Adoptée le 23 octobre 2019, la directive européenne lanceurs d’alerte (directive UE 2019/1937) a profondément transformé la protection des personnes qui signalent des atteintes au droit de l’Union. Pourquoi ce texte concerne-t-il directement votre entreprise, même si vous ne connaissez que la loi française ? Parce qu’il fixe un socle commun de règles applicable dans les 27 États membres et impose des obligations concrètes aux organisations de plus de 50 salariés. Cet article présente les objectifs de la directive, son champ d’application, les trois canaux de signalement, les protections minimales garanties et sa transposition en France. Pour une vue d’ensemble du cadre national, consultez notre dossier complet sur la loi Sapin 2, dont ce texte européen constitue la toile de fond.
Pourquoi la directive européenne sur les lanceurs d’alerte a-t-elle été adoptée ?
Avant 2019, la protection des lanceurs d’alerte variait fortement d’un pays à l’autre. Seule une dizaine d’États membres disposaient d’une législation complète, laissant de nombreux salariés sans recours face aux représailles. La directive européenne lanceurs d’alerte répond à ce morcellement en établissant un niveau minimal de protection uniforme dans toute l’Union.
Son objectif premier est de renforcer l’application du droit de l’Union en encourageant le signalement des infractions. Les lanceurs d’alerte jouent un rôle essentiel pour détecter la fraude, la corruption, les atteintes à l’environnement ou les manquements en matière de sécurité des produits. Or, la crainte des représailles — licenciement, mise à l’écart, poursuites — dissuade encore trop souvent de parler. En sécurisant juridiquement ces personnes, la directive vise à faire remonter l’information là où elle peut être traitée : au sein même des organisations, avant que le préjudice ne s’aggrave.
Il s’agit donc autant d’un outil de conformité que d’un levier de bonne gouvernance. Pour les entreprises, mettre en place un dispositif d’alerte n’est plus seulement une obligation : c’est un moyen d’identifier tôt les risques internes et de préserver leur réputation.
Le champ d’application : quelles infractions et quelles entités ?
La directive couvre les signalements portant sur des atteintes au droit de l’Union dans des domaines précisément énumérés. Comprendre ce périmètre est indispensable pour dimensionner correctement son dispositif.
Les domaines couverts
Le texte s’applique aux violations relevant notamment des secteurs suivants :
- marchés publics et services financiers ;
- prévention du blanchiment de capitaux et du financement du terrorisme ;
- sécurité et conformité des produits ;
- sécurité des transports ;
- protection de l’environnement et sûreté nucléaire ;
- santé publique, sécurité des aliments et bien-être animal ;
- protection des consommateurs et protection des données à caractère personnel (RGPD) ;
- sécurité des réseaux et des systèmes d’information.
Les États membres restent libres d’étendre ce socle à d’autres domaines lors de la transposition — ce que la France a fait en couvrant largement les crimes, délits et manquements au droit national.
Les entités concernées
L’obligation de mettre en place un canal de signalement interne vise les entités juridiques, publiques comme privées, employant au moins 50 salariés. Les entreprises actives dans les services financiers, ou exposées au risque de blanchiment, sont soumises à cette obligation quel que soit leur effectif. Pour savoir précisément si votre structure est visée, notre page dédiée détaille les organisations concernées par l’obligation de signalement.
TrustBox : la solution simple et abordable
Dispositif d’alerte conforme loi Sapin 2 et Waserman, hébergé en UE, certifié RGPD et ISO 27001. À partir de 29 €/mois pour les entreprises de moins de 50 salariés.
Les trois canaux de signalement prévus par la directive
La directive organise le signalement autour de trois voies complémentaires. Le lanceur d’alerte n’est plus tenu de suivre un ordre strict : il peut s’adresser directement à une autorité externe s’il le souhaite, un principe repris par le droit français. Le tableau ci-dessous en résume la logique.
| Canal | Destinataire | Quand l’utiliser | Garanties clés |
|---|---|---|---|
| Signalement interne | Le dispositif mis en place par l’employeur | Priorité recommandée lorsque l’atteinte peut être traitée en interne sans risque de représailles | Accusé de réception sous 7 jours, retour sous 3 mois, confidentialité de l’identité |
| Signalement externe | Autorité compétente (en France, le Défenseur des droits oriente vers l’autorité idoine) | À tout moment, directement ou après un signalement interne resté sans réponse | Circuits sécurisés, personnel formé, mêmes délais de retour |
| Divulgation publique | Presse, réseaux sociaux, société civile | En cas de danger imminent, de risque de représailles ou d’inaction des autorités | Protection maintenue si les conditions légales sont réunies |
Pour les canaux internes, l’organisation doit désigner une personne ou un service impartial chargé du suivi, garantir la confidentialité et documenter chaque étape. Ces exigences rejoignent celles de l’article 17 de la loi Sapin 2 relatif aux procédures internes de recueil des signalements.
Les protections minimales garanties aux lanceurs d’alerte
Le cœur de la directive réside dans son bouclier contre les représailles. Sont interdites, sous toutes leurs formes, les mesures de rétorsion : licenciement, suspension, rétrogradation, refus de promotion, changement de fonctions, réduction de salaire, intimidation ou inscription sur une liste noire.
Plusieurs mécanismes renforcent cette protection :
- le renversement de la charge de la preuve : c’est à l’employeur de démontrer qu’une mesure défavorable n’est pas liée au signalement ;
- l’irresponsabilité civile et pénale du lanceur d’alerte pour l’obtention des informations signalées, dès lors qu’elle était nécessaire et licite ;
- l’extension de la protection aux facilitateurs, collègues et proches du lanceur d’alerte ;
- l’accès à des mesures de soutien, incluant conseils juridiques et information.
Pour bénéficier de ces garanties, la personne doit avoir agi de bonne foi et avoir eu des motifs raisonnables de croire à la véracité des faits. Ces principes fondent le statut protecteur détaillé dans notre dossier consacré au lanceur d’alerte.
La transposition dans les États membres et l’enjeu multi-pays
Les États membres devaient transposer la directive avant le 17 décembre 2021. En France, cette transposition s’est traduite par la loi Waserman du 21 mars 2022, qui a renforcé et clarifié le régime issu de la loi Sapin 2. Le droit français va d’ailleurs plus loin que le socle européen sur plusieurs points, notamment en supprimant la hiérarchie entre canaux interne et externe.
Chaque pays ayant transposé la directive avec ses propres spécificités, une entreprise présente dans plusieurs États membres fait face à une mosaïque d’obligations : seuils, délais, périmètre des faits signalables et sanctions peuvent varier. Ignorer ces différences expose à des risques juridiques et financiers réels — notre page sur les sanctions applicables illustre l’ampleur des enjeux.
La bonne pratique consiste à déployer un dispositif harmonisé, capable de gérer plusieurs langues et plusieurs entités tout en respectant les particularités locales. C’est précisément l’objet de notre dossier sur la conformité internationale, qui compare les régimes nationaux au sein de l’Union et au-delà. Un logiciel de signalement centralisé permet ainsi d’assurer une conformité cohérente sans multiplier les procédures.
La directive européenne s’applique-t-elle directement aux entreprises ?
Non. Une directive doit être transposée en droit national pour produire ses effets. En France, ce sont la loi Sapin 2 et la loi Waserman qui s’appliquent aux entreprises. La directive fixe toutefois le socle minimal que la loi française doit respecter, et peut dépasser.
Quel est le seuil d’effectif pour être obligé de mettre en place un canal interne ?
La directive vise les entités d’au moins 50 salariés. Certaines entreprises, notamment dans les services financiers ou exposées au risque de blanchiment, sont concernées quel que soit leur effectif.
Un salarié peut-il saisir directement une autorité externe ?
Oui. La directive, comme le droit français, autorise le signalement externe direct sans passer d’abord par le canal interne. La divulgation publique reste possible dans des conditions plus strictes, par exemple en cas de danger imminent.
Quels délais de traitement le dispositif doit-il respecter ?
Un accusé de réception doit être envoyé dans les sept jours suivant le signalement, et un retour d’information communiqué dans un délai raisonnable n’excédant pas trois mois.
Conclusion
La directive européenne 2019/1937 a posé les fondations d’une protection uniforme des lanceurs d’alerte dans toute l’Union, déclinée en France par la loi Waserman. Pour les entreprises de plus de 50 salariés, et a fortiori pour celles présentes dans plusieurs pays, disposer d’un dispositif conforme, sécurisé et centralisé n’est plus optionnel. TrustBox vous permet de répondre à ces exigences en dix minutes, avec un hébergement 100 % européen et des tarifs jusqu’à dix fois inférieurs à ceux des solutions historiques. Découvrez TrustBox et lancez votre essai gratuit sans carte bancaire.