toutes les références d’articles renvoient à la directive 2019/1937, sauf indication contraire.

§3. Le seuil de 50 travailleurs (art. 8) #

La question. L’article 8(3) exige des entités comptant « 50 travailleurs ou plus » qu’elles mettent en place des canaux de signalement interne. La directive ne définit pas les modalités de calcul des effectifs, ni la manière dont les travailleurs à temps partiel et les intérimaires sont comptabilisés, ni si le seuil s’applique à chaque entité juridique ou au groupe dans son ensemble.

La directive dispose que « les entités juridiques du secteur privé ayant 50 travailleurs ou plus » sont soumises à l’obligation (art. 8(3)). Le considérant 48 précise que le seuil est calculé « conformément au droit national transposant les actes pertinents du droit de l’Union ».

En pratique, cela signifie que le calcul suit les règles nationales existantes de décompte des effectifs applicables en matière d’emploi et de sécurité sociale. Ces règles varient :

Le seuil est calculé par entité juridique, et non par groupe. Une société mère et sa filiale constituent des entités distinctes aux fins de l’article 8, sauf disposition contraire du droit national. L’article 8(6) permet le partage de ressources au sein d’un groupe pour les entités comptant jusqu’à 249 travailleurs — mais l’obligation de mettre en place un canal reste déclenchée par entité dès que le seuil de 50 travailleurs est atteint.

Les travailleurs indépendants, les intérimaires et les stagiaires comptent généralement dans le calcul du seuil dès lors qu’ils entrent dans la définition nationale du « travailleur » — qui est plus large que celle d’« employé » en droit de l’Union. La Cour de justice juge de manière constante que la notion de « travailleur » en droit de l’Union inclut toute personne qui accomplit des prestations pour le compte et sous la direction d’autrui en contrepartie d’une rémunération (voir Lawrie-Blum, C-66/85).

EthicsPortal met cela en œuvre en ne conditionnant l’accès à aucun seuil d’effectif. Toute organisation peut déployer un portail, quelle que soit sa taille. Les organisations en dessous du seuil de 50 travailleurs exploitent fréquemment un portail à titre volontaire — pour la gestion des risques, parce que le droit national applique un seuil inférieur à leur secteur (par exemple dans les services financiers), ou parce que leur politique de groupe l’impose.

§4. Le délai d’accusé de réception (art. 9, §1, b) #

La question. L’article 9, §1, point b), exige que l’accusé de réception soit adressé « dans un délai de sept jours à compter de cette réception ». La directive ne précise pas s’il s’agit de jours calendaires ou ouvrables, ni le point de départ du délai pour les signalements reçus en dehors des heures ouvrables.

La directive dispose de l’envoi d’un accusé de réception « dans un délai de sept jours à compter de la réception ». Aucune autre précision n’est donnée.

En pratique, cela signifie sept jours calendaires, comptés à partir du moment où le signalement entre dans le canal. Ceci suit le principe général selon lequel les délais fixés par le droit de l’Union courent en jours calendaires, sauf disposition expresse contraire (règlement (CEE, Euratom) n° 1182/71, art. 3). Les États membres ayant transposé la directive ont systématiquement retenu le délai de sept jours comme étant exprimé en jours calendaires (HinSchG §17(1)2 ; D.Lgs. 24/2023 art. 5(1)(d) ; Loi Waserman art. 8).

Un signalement soumis à 23h59 un dimanche est un signalement reçu ce dimanche. Le délai de sept jours commence le jour suivant (jour 1 = lundi) et expire à la fin du septième jour. Ceci découle de l’article 3(1) du règlement 1182/71, qui dispose que lorsqu’un délai est exprimé en jours, le jour de l’événement qui le déclenche n’est pas compté.

L’accusé de réception n’est pas équivalent à une réponse substantielle. L’accusé de réception est une confirmation que le signalement a été reçu et enregistré. Il n’a pas à contenir d’évaluation du fond du signalement, ni le nom de la personne chargée de son traitement.

EthicsPortal met cela en œuvre en envoyant un accusé de réception automatique au lanceur d’alerte au moment du dépôt, affiché sur le portail et (lorsque des coordonnées sont fournies) transmis par courrier électronique. L’accusé de réception inclut la référence du dossier et le délai légal de retour d’informations de trois mois. Les organisations configurées pour un accusé manuel reçoivent des alertes à 48 heures avant l’expiration du délai de sept jours ainsi que le jour de l’échéance.

§5. Le délai de retour d’informations (art. 9, §1, f) #

La question. L’article 9, §1, point f), exige un retour d’informations « n’excédant pas trois mois à compter de l’accusé de réception ou, si aucun accusé de réception n’a été envoyé à l’auteur du signalement, trois mois à compter de l’expiration du délai de sept jours suivant le signalement ». La directive ne définit pas ce qui constitue un « retour d’informations ».

La directive dispose que le retour d’informations désigne « la communication à l’auteur de signalement d’informations sur les mesures envisagées ou prises à titre de suivi et sur les motifs de ce suivi » (art. 5, point 13).

En pratique, cela signifie que le retour d’informations est substantiel. Un nouvel accusé de réception, ou la simple mention que le signalement est « en cours d’examen », ne constitue pas un retour d’informations au sens de l’article 9, §1, point f). Le lanceur d’alerte est en droit de connaître, dans le délai de trois mois, l’action que l’organisation entend prendre (ou a prise) et le raisonnement qui la motive.

Le retour d’informations n’a pas à constituer une décision définitive. Une organisation peut indiquer que l’affaire est encore en cours d’instruction, à condition de préciser également ce qui a été fait à ce jour, quelles sont les étapes suivantes prévues et à quelle échéance une nouvelle information sera communiquée. Ce qui est exigé, c’est une information suffisante pour permettre au lanceur d’alerte d’apprécier si l’organisation traite le signalement sérieusement.

Le délai de trois mois court à compter de la date de l’accusé de réception, et non de la date de dépôt du signalement. Lorsque l’accusé de réception est tardif, la fenêtre du retour d’informations se réduit d’autant — la date ultime autorisée pour le retour d’informations est de trois mois et sept jours après le dépôt du signalement.

EthicsPortal met cela en œuvre en suivant les deux délais (accusé à 7 jours, retour d’informations à 3 mois) par dossier et en remontant les alertes d’échéance dépassée à l’ensemble des administrateurs de l’organisation. Le retour d’informations au lanceur d’alerte est transmis par le canal de messagerie bidirectionnelle du portail, qui préserve l’anonymat du lanceur d’alerte lorsque celui-ci n’a pas révélé son identité.

§6. Le suivi diligent (art. 9, §1, d) #

La question. L’article 9, §1, point d), exige « un suivi diligent par la personne ou le département désigné visé au point c) ». Le terme « diligent » n’est pas défini.

La directive dispose que le suivi désigne « toute mesure prise par le destinataire d’un signalement ou toute autorité compétente en vue d’évaluer l’exactitude des allégations formulées dans le signalement et, le cas échéant, de remédier à la violation signalée » (art. 5, point 12).

En pratique, cela signifie que le suivi diligent comporte trois composantes opérationnelles minimales :

  1. Une évaluation. Une analyse documentée permettant de déterminer si les allégations, à les supposer fondées, constitueraient une violation relevant du champ d’application matériel de la directive (art. 2) ou de sa transposition nationale.
  2. Une enquête proportionnée à l’allégation. Des démarches d’enquête adaptées à la gravité de la violation alléguée, à la force des éléments probants et au préjudice potentiel. Tout signalement ne justifie pas une enquête approfondie ; un signalement dépourvu de tout détail concret peut être évalué et clôturé avec une motivation documentée. Un signalement étayé par des éléments précis et concordants appelle davantage.
  3. Une trace contemporaine des actes. Les mesures prises, les décisions adoptées et leur motivation doivent être consignées au moment où elles interviennent. Un suivi diligent qui ne laisse aucune trace est indiscernable d’une absence de suivi.

« Diligent » est une norme objective. Elle n’est pas satisfaite par la seule bonne foi subjective. Une organisation qui clôture systématiquement les signalements sans évaluation, ou qui met des mois à ouvrir un dossier, n’est pas diligente, quelle que soit sa perception d’elle-même.

EthicsPortal met cela en œuvre en fournissant un workflow de gestion des dossiers avec transitions de statut (reçu, accusé de réception envoyé, en cours d’enquête, clôturé), des notes internes permettant la collaboration entre gestionnaires, et un journal d’audit en ajout seul qui enregistre chaque action avec horodatage et identifiant de l’acteur. Le journal d’audit constitue la preuve principale de la diligence lors d’un audit ou d’un contrôle réglementaire.

§7. La confidentialité de l’identité (art. 16) #

La question. L’article 16, §1, exige que l’identité de l’auteur du signalement ne soit pas divulguée à d’autres personnes que les membres du personnel autorisés. La directive ne précise pas si l’« identité » s’étend aux métadonnées susceptibles d’identifier le lanceur d’alerte (adresses IP, empreintes de navigateur, métadonnées d’auteur dans les fichiers, schémas d’horodatage).

La directive dispose que « l’identité de l’auteur de signalement n’est pas divulguée, sans le consentement explicite de cette personne, à toute personne autre que les membres du personnel autorisés à recevoir ou à assurer le suivi des signalements » (art. 16, §1).

En pratique, cela signifie que l’« identité » s’entend de façon fonctionnelle : elle inclut toute information qui, seule ou combinée, permet d’identifier le lanceur d’alerte. Cette lecture s’aligne avec la définition des données à caractère personnel du RGPD (règlement (UE) 2016/679, art. 4, point 1) et avec la position constante du Comité européen de la protection des données selon laquelle l’identifiabilité est contextuelle.

Sont traités comme des données relatives à l’identité :

Les organisations qui conservent les adresses IP des lanceurs d’alerte, ou qui acceptent des fichiers téléchargés sans en supprimer les métadonnées, s’exposent à une défaillance de confidentialité qui constitue techniquement une violation de l’article 16, même lorsque le nom du lanceur d’alerte n’est jamais divulgué.

EthicsPortal met cela en œuvre en ne stockant jamais les adresses IP des lanceurs d’alerte (la limitation de débit utilise des hachages irréversibles à sens unique), en supprimant les métadonnées EXIF et les métadonnées documentaires de tous les fichiers téléchargés avant leur stockage, et en chiffrant au repos les champs d’identité du lanceur d’alerte avec un chiffrement non déterministe (de sorte qu’un accès complet à la base de données ne permet pas une recherche en masse par nom).

§8. La durée de conservation (art. 18) #

La question. L’article 18, §1, exige que les signalements soient conservés « pour une durée qui n’excède pas celle nécessaire et proportionnée aux fins du respect des exigences imposées par la présente directive, ou d’autres exigences imposées par le droit de l’Union ou le droit national ». La directive ne fixe pas de durée maximale.

La directive dispose d’une exigence de « nécessité et de proportionnalité », rattachée à des finalités de conformité.

En pratique, cela signifie que la conservation doit être justifiée par une finalité juridique ou opérationnelle concrète, limitée dans le temps, et consignée dans le registre des traitements de l’organisation (RGPD, art. 30). En l’absence d’enquête, de contentieux ou d’obligation légale spécifique en cours, la conservation au-delà de la clôture du dossier devient progressivement plus difficile à justifier.

Justifications courantes et durées typiques associées :

FinalitéDurée typique
Dossier actif (réception jusqu’à clôture)Durée du dossier
Enquête ou contentieux consécutifsJusqu’à la résolution définitive
Piste d’audit réglementaireDurée fixée par la réglementation sectorielle (couramment 5 ans pour les services financiers)
Protection contre les réclamations pour représailles (art. 21)Délai de prescription national en matière de droit du travail (généralement 2 à 5 ans)
Rapports statistiques au titre de l’art. 27(2)Données anonymisées uniquement ; données personnelles à minimiser ou à supprimer

La transposition nationale peut fixer des durées spécifiques. Exemples :

Une durée de conservation générique retenue par commodité (« nous conservons tout pendant dix ans ») ne satisfait ni l’article 18, ni l’article 5, §1, point e), du RGPD. La conservation doit être rattachée à une finalité.

EthicsPortal met cela en œuvre en proposant des durées de conservation configurables (12, 24, 36, 60 mois) avec suppression automatique des signalements clôturés à l’expiration de la période configurée. La valeur par défaut correspond à la durée la plus courte satisfaisant les exigences les plus courantes des transpositions nationales. Les opérateurs soumis à des obligations de conservation sectorielles plus longues configurent la durée en conséquence.

§9. La base juridique du traitement (articulation avec le RGPD) #

La question. L’article 17 de la directive exige que le traitement des données à caractère personnel respecte le RGPD. La directive ne constitue pas en elle-même une base juridique au sens de l’article 6 du RGPD — le responsable du traitement doit identifier la base applicable.

La directive dispose que le traitement « est effectué conformément au règlement (UE) 2016/679 » (art. 17).

En pratique, cela signifie que la base juridique est l’article 6, §1, point c), du RGPD — l’obligation légale, lorsque l’organisation est soumise à une obligation légale de mettre en place et d’exploiter un canal de signalement. Pour les organisations au-dessus du seuil de 50 travailleurs (ou en dessous de ce seuil lorsqu’une législation sectorielle impose l’obligation), l’article 6, §1, point c), est la base correcte et suffisante. Aucun consentement du lanceur d’alerte n’est requis, et aucun ne devrait être sollicité — traiter la démarche comme fondée sur le consentement serait trompeur et créerait un droit théorique de retrait que le responsable ne pourrait pas honorer.

Pour les organisations exploitant un canal de signalement à titre volontaire (en dessous du seuil de 50 travailleurs et non soumises à un mandat sectoriel), la base juridique est l’article 6, §1, point f) — l’intérêt légitime, sous réserve d’un test de mise en balance documenté. L’intérêt légitime à prévenir et à détecter des actes répréhensibles au sein de l’organisation est bien établi et reconnu par les orientations nationales dans l’ensemble des États membres.

Des catégories particulières de données à caractère personnel (RGPD, art. 9) peuvent apparaître de manière incidente dans les signalements — un signalement de discrimination peut révéler des informations relatives à la santé ou à l’origine ethnique. La base juridique pour les données relevant de l’article 9 est typiquement l’article 9, §2, point g) — intérêt public important, à condition que le traitement soit proportionné et accompagné de garanties spécifiques. Les signalements révélant des infractions pénales (RGPD, art. 10) sont traités sur la base correspondante prévue par le droit national.

EthicsPortal met cela en œuvre en documentant l’article 6, §1, point c), comme base juridique par défaut dans l’accord de traitement des données (DPA) et la notice d’information. Les opérateurs en dessous du seuil légal ajustent la notice d’information pour refléter l’article 6, §1, point f), et consignent leur test de mise en balance séparément.

§10. La primauté du droit national (art. 25) #

La question. L’article 25, §1, dispose que les États membres peuvent introduire ou maintenir des dispositions « plus favorables aux droits des auteurs de signalement » que celles prévues par la directive. La directive ne précise pas comment les opérateurs doivent résoudre les conflits lorsque le droit national est plus strict.

La directive dispose à son article 25, §1, que « les États membres peuvent introduire ou maintenir des dispositions plus favorables aux droits des auteurs de signalement que celles prévues par la présente directive, sans préjudice de l’article 22 [droits des personnes concernées] et de l’article 23, §2 [sanctions pour signalement délibérément mensonger] ».

En pratique, cela signifie que lorsque la transposition nationale est plus stricte que la directive, le droit national s’applique aux organisations opérant dans cette juridiction. Il n’est pas possible de se prévaloir du minimum de la directive lorsque la règle locale est plus stricte. La directive établit un plancher, non un plafond.

Exemples de règles nationales plus strictes :

Pour les opérateurs multi-pays, la règle opérationnelle est la suivante : dans chaque juridiction, appliquer la plus stricte des deux (directive, loi nationale). Cela conduit parfois à ce qu’une politique de groupe retienne un standard uniforme élevé, calé sur la règle nationale la plus stricte parmi les pays d’opération. Cette approche est généralement préférable au maintien de politiques parallèles par juridiction, qui accroît la charge administrative et le risque d’application erronée.

EthicsPortal met cela en œuvre en adoptant par défaut le plus strict commun dénominateur des 27 États membres : les délais d’accusé de réception et de retour d’informations les plus courts, la durée de conservation la plus étroite, la notice anti-représailles la plus complète. Les opérateurs dans une juridiction unique peuvent assouplir des valeurs par défaut spécifiques pour s’aligner sur les règles nationales, mais la ligne de base est calibrée au-dessus du minimum de la directive dans chaque article où les transpositions nationales l’excèdent.

§11. Le signalement anonyme (art. 6, §2 ; art. 9, §1, e) #

La question. Une organisation doit-elle accepter les signalements anonymes ?

La directive dispose à son article 6, §2, qu’elle « n’affecte pas le pouvoir des États membres de décider d’exiger ou non des entités juridiques […] qu’elles acceptent et assurent le suivi des signalements anonymes ». L’article 9, §1, point e), exige « un suivi diligent, lorsque cela est prévu par le droit national, en ce qui concerne le signalement anonyme ».

En pratique, cela signifie que le droit national tranche. Deux postures :

Trois conséquences.

Une fois accepté, engagement contraignant. Une organisation qui publie « nous acceptons les signalements anonymes » a déclenché l’article 9, §1, point e). L’obligation s’attache à la politique, non au signalement individuel.

L’anti-représailles ne s’applique qu’à partir de l’identification. L’article 21 ne peut protéger une personne inconnue. Les actes commis pendant la période anonyme ne sont pas couverts rétroactivement.

L’anonymat est un standard technique, non une promesse. Un formulaire qui collecte une adresse électronique n’est pas anonyme. Un canal qui journalise les adresses IP n’est pas anonyme. La confidentialité de l’article 16 protège une identité connue contre la divulgation ; l’anonymat empêche l’identification.

EthicsPortal met cela en œuvre en acceptant par défaut les signalements anonymes. Aucune coordonnée n’est requise. Les adresses IP ne sont jamais stockées (la limitation de débit utilise des hachages irréversibles à sens unique). Les métadonnées des fichiers sont supprimées avant stockage. Les opérateurs peuvent configurer le portail pour exiger des coordonnées lorsque le droit national impose des signalements identifiés. Les signalements anonymes acceptés suivent le même workflow, les mêmes délais et le même standard de suivi diligent que les signalements identifiés.

Journal des révisions #

Corrections et demandes #

Le présent document est destiné à être cité et à faire autorité. Si vous identifiez une erreur, une position en contradiction avec un arrêt de la Cour de justice, un avis du Comité européen de la protection des données ou des orientations nationales contraignantes, contactez support@ethicsportal.eu. Les corrections sont publiées dans le journal des révisions avec leur date et un résumé de la modification.

Pour les questions relatives à l’application d’une interprétation spécifique à la situation de votre organisation, le présent document ne se substitue pas à un avis juridique. Consultez un conseil juridique compétent dans votre juridiction.

Dernière mise à jour: