Une synthèse sur la loi Sapin 2 et les systèmes d'alertes

La loi Sapin 2, qui modifie en profondeur les dispositions légales en matière d'alertes, est publiée. Vous pouvez consulter le texte ici.

La loi donne en premier lieu, pour la première fois, une définition du lanceur d'alertes :

"Un lanceur d’alerte est une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance."

On voit que le lanceur d'alerte n'est pas nécessairement un salarié de l'entreprise. Ce peut être un tiers, sous-traitant, fournisseur,... dès lors qu'il a eu personnellement connaissance de l'infraction ou du manquement.

Cette définition étant donnée, la loi ne se contente pas de ce qui existait précédemment, à savoir la simple protection du lanceur d’alertes contre d’éventuelles mesures de rétorsions par son employeur.

Le lanceur d’alertes est en effet considéré par le législateur comme utile, intervenant aussi bien dans l’intérêt général que dans l’intérêt des entreprises privées et des entités publiques elles-mêmes.

Avertir d’une infraction, ou un manquement, prévenir un danger, c’est protéger la sécurité des salariés et agents, leur intégrité physique et morale, assurer que l’entreprise, administration ou entité publique ne subisse pas les conséquences des agissements anormaux de certains de ses dirigeants ou agents.

A l’inverse, si l’entreprise, administration ou entité publique ne sait pas qu’un manquement est commis, elle ne peut pas prendre l’initiative d’y mettre fin, et s’expose, ainsi que ses dirigeants ou élus personnellement, à des risques d’accidents humains, sociaux, industriels, environnementaux, ainsi qu’à des poursuites, des conflits, des procédures.

Dès lors, la loi rend obligatoire la mise en place de systèmes d'alertes dans les administrations, entités publiques et entreprises privées, selon deux dispositifs distincts, selon la taille de l'entité, sous le contrôle de la nouvelle Agence française anti-corruption :

  • 1er dispositif - pour toutes les personnes morales de droit privé ou de droit public de plus de 50 salariés (y compris bien entendu les sociétés d’économie mixte), l'article 8 de la loi rend obligatoire la mise en place d'un système d'alertes, destiné à dénoncer toute infraction (crime ou délit) sans distinction.
  • 2ème dispositif, en complément – une organisation plus contraignante est imposée aux dirigeants (à titre personnel, sous peines de sanctions) des plus grandes entités, sociétés privées ou établissements publics industriels ou commerciaux, ayant plus de 500 salariés et réalisant un chiffre d'affaires de plus de 100 missions d'euros, ou de plus petite taille mais appartenant à un groupe qui répondrait, lui, à ces critères.

C'est alors tout un système de compliance qui est obligatoire :

-        un code de conduite définissant les comportements à proscrire en matière de corruption ou trafic d'influence,

-        un dispositif d'alerte pour recueillir les manquements au code (ce dispositif se "fusionnant" de fait avec celui de toute façon imposé par l'article 8 de la loi),

-        une cartographie des risques,

-        des procédures de contrôle comptable spécifiques,

-        des mesures disciplinaires ad hoc,

-        des formations des cadres,

-        etc.

La définition du lanceur d’alertes étant vaste, et incluant les tiers informés d’un manquement, le système d’alerte doit être rendu accessible aux « collaborateurs externes ou occasionnels », qui doivent être informés comme les salariés ou agents de la procédure par tout moyen (affichage, notification, publication, par voie électronique,…).

Le respect de ces dispositions est contrôlé par la nouvelle Agence française anti-corruption, dont on a vu que la commission des sanctions peut condamner à des amendes conséquentes : 200 000 euros pour les personnes physiques et 1 million d’euros pour les personnes morales.

La loi assure heureusement un encadrement bienvenu de l’alerte, qui auparavant pouvait être effectuée auprès de toute personne, sans précision.

Trois étapes impératives de transmission de l'alerte sont prévues :

  1. En premier lieu, l'alerte doit d'abord être transmise en interne dans l'entité - ou auprès d'un référent désigné par l'entité, ce qu’est précisément la plateforme ethicorp.org,
  2. Sauf danger grave et imminent ou risque de dommages irréversibles, ce n'est qu'à défaut de réaction dans un "délai raisonnable" que l'alerte peut être déposée à une autorité judiciaire, administrative, ou à un ordre professionnel.
  3. Enfin, à défaut de réaction dans un délai de 3 mois, l’alerte peut être rendue publique.

En revanche, le lanceur d'alertes peut à tout moment s'adresser au Défenseur des droits, non pas pour déposer une alerte mais pour savoir à qui s'adresser.

Enfin, très important : la loi apporte une exigence de confidentialité fondamentale, tant à l'égard du lanceur d'alertes que de la personne visée par l'alerte. C'est une nouveauté de la loi, puisque jusqu'alors le principe - rappelé par la CNIL - était au contraire de dissuader le lanceur d'alertes de rester confidentiel. La divulgation finale de l’alerte ne pourra se faire qu'auprès de l'autorité judiciaire, dès lors que le caractère fondé de l'alerte aura été établi, donc après enquête interne.

Toute violation de cette confidentialité (et donc des trois étapes de l’alerte) est punie de 2 ans d'emprisonnement et 30.000 euros d'amende.

Cette confidentialité est essentielle. Elle permet de pouvoir vérifier le bien-fondé de l’alerte, et donne la possibilité à l’entreprise ou entité d’être en amont des mesures nécessaires, mesures de prévention des risques, mesures de sanctions éventuelles, procédures à initier, etc., au lieu de subir et de se trouver mise à défaut, de donner une image négative à ses équipes, à l’extérieur, et de risquer des poursuites judiciaires.

ethicorp.org assure précisément cette confidentialité complète :

  • Le lanceur d’alerte dépose son alerte sur un site hautement sécurisé,
  • l’alerte est reçue et traitée par des avocats, profession soumise au secret professionnel le plus strict qui existe.

L'intervention d'avocats, professionnels spécialistes du droit, permet en outre une analyse précise des alertes et des risques encourrus.

C’est pourquoi la plateforme a reçu le soutien des pouvoirs publics, comme étant particulièrement innovante, aussi bien du Ministère de la Justice que du Ministère de l’Economie et du numérique.

Attention : l’entrée en vigueur de ces dispositions est fixée au 1er juin 2017