La loi Sapin 2 de 2016 et la Directive de 2019
La loi du 9 décembre 2016 (n° 2016-1691) « relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique », dite « Loi Sapin 2 », a créé pour la première fois en France un processus général de recueillement et de traitement des signalements, assorti d’une protection des lanceurs d’alerte, au sein des entreprises, des collectivités et des administrations. En avance sur son temps, elle a servi de modèle à la directive européenne qui a suivi quelques années plus tard, la Directive du 23 octobre 2019 (n° 2019/1937) « sur la protection des personnes qui signalent des violations du droit de l’Union ».
LA LOI DU 21 MARS 2022
La Directive a contraint le législateur français à adapter la loi Sapin 2 sur plusieurs points, sans pour autant en déformer les grandes lignes.
C’est ainsi que la loi du 21 mars 2022 (n° 2022-401) « visant à améliorer la protection des lanceurs d’alerte » :
■ étend le cercle des lanceurs d’alerte (en ouvrant notamment le dispositif aux actionnaires, associés, titulaires de droit de vote et cocontractants de l’entité, en supprimant la condition de désintéressément au profit de celle d’absence de contrepartie financière directe et en limitant la condition tenant à la connaissance personnelle des faits signalés) ;
■ étend la protection des lanceurs d’alerte aux facilitateurs et à l’entourage du lanceur d’alerte, qui pourraient également faire l’objet de représailles ;
■ étend les faits susceptibles de signalements (les violations d’une règle de droit n’ont plus à être graves et manifestes) ;
■ libéralise le choix des destinataires des signalements (déhiérarchisation des signalements internes et externes, et même du signalement public en certains cas) ;
■ renforce la protection des lanceurs d’alerte (conservation limitée, confidentialité et intégrité des données), en particulier contre toutes représailles (affirmation expresse d’une irresponsabilité civile, pénale et sociale, et neutralisation de toute renonciation à la protection).
Cette loi est entrée en vigueur le 1er septembre 2022.
PÉRIMÈTRE DES ENTREPRISES CONCERNÉES
L’un des points importants est relatif au périmètre des entités tenues d’établir une procédure de recueillement et de traitement des signalements. La loi nouvelle apporte des précisions.
S’agissant des entreprises privées, la loi Sapin 2 distingue désormais trois cas :
■ toute entreprise employant au moins 50 salariés est tenue d’établir une procédure interne (art. 8, I, B, 3°) ;
■ toutes les entreprises employant moins de 250 salariés peuvent mettre en commun leur procédure de recueil et de traitement des signalements (art. 8, I, B, avant-dernier alinéa) ;
■ les sociétés d’un groupe peuvent organiser une procédure commune de recueil et de traitement des signalements, ou peuvent prévoir la simple transmission à une autre société du groupe des informations relatives à un signalement effectué dans l’une des sociétés du groupe (art. 8.I.C).
Un décret est venu préciser tout cela, même s’il a tardé puisqu’il n’est intervenu que le 3 octobre 2022 (n° 2022-1284). Il est en vigueur depuis le 5 octobre dernier.
CAS DE MISE EN COMMUN DE LA PROCÉDURE D'ALERTE
Arrêtons-nous aux cas autorisés de mise en commun de la procédure ; il y en a deux : le premier concerne les entreprises indépendantes de moins de 250 salariés et le second les sociétés appartenant à un groupe.
ENTREPRISES INDÉPENDANTES DE MOINS DE 250 SALARIÉS : UNE POSSIBLE MISE EN COMMUN
Pour les entreprises indépendantes de moins de 250 salariés, le décret vient préciser la condition de mise en commun à remplir : une « décision concordante de leurs organes compétents », ce qui va de soi s’agissant d’entreprises indépendantes (art. 7.II). Mais il restreint la mise en commun à la seule réception des signalements d’une part, et à l’évaluation de l’exactitude des allégations d’autre part. Il en résulte que les autres obligations (et notamment l’examen de la recevabilité, la mise en œuvre des moyens de remédiation, l’information de la clôture du traitement, etc.) restent de la seule responsabilité de l’entreprise concernée, restriction que ne semblait pas postuler la loi, qui vise sans distinction le « traitement » du signalement ; mais on peut comprendre cette limite car il paraît légitime de laisser à l’entreprise visée la responsabilité des conséquences du signalement et de son éventuelle remédiation.
GROUPE DE SOCIÉTÉS : PAS D'ALERTE DE GROUPE
Pour les sociétés membres d’un groupe, le décret manque de clarté et de précision mais, pris à la lettre, ne semble pas permettre la création d’une procédure commune fondée sur le seul critère du groupe puisqu’il permet seulement, pour une entité d’un groupe (art.4. II dernier al.) :
■ de demander à un lanceur d’alerte d’adresser également son signalement à une autre société du groupe ( cumulativement) ou
■ de l’inviter à retirer son signalement initial et d’en effectuer un uniquement auprès de l’entité du groupe qui serait à même de le traiter de manière plus efficace (exclusivement).
Le décret prévoit enfin la possibilité pour une entité d’un groupe de pouvoir diffuser sa procédure de recueil et de traitement à d’autres entités du même groupe (art. 8.2). Précisons que le groupe est celui défini par les critères de la consolidation des comptes de l’article L. 233-16 du Code de commerce auquel renvoie le décret (art. 8).
Par conséquent, il semble bien que la seule possibilité de mise en commun du processus d’alerte (réception et vérification) entre sociétés membres d’un groupe est celle prévue pour les entreprises de moins de 250 salariés : mise en commun du canal de réception des signalements et de l’évaluation de l’exactitude des allégations par une décision concordante de l’organe compétent de chaque entité sans que la société mère puisse l’imposer à ses filiales (art. 7. II du décret).
« Les entités peuvent adopter une procédure identique à plusieurs d’entre elles, sous réserve d’une décision concordante des organes compétents de chacune d’elles. Il peut en être ainsi, notamment, dans les groupes de sociétés »
Est-ce un oubli ? Pas forcément, ce que semble confirmer la notice qui précède le texte du décret : « Les entités peuvent adopter une procédure identique à plusieurs d’entre elles, sous réserve d’une décision concordante des organes compétents de chacune d’elles. Il peut en être ainsi, notamment, dans les groupes de sociétés ». Peut-être est-ce le souci de ne pas éloigner le processus de l’entité concernée et donc du lanceur d’alerte.
Cette position est par ailleurs celle de la Commission européenne, qui avait déjà indiqué en juin 2021 que la Directive de 2019 prévoit que la mise en commun ne peut s’opérer que pour les sociétés de moins de 250 salariés, qu’elles fassent ou non partie d’un groupe et que toutes les autres doivent opérer par leur propre dispositif.
C’est une différence notable avec le régime du devoir la vigilance dans les grandes sociétés mères (et entreprises donneuses d’ordres) issu de la loi du 27 mars 2017 (n° 2017-399). L’article L. 225-102-4 du Code de commerce qui en est issu prévoit en effet un mécanisme centralisé. Mais si on peut comprendre que le champ d’application du devoir de vigilance soit par nature international, il n’en va pas de même de la procédure d’alerte dont on peut penser qu’elle sera surtout efficace si elle est centrée sur l’entité en cause.