Le dispositif d’alerte fonction publique n’est plus une simple bonne pratique : c’est une obligation légale pour de nombreuses administrations et collectivités territoriales. Depuis la loi Sapin 2, renforcée par la loi Waserman et la directive européenne 2019/1937, les employeurs publics doivent offrir à leurs agents un canal de signalement sécurisé et confidentiel. Mais qui est réellement concerné ? Comment articuler référent déontologue et référent alerte ? Et comment une commune ou un EPCI aux moyens limités peut-il se mettre en conformité sans complexité ni budget démesuré ? Cet article fait le point sur les entités visées, le cadre juridique et les étapes pratiques d’une mise en œuvre sereine. Pour replacer le sujet dans son contexte sectoriel, consultez notre dossier consacré aux dispositifs d’alerte par secteur.
Qui est concerné par le dispositif d’alerte dans la fonction publique ?
Le champ d’application du dispositif d’alerte fonction publique est large et souvent mal connu des élus locaux. La loi impose la mise en place d’une procédure de recueil et de traitement des signalements à toutes les personnes morales de droit public employant au moins cinquante agents, ainsi qu’à certaines catégories définies par seuil démographique. Concrètement, cela englobe une part importante des collectivités et de leurs groupements.
Il convient de distinguer deux logiques : le seuil d’effectif (au moins 50 agents) qui vaut pour la plupart des employeurs publics, et le seuil de population qui vise spécifiquement les communes de plus de 10 000 habitants, ainsi que les départements et régions. Les établissements publics rattachés et les EPCI de taille significative entrent également dans le périmètre.
| Entité publique | Critère d’obligation | Dispositif requis |
|---|---|---|
| Communes | Plus de 10 000 habitants (ou 50 agents et plus) | Oui |
| Départements et régions | Toutes, sans condition de seuil | Oui |
| EPCI (métropoles, communautés, etc.) | Plus de 10 000 habitants dans le ressort | Oui |
| Établissements publics (CCAS, syndicats, hôpitaux) | 50 agents et plus | Oui |
| Administrations de l’État | Ministères et services déconcentrés | Oui |
| Petites communes (moins de 10 000 hab.) | En dessous des seuils | Recommandé (mutualisation possible) |
Même en l’absence d’obligation stricte, doter une petite collectivité d’un canal de signalement reste vivement conseillé : cela protège l’agent, sécurise l’employeur et renforce la confiance interne. Les logiques diffèrent d’ailleurs peu de celles observées dans le secteur privé, comme le montre notre analyse dédiée à la solution de signalement pour les PME.
Référent déontologue et référent alerte : deux rôles complémentaires
La fonction publique se distingue par la coexistence de deux figures. Le référent déontologue, prévu par le statut général des fonctionnaires, conseille les agents sur les questions d’éthique, de conflits d’intérêts et de cumul d’activités. Le référent alerte, quant à lui, reçoit et traite les signalements dans le cadre du dispositif Sapin 2 / Waserman.
Ces deux fonctions peuvent être exercées par la même personne dans les structures modestes, ou distinguées dans les grandes administrations. Ce qui compte, c’est que l’agent chargé de traiter les alertes soit clairement identifié, formé, et dispose d’une réelle indépendance ainsi que des moyens de garantir la confidentialité.
Les garanties dues au lanceur d’alerte
Tout agent public qui signale de bonne foi bénéficie d’une protection renforcée : interdiction des représailles, confidentialité de son identité, irresponsabilité pénale et civile sous conditions. Le référent alerte doit accuser réception sous sept jours ouvrés et informer l’auteur du signalement des suites données dans un délai raisonnable, en principe trois mois. Pour approfondir les droits et le statut des agents, consultez notre page dédiée au lanceur d’alerte dans la fonction publique.
TrustBox : la solution simple et abordable
Dispositif d’alerte conforme loi Sapin 2 et Waserman, hébergé en UE, certifié RGPD et ISO 27001. À partir de 29 €/mois pour les entreprises de moins de 50 salariés.
Comment mettre en place un dispositif conforme dans le secteur public
Déployer un dispositif d’alerte fonction publique conforme suit une logique en quelques étapes claires, accessibles même aux collectivités disposant de peu de ressources en interne.
- Désigner le référent alerte et, le cas échéant, articuler son rôle avec celui du référent déontologue.
- Rédiger la procédure interne décrivant les modalités de recueil, de traitement et de suivi des signalements.
- Choisir un canal sécurisé garantissant l’anonymat et la traçabilité, idéalement une plateforme numérique dédiée.
- Informer les agents par une communication interne accessible et régulière.
- Consigner et archiver les signalements dans le respect des règles applicables.
Pour un déroulé détaillé et transposable, notre guide pratique sur la mise en place d’un dispositif d’alerte complète utilement ces étapes.
La mutualisation, une solution pour les petites collectivités
La réglementation autorise expressément la mutualisation du dispositif entre plusieurs entités publiques, notamment au niveau intercommunal. Un EPCI peut ainsi porter un canal de signalement commun pour ses communes membres, ou plusieurs petites collectivités peuvent s’associer. Cette faculté réduit les coûts, professionnalise le traitement des alertes et évite la dispersion des compétences. C’est une réponse concrète et éprouvée aux contraintes budgétaires du bloc communal, dans le même esprit que le dispositif d’alerte pensé pour les PME.
Spécificités RGPD et archives publiques
Le secteur public cumule deux exigences documentaires fortes : la protection des données personnelles et les obligations d’archivage propres aux administrations. Le dispositif doit donc concilier confidentialité renforcée et conservation encadrée.
Sur le plan RGPD, les données de signalement sont sensibles : accès strictement limité au référent, durée de conservation proportionnée, information des personnes concernées et inscription au registre des traitements. Les données doivent être supprimées ou anonymisées lorsque le signalement n’entre pas dans le champ du dispositif ou une fois la procédure close, sauf obligation légale de conservation.
Côté archives publiques, certaines pièces peuvent relever des règles de conservation administrative. L’enjeu est de définir en amont une politique de rétention claire, distinguant ce qui doit être détruit rapidement de ce qui doit être conservé à titre de preuve. Le choix d’une solution hébergée en Union européenne et certifiée est ici déterminant. Ces exigences rejoignent le cadre général posé par la loi Sapin 2 et les fonctionnalités attendues d’un logiciel de signalement professionnel.
Pourquoi TrustBox convient aux collectivités et administrations
Les employeurs publics recherchent une solution à la fois conforme, sécurisée et économe des deniers publics. TrustBox répond précisément à ces attentes. Son hébergement 100 % en Union européenne, ses certifications RGPD, ISO/IEC 27001 et ISAE 3000 Type 1, ainsi que sa conformité WCAG 2.1 en font un outil adapté aux exigences d’accessibilité et de souveraineté du secteur public.
L’anonymat total, la conversation bidirectionnelle et le tableau de bord permettent au référent alerte de traiter chaque signalement dans les délais légaux. L’installation en dix minutes et l’absence de matériel à déployer conviennent aux services aux ressources techniques limitées. Enfin, à partir de 29 €/mois, TrustBox se révèle jusqu’à dix fois plus abordable que des solutions concurrentes comme Whispli, EQS ou Navex, souvent facturées plus de 200 €/mois. Pour une commune, un CCAS ou un EPCI mutualisé, l’équation budgétaire est nettement favorable.
Une commune de moins de 10 000 habitants doit-elle avoir un dispositif d’alerte ?
Elle n’y est pas strictement obligée si elle emploie moins de 50 agents et compte moins de 10 000 habitants. La mise en place reste toutefois recommandée, et la mutualisation avec l’EPCI ou d’autres communes permet de se conformer à moindre coût.
Quelle différence entre référent déontologue et référent alerte ?
Le référent déontologue conseille les agents sur l’éthique et les conflits d’intérêts. Le référent alerte reçoit et traite les signalements du dispositif Sapin 2. Une même personne peut cumuler les deux rôles dans les petites structures.
Plusieurs collectivités peuvent-elles partager un même dispositif ?
Oui. La réglementation autorise la mutualisation, notamment au niveau intercommunal. Un EPCI peut porter un canal commun pour ses communes membres, ce qui réduit les coûts et professionnalise le traitement des alertes.
Combien de temps conserver les données d’un signalement dans le secteur public ?
La durée doit être proportionnée : suppression ou anonymisation lorsque le signalement est hors champ ou la procédure close, sauf obligation légale ou d’archivage. Une politique de rétention claire, définie en amont, est indispensable.
Conclusion
Mettre en place un dispositif d’alerte fonction publique n’a rien d’insurmontable, même pour une petite collectivité. En identifiant clairement les entités concernées, en désignant un référent alerte, en s’appuyant sur la mutualisation et en respectant les règles RGPD et d’archivage, chaque administration peut se conformer sereinement à la loi tout en protégeant ses agents. TrustBox rend cette démarche simple, rapide et accessible financièrement. Découvrez TrustBox et essayez gratuitement, sans carte bancaire.