Directive européenne sur les dénonciateurs
L'Union européenne a finalisé son premier régime bloc-large de protection des lanceurs d'alerte avec la Directive (UE) 2019/1937 du Parlement européen et du Conseil, sur la protection des personnes qui signalent des infractions au droit de l'Union. Avant la fin de 2024, les 27 États membres avaient transposé la directive dans leur droit national, mais la plupart l'ont fait avec du retard, plusieurs seulement après avoir été condamnés à une amende par la Cour de justice, et la Commission européenne a désormais ouvert un examen de la directive elle-même qui s'étendra jusqu'au Q4 2026. Nous suivons l'état de la transposition pays par pays dans une vue d'ensemble distincte des lois nationales sur les lanceurs d'alerte en Europe. Toute entreprise comptant au moins 50 salariés a aujourd'hui l'obligation légale de mettre en place une procédure interne de signalement pour les lanceurs d'alerte.
Le Berlaymont à Bruxelles, siège de la Commission européenne, l'institution qui a rédigé la directive et qui en contrôle maintenant la transposition
© Matthias v.d. Elbe (CC BY-SA 3.0)
Qui doit mettre en place un canal de signalement interne
La directive identifie trois groupes d'organisations tenues de mettre en place des canaux et procédures de signalement interne confidentiel. Les entités du secteur public sont couvertes quelle que soit leur taille, avec une exception étroite permettant aux États membres d'exempter les municipalités de moins de 10 000 habitants. Les entreprises du secteur privé comptant 50 salariés ou plus sont couvertes quel que soit leur activité. Les petites entreprises privées (moins de 50 salariés) sont concernées si elles opèrent dans des secteurs réglementés où le coût de l'inconduite est structurellement plus élevé : services financiers, lutte contre le blanchiment de capitaux, sécurité des transports, protection de l'environnement, et toute entreprise qui concourt pour des contrats de marchés publics à grande échelle.
Le seuil de 50 salariés est le plancher de la directive, non son plafond. Chaque État membre était libre d'aller plus loin lors de la transposition, et plusieurs l'ont fait. La loi polonaise de transposition s'applique à un catalogue plus large de violations que celui de la directive elle-même, y compris la corruption intérieure et certaines violations des droits constitutionnels. Le cadre français Sapin II, modifié pour s'aligner sur la directive, a conservé des règles de représailles plus strictes qui s'étendent aux entreprises en dessous du seuil de l'UE. Quiconque lit le texte de la directive et suppose que ce texte est la loi en vigueur dans chaque État membre va mal interpréter quelque chose.
Essayez gratuitement votre propre Système de signalement
L'échéance que personne n'a respectée
La directive a fixé une date limite de transposition de 17 décembre 2021 pour le secteur public et les entreprises du secteur privé comptant 250 salariés ou plus. Une deuxième date limite décalée de 17 décembre 2023 s'appliquait aux entreprises du secteur privé comptant entre 50 et 249 salariés. La première date limite est arrivée et seuls trois États (Danemark, Suède et Portugal) avaient des lois de transposition en place. La plupart des 24 autres l'ont manquée. À mi-2023, la Commission européenne avait ouvert une procédure d'infraction contre huit États, et avant la fin de 2024, elle avait enfin poussé les 27 à franchir la ligne. Les retardataires avaient pris en moyenne deux ans et demi de plus pour faire ce qu'ils s'étaient engagés à faire avant Noël 2021.
L'hémicycle du Parlement européen à Strasbourg, où la directive a été co-adoptée avec le Conseil en octobre 2019
© jeffowenphotos (CC BY 2.0)
La Pologne est le cas classique de retard. Le parlement polonais a adopté la Loi sur la protection des lanceurs d'alerte le 14 juin 2024 ; la loi est entrée en vigueur le 25 septembre 2024, près de trois ans après la date limite initiale de 2021. Les entités publiques ont bénéficié d'un délai de grâce supplémentaire jusqu'au 25 décembre 2024 pour mettre en place les canaux de signalement externe qu'elles auraient déjà dû faire fonctionner avant Noël 2021. Les entreprises polonaises ayant construit un canal conforme à la directive en attendant ont dû le réexaminer par rapport au texte national réel, qui (comme dans de nombreux États membres) a élargi le catalogue des violations signalables au-delà de la liste de la directive elle-même.
Examen de conformité 2024 de la Commission
Le 3 juillet 2024, la Commission européenne a publié son rapport de conformité statutaire sur la directive, COM(2024) 269 final. Les 27 États avaient transposé au moment où le rapport a été finalisé, et le principal constat était que tous l'avaient fait pour les dispositions principales de la directive. Le corps du rapport est plus sobre : des problèmes de non-conformité ont été identifiés dans environ la moitié des États membres, concentrés dans quatre domaines.
Une préoccupation est la portée matérielle, c'est-à-dire le catalogue de ce qui compte comme une violation signalable. Plusieurs États ont transposé la liste de la directive étroitement et ont omis les catégories que la directive était censée couvrir. Une deuxième est les conditions de protection, les règles qui décident du moment où un signataire se qualifie réellement comme lanceur d'alerte. Certaines lois nationales fixent la barre plus haut que la directive ne le fait, par exemple en ajoutant un test d'intérêt public en plus de la conviction raisonnable, ce qui rend plus difficile la qualification et plus facile l'exclusion des signalements marginaux.
Une troisième préoccupation est les garanties contre les représailles. La présomption de représailles de la directive est un outil probant qui transfère la charge sur l'employeur lorsqu'un lanceur d'alerte est licencié peu après la dénonciation ; dans certaines transpositions, elle a été affaiblie ou complètement omise. Enfin, le rapport signale les sanctions : certains cadres de pénalités nationales sont en dessous de la norme « efficace, proportionnée et dissuasive » de la directive, avec des amendes maximales qui ressemblent plus à du symbolique qu'à de la dissuasion sur le bilan d'une entreprise de taille moyenne.
Le rapport ne nomme pas et n'accuse pas État par État. Il signale les dispositions qui posent problème et signale que les procédures d'infraction restent sur la table. La Commission a clairement indiqué qu'elle avait l'intention de continuer à les utiliser.
Mars 2025 : la Cour de justice condamne cinq États à 38 millions d'euros
Le 6 mars 2025, la Cour de justice de l'Union européenne a rendu un jugement dans un groupe de procédures jointes (C-147/23 et C-149/23 à C-155/23) établissant que cinq États membres n'avaient pas respecté leurs obligations en vertu de la directive. La Cour a rejeté chaque défense et imposé des pénalités financières totalisant plus de 38 millions d'euros. L'Allemagne a été frappée d'une somme forfaitaire de 34 millions d'euros, de loin la plus importante. La République tchèque a reçu une somme forfaitaire de 2,3 millions d'euros, la Hongrie 1,75 million d'euros, le Luxembourg 375 000 euros. L'Estonie, dont la transposition était encore incomplète le jour du jugement, a reçu une somme forfaitaire de 500 000 euros plus une pénalité quotidienne de 1 500 euros qui continue de s'accumuler jusqu'à ce que la Commission certifie la conformité totale.
Kirchberg au Luxembourg, siège de la Cour de justice de l'Union européenne. Le 6 mars 2025, la Cour a condamné cinq États membres pour transposition tardive de la directive
© Cayambe (CC BY-SA 4.0)
Les jugements établissent, au-delà des chiffres de titre, que les dates limites de transposition de la directive sont exécutoires en espèces. La propre page de protection des lanceurs d'alerte de la Commission liste désormais les jugements aux côtés de son résumé de la directive, un signal discret indiquant que l'institution a l'intention de les utiliser comme précédent. Une deuxième vague d'actions d'infraction, cette fois ciblant la non-conformité plutôt que la non-transposition, a été ouvertement envisagée depuis le rapport de 2024.
Ce que la loi exige réellement à l'intérieur des entreprises
Les obligations de conformité de la directive sur un employeur couvert se répartissent en quatre catégories, et une loi nationale de transposition ne peut diluer aucune d'elles, mais seulement les compléter. L'obligation principale est un canal de signalement sécurisé et confidentiel : une voie interne par laquelle un salarié peut signaler une violation sans que son identité ne devienne connue au-delà des personnes désignées pour traiter la dénonciation. La directive est neutre sur le plan technologique ; elle ne prescrit pas un outil spécifique, mais le canal doit accepter les signalements écrits et oraux, doit accuser réception dans un délai de sept jours, et doit produire une réponse substantielle dans un délai de trois mois.
Aux côtés du canal vient la protection contre les représailles. Le licenciement, la rétrogradation, le refus de formation, le transfert de fonctions, le changement d'heures de travail, le refus de références, les mesures disciplinaires et toute autre conséquence négative d'avoir dénoncé sont tous interdits. La directive établit une présomption de représailles : si une mesure adverse est prise contre un salarié après qu'il ait dénoncé, l'employeur porte la charge de montrer que la mesure n'avait rien à voir avec la dénonciation. Les renonciations contractuelles au droit de signaler (du genre parfois intégrées dans les accords de confidentialité ou les accords de règlement) sont inapplicables.
Puis il y a la tenue de dossiers et le suivi. Le destinataire d'une dénonciation doit l'enregistrer, l'évaluer, prendre des mesures si des mesures sont justifiées, et informer le signataire du résultat à la marque des trois mois. Les règles de rétention sont bornées par les principes de minimisation des données du RGPD, de sorte que les dossiers ne peuvent pas être conservés indéfiniment. La quatrième obligation est l'accès aux canaux externes, généralement une autorité nationale désignée par la loi de transposition, que le salarié peut utiliser directement, sans d'abord passer par la voie interne, sans perte de protection.
Pratiquement : une adresse e-mail générique acheminée vers une boîte de réception RH d'entreprise n'est pas un canal conforme à la directive. Non plus qu'une ligne téléphonique que personne n'est contractuellement tenu de surveiller. Un ensemble conforme à la directive exige des gestionnaires désignés, des procédures documentées, des règles de rétention, et un chemin d'escalade clair, staffé par une équipe interne, un prestataire externalisé, ou un Délégué à la protection des données ayant la bande passante pour réellement faire le travail.
L'évaluation 2026 et ce qui pourrait changer
L'article 27(3) de la directive elle-même exigeait que la Commission européenne rapporte au Parlement et au Conseil avant le 17 décembre 2025 sur le fonctionnement de la directive et si sa portée devrait être élargie. Dans le cadre de ce travail, la Commission a ouvert une consultation publique « Donnez votre avis » qui s'est déroulée du 25 août au 18 septembre 2025, alimentant un plan d'action plus large sur la protection des lanceurs d'alerte dont l'évaluation complète est due d'ici le Q4 2026.
Une position prenant forme dans les réponses à la consultation, articulée par des observateurs de la société civile tels que l'Institut européen des lanceurs d'alerte, est que le texte de la directive est solide et que les défaillances sont dans la mise en œuvre. Le directeur exécutif de l'institut, Vigjilenca Abazi, a noté que certaines des institutions mêmes chargées de la protection ont fait face à une interférence politique qui mine leur crédibilité, et a plaidé pour des autorités nationales indépendantes habilitées à surveiller, sanctionner et appliquer. Sur cette lecture, la réponse est de faire pression plus fort sur la conformité, plutôt que de rouvrir un texte difficile à obtenir.
L'autre ligne d'argument anticipe une pression de direction opposée. Les commentateurs de la société civile ont soulevé le risque que les acteurs commerciaux poussent l'évaluation vers des protections plus faibles : augmenter le seuil du canal interne de 50 à 250 salariés, réduire la portée matérielle des violations qui déclenchent la protection, le tout présenté comme une « simplification ». Rien de cela n'est une proposition de la Commission pour l'instant. Mais pour toute entreprise qui a construit un canal conforme sous le texte actuel, la possibilité a de l'importance : une entreprise de 60 personnes qui aujourd'hui doit gérer un canal interne pourrait, sur un projet différent de la directive, être exempte, et la bataille politique se déroulera aux côtés de l'évaluation elle-même.
Les drapeaux des États membres devant le Parlement européen à Bruxelles. Avant la fin de 2024, les 27 avaient transposé la directive, dans des textes nationaux largement différents
© Marek Ślusarczyk (CC BY 3.0)
La loi de transposition qui lie réellement votre organisation est l'acte national dans votre pays, et elle est presque certainement différente de ce que la résumé de la directive décrit en gros plan. Si vous n'avez pas encore adopté un système de lanceurs d'alerte conforme à la directive, les amendes de mars 2025 doivent être perçues comme le signal sans équivoque que l'application de la loi est réelle et que « nous sommes toujours en train de travailler dessus » n'est plus une position défendable. Nous fournissons un système de lanceurs d'alerte entièrement conforme à la directive avec une implémentation en un jour ; voir comment fonctionne le Système de signalement.
Conseiller juridique, spécialisé dans le droit des affaires, le droit commercial et le droit de la propriété intellectuelle. Il est conseiller juridique et commercial pour des entreprises des secteurs du commerce électronique, de l'informatique et du marketing numérique.
