La loi n° 2022-401 du 21 mars 2022, dite « loi Waserman », a profondément renforcé la protection des lanceurs d’alerte en France. Pour les employeurs, elle impose de nouvelles obligations concrètes, notamment la mise en place d’un canal de signalement interne. Voici tout ce qu’il faut savoir.
Qui est lanceur d’alerte ?
Depuis la loi Waserman, un lanceur d’alerte est une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur :
- Un crime ou un délit
- Une menace ou un préjudice pour l’intérêt général
- Une violation du droit de l’Union européenne
- Une tentative de dissimulation de l’une de ces infractions
La loi a élargi la définition en supprimant l’exigence que le lanceur d’alerte ait eu « personnellement connaissance » des faits dans le cadre de son travail. Désormais, toute personne ayant connaissance des faits peut signaler.
Étape 1 : Mettre en place un canal de signalement interne
Depuis le 1er septembre 2022, toute entreprise de 50 salariés et plus doit disposer d’une procédure interne de recueil et de traitement des signalements (article 8 de la loi Sapin II modifié).
Ce canal doit garantir :
- La confidentialité de l’identité du lanceur d’alerte
- La confidentialité des personnes mises en cause
- La confidentialité des informations recueillies
- Un accusé de réception dans un délai de 7 jours
- Un retour au lanceur d’alerte dans un délai raisonnable (3 mois maximum)
Étape 2 : Connaître la procédure de signalement
La loi Waserman a simplifié la procédure. Le lanceur d’alerte peut désormais choisir librement entre :
- Le signalement interne (canal de l’entreprise)
- Le signalement externe (autorité compétente : Défenseur des droits, CNIL, ARS, AMF, etc.)
Il n’est plus obligé de passer par le canal interne d’abord. C’est un changement majeur par rapport au système précédent qui imposait un signalement interne préalable.
La divulgation publique (médias, réseaux sociaux) reste un dernier recours, possible uniquement si les signalements interne et externe n’ont pas donné de résultat dans les délais prévus, ou en cas de danger grave et imminent.
Étape 3 : Protéger le lanceur d’alerte
La protection contre les représailles est au cœur du dispositif. Sont interdites toutes mesures de représailles :
- Licenciement, non-renouvellement de CDD
- Sanctions disciplinaires
- Discrimination dans l’évolution de carrière
- Mise à l’écart, harcèlement
- Atteinte à la réputation
Le salarié lanceur d’alerte qui fait l’objet de mesures de représailles peut saisir le juge des référés pour obtenir la nullité de la mesure et sa réintégration, ainsi que des dommages-intérêts.
Étape 4 : Respecter le référentiel CNIL
Le traitement des données personnelles dans le cadre des alertes professionnelles est encadré par le référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins d’alertes professionnelles.
Points clés du référentiel :
- Base légale : obligation légale de l’employeur (article 6.1.c du RGPD)
- Durée de conservation : destruction dans les 2 mois si le signalement est hors champ ; conservation pendant la durée du traitement et des éventuelles procédures si recevable
- Accès restreint : seules les personnes spécifiquement habilitées peuvent accéder aux données
- Information : la personne mise en cause doit être informée dès que la conservation des preuves est assurée
Checklist lanceur d’alerte
- Mettre en place un canal de signalement interne (entreprises de 50+ salariés)
- Désigner un référent ou un prestataire externe pour le traitement des alertes
- Rédiger une procédure interne claire et accessible
- Former les managers et les RH à la protection des lanceurs d’alerte
- Afficher les informations dans un lieu accessible à tous
- Se conformer au référentiel CNIL pour le traitement des données
