La loi Sapin II[1] a instauré un régime général de protection des lanceurs d’alerte et de recueil de leurs signalements. Le décret d’application n° 2017-564 prévu par le texte a été publié au Journal officiel le 20 avril 2017. Il apporte des précisions sur le référent qui peut être désigné pour recueillir les alertes, les modalités de recueil des signalements et l’information portée à la connaissance du lanceur d’alerte. Il impose aux sociétés et entités concernées d’assurer une communication « adéquate » de la procédure de recueil des signalements afin de permettre aux personnels et collaborateurs extérieurs et occasionnels d’en avoir une connaissance suffisante. Précision importante : cette nouvelle procédure d’alerte devra être mise en place avant le 1er janvier 2018.

La loi Sapin II édicte deux obligations distinctes s’agissant de la mise en œuvre des procédures d’alerte :

- d’une part, l’ensemble des sociétés de plus de 50 salariés doivent mettre en place une procédure de recueil des signalements afin de protéger les lanceurs d’alerte (salariés et collaborateurs)[2] ;

- d’autre part, les sociétés de plus de 500 salariés et les sociétés appartenant à un groupe de plus de 500 salariés, dont la société mère est française et réalisant plus de 100 millions de chiffre d’affaires doivent mettre en place un dispositif d’alerte interne permettant de recueillir les signalements d’employés et relatifs à l’existence de conduites non-conformes en matière de corruption ou de trafic d’influence[3].

Le décret n°2017-564 publié le 20 avril 2017 vient préciser la procédure de recueil des signalements applicable aux sociétés de plus de 50 salariés.

I. Désignation d’un référent pour le recueil des signalements

L’article 8, I, de la loi Sapin II prévoit que tout signalement est porté à la connaissance du supérieur hiérarchique, direct ou indirect, de l’employeur ou d’un référent désigné par celui-ci.

Le décret précise que le référent désigné pourra être une personne physique ou morale, interne ou externe à la société ou à l’entité concernée, et dont l’identité devra être précisée dans le cadre de la procédure de recueil des signalements.

Le décret prévoit également que le référent ainsi désigné sera soumis à l’obligation de stricte confidentialité posée par l’article 9 de la loi Sapin II.

II. Modalités de recueil des signalements et information du lanceur d’alerte

La procédure de recueil des signalements devra indiquer les modalités à suivre par le lanceur d’alerte pour effectuer son signalement. En effet, la procédure adoptée devra préciser (i) la forme dans laquelle le lanceur d’alerte effectuera son signalement, (ii) les faits, informations ou documents à fournir pour étayer son signalement et (iii) les éléments permettant un échange avec le destinataire du signalement.

Le décret impose également aux entreprises et entités concernées de préciser les dispositions prises pour informer « sans délai » le lanceur d’alerte de la réception de son signalement, du « délai raisonnable et prévisible » requis pour l’examen de sa recevabilité et des modalités suivant lesquelles il sera informé des suites données à son signalement.

La procédure adoptée devra, en outre, faire état des mesures garantissant la stricte confidentialité de l’identité du lanceur d’alerte, des personnes visées par le signalement et des faits objets du signalement, y compris en cas de communication à des tiers lorsque celle-ci s’avère nécessaire.

Le décret prévoit également un délai maximum de deux mois à compter de la clôture des opérations de recevabilité ou de vérification à l’issue duquel les sociétés et entités concernées devront détruire les éléments du dossier permettant d’identifier le lanceur d’alerte et des personnes visées par le signalement dans l’hypothèse où aucune suite n’y a été donnée. Le lanceur d’alerte et les personnes objets du signalement devront être informés de cette clôture.

Enfin, la procédure adoptée devra mentionner l’existence d’un traitement automatisé des signalements après autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (« CNIL »). A cet égard, la CNIL doit prochainement prendre position sur l’incompatibilité des dispositifs d’alerte interne créés par la loi Sapin II avec sa décision unique d’autorisation AU-004.

III. Diffusion par tout moyen de la procédure d’alerte

Le décret impose aux sociétés et entités concernées d’assurer la diffusion par « tout moyen » de la procédure de recueil des signalements adoptée pour la rendre accessible aux personnels et collaborateurs extérieurs et occasionnels. La diffusion peut notamment être assurée par voie de notification, affichage ou publication, sur le site internet des sociétés et entités concernées ou par voie électronique.

IV. Entrée en vigueur différée du décret

Le décret entrera en vigueur de manière différée le 1er janvier 2018. Il appartient donc aux sociétés et entités concernées de lancer d’ores et déjà un audit des lignes d’alertes existantes pour vérifier leur comptabilité avec ces nouvelles obligations.