Les dispositions essentielles de la directive de l'UE sur les lanceurs d'alerte se trouvent à l'article 23. Les canaux de signalement, les délais, le catalogue des lanceurs d'alerte protégés, tout dépend en dernière analyse de savoir si quelqu'un se trouve réellement lésé pour avoir dénoncé des irrégularités. La plupart des discussions publiques sur la directive 2019/1937 portent encore sur les obligations opérationnelles et laissent de côté le régime de sanctions, qui est la partie que les employeurs devraient prendre au sérieux car elle détermine qui paie, combien, et si le responsable qui exerce des représailles se retrouve personnellement engagé plutôt que l'entreprise.
Justitia à l'hôtel de ville d'Anvers
© belgianchocolate (CC BY 2.0)
Ce que l'article 23 sanctionne réellement
La directive est inhabituellement précise sur ce qui constitue un acte punissable. Elle énumère quatre catégories du côté de l'employeur et une du côté du lanceur d'alerte. Le texte est assez court pour être lu dans son intégralité :
« Les États membres établissent des pénalités effectives, proportionnées et dissuasives applicables aux personnes physiques ou morales qui : a) entravent ou tentent d'entraver le signalement ; b) prennent des représailles contre les personnes visées à l'article 4 ; c) engagent des actions en justice vexatoires contre les personnes visées à l'article 4 ; d) ne respectent pas l'obligation de garder confidentielle l'identité de la personne qui signale, comme prévu à l'article 16. »
Article 23, paragraphe 1, directive (UE) 2019/1937
Le paragraphe 2 ferme la boucle dans l'autre direction. Une personne qui signale ou divulgue sciemment des informations fausses doit aussi faire face à une pénalité effective et dissuasive, ainsi qu'une voie de recours en dommages-intérêts pour la personne accusée à tort. Les quatre volets du paragraphe 1 couvrent la majorité des risques quotidiens pour un employeur. L'entrave est plus large que le simple blocage. Elle inclut la pression, les procédures manipulées, la charge de travail artificielle, et tout ce qui rend substantiellement plus difficile le dépôt d'un signalement. Les représailles ne visent pas seulement le lanceur d'alerte, mais aussi les facilitateurs, les collègues et les proches. Les actions en justice vexatoires couvrent les poursuites en diffamation de type SLAPP et les réclamations harassantes devant les tribunaux du travail visant le lanceur d'alerte. La violation de la confidentialité s'applique même à une seule divulgation non intentionnelle de l'identité du déclarant. Le texte complet figure sur EUR-Lex.
La directive exige également que le fardeau de la preuve soit inversé dans les cas de représailles. Une fois que le lanceur d'alerte établit un lien prima facie entre le signalement et un préjudice, l'employeur doit prouver que l'action aurait eu lieu de toute façon. Les mises en œuvre nationales varient sur le détail procédural, mais le mécanisme sous-jacent est sans équivoque et la Commission a exercé une pression constante sur le respect de ce point spécifique. L'effet pratique est qu'un litige devant un tribunal du travail concernant un licenciement « basé sur la performance » intervenant deux mois après un signalement devient la cause que l'employeur peut perdre, et non celle que le lanceur d'alerte doit gagner.
« Efficace, proportionnée et dissuasive » : une formule qui compte vraiment
La formule à trois adjectifs figurant à l'article 23 ne relève pas du simple formulaire. Chaque mot constitue un test de conformité distinct, et la Cour de justice a rejeté les mises en œuvre nationales qui échouent sur l'un d'eux dans d'autres directives. Efficace signifie que la pénalité doit être réellement appliquée, et non seulement exister sur le papier. Proportionnée signifie qu'elle doit être graduée en fonction de la gravité de l'infraction, de sorte qu'une amende symbolique fixe pour une campagne de représailles d'entreprise n'est pas suffisante. Dissuasive signifie qu'un employeur rationnel doit préférer la conformité au coût attendu de la pénalité. La directive explicite pourquoi cela compte :
« Lorsque les représailles s'exercent sans être découragées et impunies, cela a un effet de refroidissement sur les lanceurs d'alerte potentiels. Une interdiction juridique claire des représailles aurait un effet dissuasif important, que renforcerait encore des dispositions établissant la responsabilité personnelle et prévoyant des pénalités pour les auteurs de représailles. »
Considérant 88, directive (UE) 2019/1937
Le considérant explique pourquoi la plupart des transpositions nationales imposent une responsabilité personnelle aux individus, et non seulement des amendes administratives à l'entreprise. Une entreprise peut absorber une amende. Un responsable qui exerce des représailles et se retrouve personnellement nommé dans une procédure pénale doit faire face à un calcul très différent. ISO 37002:2021, la norme d'orientation internationale pour les systèmes de gestion des lanceurs d'alerte, s'appuie sur la même logique. Ses trois principes de confiance, d'impartialité et de protection ne fonctionnent que si les conséquences de leur violation sont visibles au sein de l'organisation. La version publiée se trouve sur le site de l'ISO.
Les régimes de sanctions des États membres sont inégaux
La directive fixe le minimum et laisse chaque État membre choisir l'architecture, ce qui a produit des résultats très inégaux. La loi allemande HinSchG, en vigueur depuis juillet 2023, plafonne les amendes administratives à 50 000 EUR pour les pires catégories de conduite, l'absence de mise en place d'un canal de signalement, les représailles et la violation de la confidentialité. L'amende s'applique aux personnes morales et aux personnes physiques responsables, non pas au lanceur d'alerte.
La France a été plus loin. La loi Sapin II, telle que modifiée après la transposition de 2022, fait de l'entrave à un signalement une infraction criminelle punissable de deux ans d'emprisonnement et une amende de 30 000 EUR. La divulgation de l'identité d'un lanceur d'alerte sans consentement porte les mêmes pénalités criminelles. Une disposition distincte crée une peine d'un an et une amende de 15 000 EUR pour toute personne qui entrave la transmission d'une alerte « de quelque manière que ce soit ». Du côté des entreprises, les sociétés qui ne respectent pas les obligations de conformité de la loi Sapin II peuvent faire face à des amendes pouvant atteindre 10 millions EUR.
L'Italie se situe au milieu. La bande de pénalité administrative pour les représailles, l'obstruction, la violation de la confidentialité ou l'absence de mise en place de canaux est de 10 000 à 50 000 EUR, appliquée par l'ANAC. Le régulateur italien a également coordonné ses lignes directrices en matière de lanceurs d'alerte de 2025 avec l'autorité de protection des données Garante, ce qui signifie qu'un seul signalement mal géré peut déclencher des procédures parallèles au titre des lanceurs d'alerte et au titre du RGPD. Le Luxembourg, à l'extrémité inférieure, fonctionne avec une bande de 1 500 à 25 000 EUR pour les actions de représailles et les recours abusifs contre les lanceurs d'alerte. Un aperçu pays par pays des régimes des États membres montre à quel point les cadres de base sont réellement incohérents, et l'écart entre les juridictions les moins et les plus chères est assez large pour que les employeurs multinationaux traitent maintenant la question comme un choix de coût d'exploitation délibéré plutôt que comme une note de procédure.
Le verdict de la Commission en 2024 : trop faible pour dissuader
La Commission européenne a publié son rapport de conformité sur la directive en juillet 2024. Les conclusions sur les sanctions ont été tranchantes :
« Plusieurs États membres : i) ont défini la conduite sanctionnée en termes vagues, notamment en pénalisant les violations ou les abus de la loi de transposition nationale en général ; ou ii) ont introduit des pénalités qui semblent trop faibles pour être considérées comme dissuasives. »
Rapport de la Commission au Parlement européen et au Conseil, COM(2024) 269 final
Le rapport a signalé trois modes de défaillance spécifiques. Les pénalités pour les « tentatives » d'entrave au signalement manquaient parfois ou ont été réduites par des listes exhaustives. Les pénalités pour représailles visaient parfois uniquement le lanceur d'alerte et non les facilitateurs ou les personnes liées. Et les pénalités pour actions en justice vexatoires ont parfois été laissées sans référence croisée spécifique à la législation applicable. La Commission s'est engagée à continuer de surveiller et à lancer des procédures d'infraction lorsque la transposition n'est pas corrigée.
Lorsque les États membres ne transposent pas, la facture provient de Luxembourg
Les États membres qui ne transposent pas du tout paient avant que l'un de leurs employeurs ne le fasse. Le 6 mars 2025, la Cour de justice a sanctionné cinq États pour n'avoir pas transposé la directive dans la loi nationale dans les délais. L'Allemagne a été frappée d'une somme forfaitaire de 34 millions EUR, la République tchèque de 2,3 millions EUR, la Hongrie de 1,75 million EUR, le Luxembourg de 375 000 EUR et l'Estonie d'une somme forfaitaire de 500 000 EUR plus une pénalité quotidienne de 1 500 EUR pour non-conformité continue.
La Pologne avait déjà suivi la même procédure le 25 avril 2024, ordonnée de payer une somme forfaitaire de 7 millions EUR plus 40 000 EUR par jour jusqu'à la transposition. La cour a rejeté l'argument de la Pologne selon lequel la perturbation due à la COVID-19 et l'afflux de réfugiés en provenance d'Ukraine justifiaient le retard. La règle est que les circonstances politiques nationales ne peuvent pas dispenser d'un délai de transposition manqué. Le résumé eucrim des jugements de mars 2025 détaille chaque cas.
La Cour de justice de l'Union européenne à Luxembourg
© Cédric Puisney (CC BY 2.0)
Ce que cela signifie pour un employeur en pratique
Un audit de conformité interne qui vérifie uniquement si l'entreprise « dispose d'un canal de signalement » n'est plus suffisant. L'audit doit vérifier que le canal est impartial, que la confidentialité fonctionne en pratique, et que la procédure sanctionne tout membre de son personnel qui la viole. Les conclusions de la Commission sur la transposition vague signifient que plusieurs lois nationales seront renforcées dans le prochain cycle, et le seuil de conformité d'audit progresse avec elles.
La couche de responsabilité personnelle change aussi qui porte réellement le risque. Un responsable direct qui exerce des représailles contre un lanceur d'alerte, un directeur des ressources humaines qui communique le nom du lanceur d'alerte au sujet nommé, un membre du conseil d'administration qui bloque une enquête, chacun est maintenant exposé à une procédure nationale criminelle ou administrative à titre personnel. L'assurance ne couvre pas la responsabilité pénale, et l'indemnisation d'entreprise ne s'étend pas à la conduite de mauvaise foi. Ce qu'une organisation fait avec un signalement est maintenant une question de risque personnel pour les personnes impliquées.
Le dossier en faveur de la confier l'intake à un opérateur externe devient plus solide chaque fois qu'un État membre relève son plancher de pénalité. L'article 8 l'autorise explicitement, ISO 37002 approuve les enquêteurs externes dans les cas contestés, et la posture d'audit est plus nette car les obligations de l'opérateur sont écrites dans un contrat plutôt que déduites de la procédure interne. Il existe plusieurs raisons d'investir dans un logiciel dédié de lanceurs d'alerte, et le régime de sanctions en est une.
Maillet judiciaire en bois et minutes de tribunal
© Jonathunder (CC BY-SA 4.0)
Le régime de sanctions le moins coûteux à respecter est celui qu'une entreprise ne déclenche jamais. Le système de signalement des lanceurs d'alerte soutient ses clients dans la mise en œuvre de la plateforme et dans le traitement des rapports grâce à la coopération avec des spécialistes de SPG Legal Sawicki i Wspólnicy sp.k.
