Le 23 octobre 2019, le Parlement européen et le Conseil européen ont adopté la Directive (UE) n° 2019/1937 sur la protection des personnes qui signalent des violations du droit de l’Union. La Directive s’applique tant au secteur public qu’au secteur privé et s’applique à toute personne agissant dans un contexte professionnel. Les (anciens) travailleurs, les fonctionnaires, les consultants, les stagiaires (non rémunérés), les directeurs, les actionnaires sont tous protégés lorsqu’ils dénoncent une violation.
Le cabinet d’avocats Lydian livre une synthèse de cette nouvelle réglementation importante dans la mesure où les lanceurs d’alerte potentiels sont souvent découragés de signaler de telles violations par crainte de représailles.
Le champ d’application de la Directive est large. Il porte sur les violations relatives aux services et marchés financiers, au blanchiment d’argent, aux marché publics, à la sécurité des transports, à la protection de l’environnement, à la protection des consommateurs et à la santé publique, ainsi que toutes les violations liées au marché intérieur. La législation nationale peut étendre ce champ d’application afin de garantir un cadre global et cohérent pour la protection des lanceurs d’alerte.
La Directive impose les obligations minimales suivantes:
– Les procédures internes – Chaque société du secteur privé ayant 50 travailleurs ou plus doit prévoir un canal ou une procédure suffisamment confidentielle et sécurisée pour le signalement interne par des lanceurs d’alerte. En principe, dans le secteur public, toutes les entités sont visées mais les Etats membres peuvent prévoir certaines exemptions (par exemple: pas pour les entités ayant moins de 50 travailleurs);
– Les procédures externes – Les Etats membres doivent prévoir un canal de signalement externe, indépendant et adéquat. Il n’est pas obligatoire d’utiliser le canal interne en premier lieu mais les Etats membres devraient encourager cette utilisation préalable;
– L’interdiction des mesures de représailles – Il existe une interdiction des mesures de représailles (licenciement, mais également, une évaluation négative, une modification des conditions de travail, des sanctions disciplinaires par exemple) contre les lanceurs d’alerte. Les obligations légales ou contractuelles, telles que les clauses de loyauté ou les obligations de confidentialité, ne peuvent pas empêcher l’application de la protection;
– Les sanctions effectives – Les Etats membres doivent prévoir des sanctions effectives à l’encontre de ceux qui entravent les signalements ou prennent des mesures de rétorsion;
La protection des données – Etant donné que le lancement d’alerte implique le traitement de données à caractère personnel, les obligations générales du RGDP s’appliquent et doivent être respectées.
La Belgique doit transposer la Directive en droit national pour le 17 décembre 2021. Cela signifie qu’à cette date, les nouvelles règles doivent être en place pour tout le secteur privé, puisqu’il n’y a pour l’instant aucun cadre juridique pour les lanceurs d’alerte, sauf pour les secteurs des banques et des assurances. Dans le secteur public, cette législation et les règles existantes devront être évaluées au regard des normes minimales de la Directive. La recommandation du cabinet est la suivante: « les sociétés ou organisations qui n’ont pas encore de procédures pour les lanceurs d’alerte doivent vérifier si les règles leurs sont applicables et, si nécessaire, prévoiront des procédures spécifiques. En principe, cela devra également être fait pour le 17 décembre 2021, mais les Etats membres pourrons prévoir que cette obligation s’appliquera uniquement à partir du 17 décembre 2023 pour les sociétés du secteur privé ayant 50 à 249 travailleurs. Les sociétés qui ont déjà des procédures pour les lanceurs d’alerte (par exemple car elles sont déjà soumises à des règles existantes ou qu’elles appartiennent à un groupe international qui requiert ce type de procédure globale) devront revoir leurs procédures existantes à la lumière de la nouvelle législation. »
Source: Lydian