Les nouveautés sur le thème du lancement d’alerte n’en finissent pas. Alors que les dispositions du Décret-législatif italien n° 24 du 10 mars 2023 sont déjà en vigueur pour les entreprises de 250 salariés ou plus, les entreprises employant de 50 à 249 salariés ne sont concernées que depuis le dernier 17 décembre, ce qui les oblige à mettre en place des systèmes de lancement d’alerte. Quel est l’impact de tout ceci sur le travail des cabinets juridiques spécialisés ?

Nous avons interrogé certains des cabinets qui aident les sociétés à remplir leurs obligations au titre de la règlementation sur la protection des personnes qui signalent des violations des dispositions réglementaires nationales ou européennes. Six mois après l’entrée en vigueur, le groupe de travail spécialisé du cabinet De Luca & Partners a analysé l’état d’avancement de l’application concrète du décret par les entreprises, et il est apparu qu’elles sont encore loin de se conformer aux dispositions. « Nous constatons une tendance générale à sous-estimer la complexité des activités à réaliser pour se conformer aux dispositions du Décret sur le lancement d’alerte », déclare Vittorio De Luca, Managing Partner chez De Luca & Partners.

« Les entreprises tardent à évaluer soigneusement à travers quel système, y compris informatique, les lancements d’alerte doivent être effectués, en pleine conformité avec la réglementation actuelle sur la protection des données. En outre, il convient de s’assurer que le code disciplinaire adopté soit adéquat afin d’éviter que les mesures disciplinaires prises ne soient annulées. Le tout, dans un cadre réglementaire qui consacre deux risques particulièrement significatifs : une sanction pouvant aller jusqu’à 50 000 euros et, surtout, la perte des circonstances exonératoires prévues par le décret législatif italien 231/01 ».

La version intégrale de l’interview a été publiée dans ItaliaOggi7 en kiosque le 19 février 2024.

Après une longue attente et plusieurs reports, le 25 mars 2023, a été publié au Journal officiel de la République  italienne n° 63 du 15 mars 2023, le Décret législatif italien n° 24 du 10 mars 2023 (le « Décret »), décret par le biais duquel le législateur italien a transposé la directive (UE) 2019/1937 « sur la protection des personnes qui signalent des violations du droit de l’Union et incluant des dispositions sur la protections des personnes qui signalent des violations des dispositions normatives nationales » (également connue sous le nom « directive sur le lancement d’alertes ». Ci-après désignée « Directive », par souci de concision).

Que faut-il entendre par « auteur de signalement » ou « whistleblower » ? 

L’expression « auteur de signalement » ou le terme « whistleblower » – qui en anglais veut littéralement dire « celui qui souffle dans un sifflet » – désigne une personne qui, dans l’intérêt public, signale un acte répréhensible dont elle a eu connaissance dans le cadre de son travail.  

Il convient de préciser d’emblée que les réclamations de nature personnelle qui concernent exclusivement les relations individuelles de travail, la protection du secret professionnel médico-légal et les délibérations des organes judiciaires ne sont pas censées faire l’objet d’un signalement et ne rentrent donc pas dans le champ d’application de la Directive.

Les mesures de protection des auteurs de signalement concernent non seulement les employés actuels et les collaborateurs, mais également les apprentis, les travailleurs indépendants et freelances, les consultants, les bénévoles, les stagiaires (y compris ceux qui ne sont pas rémunérés), les actionnaires, les personnes exerçant des fonctions d’administration, de gestion, de contrôle, de supervision ou de représentation (même si elles sont exercées de facto), ainsi que toutes les personnes travaillant sous la supervision et la direction d’entrepreneurs, de sous-traitants et de fournisseurs.  

La protection doit également être garantie même lorsque la relation de travail n’est pas encore établie – si les informations ont été obtenues au cours du processus de sélection ou, en tout état de cause, au stade précontractuel – pendant la période d’essai ou après la cessation de ladite relation, si les informations sur d’éventuelles violations ont été obtenues lorsque la relation était en cours.

Les mesures de protection sont également étendues aux « facilitateurs » c’est-à-dire aux personnes qui assistent le travailleur dans le processus de signalement, aux personnes qui travaillent dans le même contexte professionnel que les auteurs de signalement et qui sont liées à eux par un lien affectif ou de parenté stable jusqu’au quatrième degré, aux collègues de travail de l’auteur de signalement qui travaillent dans le même contexte professionnel et qui entretiennent avec lui une relation régulière et continue, ou aux entités appartenant à ces personnes ou qui opèrent dans le même secteur que ces dernières.

Quelles sont les entités du secteur privé tenues d’appliquer les nouvelles dispositions et quand entreront-elles en vigueur ? 

Les nouvelles dispositions : 

• s’appliquent aux entités du secteur privé qui, au cours du dernier exercice écoulée :

1. ont employé en moyenne au moins 50 salariés par l’intermédiaire d’un contrat de travail à durée indéterminée ou déterminée ;  
2. ont adopté les modèles d’organisation et de gestion prévus par le décret législatif italien n° 231/2001 (« MOG » – « Modello Organizzativo et di Gestione » ; « Modèle organisationnel et de gestion ») – même si elles ont employé moins de 50 salariés – ou
3. opèrent dans des secteurs européens réglementés (par exemple, les marchés financiers ou le secteur du crédit).  
4. entreront en vigueur à partir du :  
5. 15 juillet 2023 pour les entités privées employant 250 salariés ou plus ;  
6. 17 décembre 2023 pour les entreprises dont le nombre moyen de salariés est inférieur ou égal à 249, ainsi que pour celles qui ont adopté le modèle organisationnel et de gestion prévu par le décret législatif italien 231/2001. 

Comment les signalements peuvent-ils être réalisés ? 

Les signalements peuvent être réalisés à travers les canaux suivants :

• Signalements internes. Après avoir consulté les syndicats, les entités du secteur privé doivent mettre en place des canaux de signalement interne qui garantissent le plus haut niveau de confidentialité en ce qui concerne (i) l’identité de l’auteur de signalement (ii) la personne impliquée et désignée dans le signalement, ainsi que (iii) le contenu du signalement et la documentation y afférente. Les entités n’ayant pas employé plus de 249 salariés en moyenne au cours de l’exercice écoulé peuvent partager le canal de signalement interne. Les signalements internes peuvent se faire à l’écrit ou à l’oral (à travers des lignes téléphoniques ou des messages vocaux) ou, sur demande, dans le cadre d’une rencontre en face à face.
• Signalements externes. La mise en place et la gestion du canal de signalement externe sont confiées à l’Autorité nationale italienne de lutte contre la corruption (« ANAC » ; « Autorità Nazionale Anticorruzione ») qui, dans les trois mois suivant l’entrée en vigueur du Décret, devra adopter des lignes directrices spécifiques, mais qui a déjà mis à disposition le canal sus-décrit sur son site institutionnel. Le recours à un canal de signalement externe est prévu si (i) dans le cadre de son activité professionnelle, l’auteur de signalement n’est pas tenu d’activer un canal interne ou s’il est effectivement tenu de le faire et que le canal n’est pas actif ou, s’il est actif, qu’il n’est pas conforme ; (ii) l’auteur de signalement a déjà réalisé un signalement à travers un canal interne mais qu’il n’a pas été donné suite à ce signalement ; (iii) l’auteur de signalement a des motifs raisonnables de croire que le signalement à travers le canal interne ne sera pas efficace ou peut conduire à un risque de représailles ou (iv) en cas de danger imminent ou évident pour l’intérêt public. 
• Divulgations publiques effectuées par le biais de médias sur format papier ou numérique ou diffusions susceptibles d’atteindre un grand nombre de personnes. 
  
  Continuer à lire la version complète publiée sur AIDP

La réforme sur les « lanceurs d’alerte » est en cours de finalisation. Le Décret législatif recevant la directive UE 2019/1937 « portant protection des personnes qui signalent des violations du droit de l’Union » (la « Directive ») est presque prêt et apportera d’importantes nouveautés par rapport à la réglementation entrée en vigueur en 2012 (Loi du 6 novembre 2012, n° 190) dans le secteur public et fin 2017 (Loi du 30 novembre 2017, n° 179) dans le secteur privé.

◊◊◊◊

La Loi d’habilitation

Le 23 octobre 2019, le Parlement européen et le Conseil ont adopté la Directive dictant les « règles minimum communes » visant à garantir une protection efficace des lanceurs d’alerte (appelés « whistleblowers ») dans les ordonnancements des Etats membres. Ce afin d’uniformiser des réglementations nationales très hétérogènes ou fragmentaires, ainsi que de mettre en valeur cet instrument.

Le 23 avril dernier, a été publiée au Journal Officiel italien la loi n° 53/2021 (dite « loi d’habilitation européenne »), composée de 29 articles, portant dispositions de délégation pour la réception de directives européennes et pour l’adaptation de la réglementation nationale à certains règlements de l’UE.

Par cette loi, le Parlement a, notamment, délégué le Gouvernement à adopter un décret législatif pour la réception de cette Directive. À l’article 23 de la loi d’habilitation en objet, on lit que le Gouvernement, dans l’exercice de la délégation, doit respecter les principes suivants et les critères directifs spécifiques :

1. modifier, conformément au contenu de la Directive, la réglementation en vigueur en matière de protection des personnes ayant signalé des violations dont elles auraient eu connaissance dans le cadre d’un contexte professionnel public ou privé et des personnes indiquées par l’article 4, par. 4, de cette même Directive ;
2. réaliser la coordination avec les dispositions en vigueur, en garantissant un niveau élevé de protection et de défense des personnes visées à la lettre a), en effectuant les abrogations nécessaires et en adoptant les dispositions transitoires opportunes ;
3. exercer l’option visée à l’art. 25, par. 1, de la Directive, permettant d’introduire ou de maintenir des dispositions plus favorables aux droits des lanceurs d’alerte et des personnes indiquées par la Directive, en vue de garantir dans tous les cas un niveau maximum de protection et de défense de ces personnes.

La réglementation ainsi mise en place est destinée à affecter la réglementation nationale. L’incidence de la nouvelle réglementation européenne semblerait concerner, plus que le contenu de la protection, surtout son extension. En effet, dans les matières dans lesquelles la Directive s’appliquerait, la protection du lanceur d’alerte (appelé « whistleblower ») ne prévoit pas une différentiation entre le secteur public et le secteur privé, présente en revanche dans la loi n° 179/2017.

Ceci étant précisé, entrons dans le détail des principales nouveautés introduites par la Directive.

Domaine d’application personnelle

Dans la Directive, la personne du lanceur d’alerte, c’est-à-dire la personne physique qui signale ou divulgue des informations sur les violations commises dans le cadre de son contexte professionnel, est mieux définie.

Sont compris dans cette catégorie également (i) les travailleurs indépendants qui exercent leur activité en faveur d’une entité du secteur public ou privé, (ii) les actionnaires et les membres de l’organe d’administration, de direction ou de surveillance d’une entreprise, y compris les membres sans fonctions exécutives, les volontaires et les stagiaires rétribués ou non, ainsi que (iii) toute personne travaillant sous la supervision et la direction d’adjudicataires, de sous-traitants et de fournisseurs.

Les mesures de protection pourront s’étendre, également, aux collègues ou parents des lanceurs d’alerte, au cas où il existerait, également à leur encontre, à cause du signalement, un risque de représailles dans le contexte professionnel.

De ce fait, le domaine d’application personnelle est plus étendu par rapport à celui de la loi italienne et, par conséquent, le nombre des informateurs protégés devrait être revu, à la lumière de la nouvelle réglementation européenne.

Conditions pour la protection des lanceurs d’alerte

À la différence de ce qui est prévu dans la version de la Loi actuelle n° 179/2017, pour l’application des protections prévues en faveur du lanceur d’alerte, il ne sera pas nécessaire que les signalements soient fondés sur des conduites illégales, visées par le Décret législatif 231/2001 et sur des éléments de fait précis et concordants.

Il suffira que le lanceur d’alerte ait eu, au moment du signalement, un motif raisonnable d’estimer que les informations signalées sont vraies et que le signalement ou la divulgation publique est nécessaire pour faire connaître une violation d’intérêt public, rentrant dans le domaine d’application du décret. Les motifs à la base du signalement effectué par le lanceur d’alerte sont, en revanche, considérés comme négligeables en vue de sa protection.

Canaux de communication des signalements

La Directive impose l’institution de canaux de signalement interne avant d’effectuer des signalements au travers de canaux de signalement externe (ndr : signalements aux autorités désignées par les Etats membres, ainsi qu’aux autorités compétentes au niveau européen), « dans les cas où la violation peut être affrontée efficacement de façon interne et où le lanceur d’alerte estime qu’il n’existe pas de risque de représailles ».

Les entreprises ayant plus de 50 salariés, indépendamment de la nature de leurs activités, ainsi que toutes les entités juridiques du secteur public, y compris celles dont ces entités détiennent la propriété ou le contrôle, devront se doter de canaux de signalement interne. L’exemption des petites et moyennes entreprises de cette obligation ne s’applique pas aux entreprises rentrant dans le périmètre de la réglementation sur la lutte contre le blanchiment et le financement du terrorisme.

En outre, suite à une évaluation opportune du risque, les Etats membres ont la faculté d’exiger que même les sociétés ayant un nombre de salariés inférieur mettent en place des canaux de signalement interne dans des cas spécifiques.

Concernant particulièrement les divulgations publiques de faits illégaux, la Directive prévoit que la protection du lanceur d’alerte s’appliquera seulement si une des conditions suivantes est remplie :

• qu’il ait précédemment signalé de façon interne ou externe le fait illégal, sans qu’aucune suite appropriée n’ait été donnée dans les délais prévus ; ou bien
• qu’il ait, au moment du signalement, un motif fondé d’estimer que :
• la violation peut constituer un danger imminent ou clair pour l’intérêt public protégé ou qu’il existe un risque de dommage irréversible, même à l’intégrité physique d’une ou de plusieurs personnes, ou encore
• qu’en cas de signalement interne ou externe, il y ait un risque de représailles ou que le signalement n’ait pas donné de garanties suffisantes d’efficacité, sur la base du cas d’espèce.

La divulgation publique (dans des conditions déterminées) susmentionnée n’est pas prévue dans la loi italienne.

Protection des lanceurs d’alerte

Selon la Directive, les Etats membres doivent faire en sorte que, sous réserve d’exceptions spécifiques, l’identité du lanceur d’alerte ne soit divulguée, sans son accord explicite, à aucune personne ne faisant pas partie du personnel autorisé, compétent pour recevoir ou donner suite aux signalements. Il en est de même pour toute autre information permettant de déduire, directement ou indirectement, l’identité du lanceur d’alerte.

Toujours selon la Directive, les Etats membres doivent adopter les mesures nécessaires pour interdire toute forme de représailles contre le lanceur d’alerte, y compris, entre autres, le licenciement, le changement des attributions, la réduction du salaire ou la modification de l’horaire de travail et la prise de sanctions disciplinaires.

Traitement des données personnelles

La collecte et le traitement des données devront être effectués dans le respect de ce qui est prévu par le Règlement (UE) 2016/679 en matière de protection des données personnelles.

Les données personnelles qui manifestement ne sont pas utiles au traitement d’un signalement spécifique, selon la Directive, ne doivent pas être collectées ou, si elles le sont accidentellement, elles doivent être effacées sans délai.

Sanctions

Selon la Directive, des sanctions importantes devraient être infligées à ceux qui auront des comportements obstructionnistes envers les lanceurs d’alerte. Et des sanctions devraient être infligées également aux personnes qui signalent ou divulguent publiquement des informations sur des violations s’avérant sciemment fausses.

◊◊◊◊

Il ne reste qu’à attendre la publication au JO du Décret législatif recevant cette Directive.

Contenus corrélés :

• Lancement d’alertes : comparaison entre le droit italien et la directive européenne
• Lancement d’alerte, canaux sûrs dans les entreprises de plus de 50 salariés

L’Autorité garante pour la protection des données personnelles, par l’arrêté n° 17 du 23 janvier 2020, qui sanctionne une université italienne pour ne pas avoir protégé de manière adéquate la confidentialité des données d’identification de deux sujets, les lanceurs d’alerte, qui avaient signalé de potentiels comportements illicites, a réitéré l’existence d’une obligation, pour l’employeur « Responsable du traitement » (aux termes de l’article 4 du Règlement UE 2016/679, le « RGPD ») de mettre en œuvre des mesures techniques et organisationnelles adaptées pour garantir la protection des données personnelles traitées (cf. Newsletter du garant n° 462 du 18 février 2020).

De manière plus spécifique, à l’époque des faits, l’Université, pour répondre aux obligations de protection adéquate du salarié qui signale des conduites illicites au sein de l’environnement de travail (le « lanceur d’alerte » introduit dans le droit italien par le décret législatif n° 165 du 30 mars 2001), avait choisi d’utiliser une solution technologique. Dans ce cas, pour garantir la protection de l’acquisition et de la gestion des signalements des comportements illicites, l’Université avait recours à l’utilisation d’une plateforme logicielle fournie par un sujet tiers extérieur à l’organisation de l’Université en elle-même.

Pendant une modification avec mise à jour simultanée du logiciel, un phénomène dit d’écrasement des autorisations d’accès s’est produit, ce qui a entraîné l’exposition des données personnelles des deux lanceurs d’alerte, sur certains moteurs de recherche accessibles et visualisables par quiconque effectuait une recherche sur Internet.

Face à quoi, l’Université a notifié l’Autorité garante pour la protection des données personnelles d’une violation, appelée data breach, par laquelle elle dénonçait la dispersion des données personnelles courantes des deux lanceurs d’alerte sur le réseau public, rendues de cette manière potentiellement consultables par tous. 

L’activité d’instruction, mise en œuvre par l’Autorité garante de la protection des données personnelles, a relevé que l’Université n’avait pas adopté certains moyens techniques et organisationnels, destinés à garantir « les exigences de sécurité et de confidentialité propres à la gestion des données dans le cadre de procédures de lancement d’alerte », en ne prévoyant pas, notamment, une procédure correcte pour le contrôle des accès, qui aurait dû limiter le traitement des données au personnel autorisé.

En effet, l’Université s’était limitée à s’approprier les mesures de sécurité choisies par le fournisseur du logiciel. Toutefois, les mesures de sécurité susmentionnées n’étaient ni adaptées ni adéquates, puisque qu’elles ne prévoyaient pas de moyens comme le chiffrage ou l’adoption d’un protocole de communication sécurisée des informations, permettant ainsi la violation de la confidentialité et de l’intégrité des données personnelles traitées et la conservation et l’accessibilité inadaptées de celles-ci.

En particulier, l’Autorité garante pour la protection des données personnelles a affirmé que « Concernant l’application en question, compte tenu de la nature, de l’objet et des finalités du traitement, ainsi que du risque élevé pour les droits et les libertés des personnes fournissant le signalement, la solution adoptée par l’Université ne peut être considérée comme une mesure technique adaptée pour garantir la confidentialité et l’intégrité des données traitées, ainsi que l’authenticité du site web visualisé par les sujets qui l’utilisent aussi bien comme canal d’envoi des signalements (employés, étudiants, etc.) que comme instrument de gestion de celles-ci (RPCT et ses éventuels collaborateurs ».

Cliquez ici pour continuer à lire l’article.

Le 26 novembre 2019 a été publiée dans le Journal officiel de l’Union européenne la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union. Revêtent une importance toute particulière les dispositions de cette directive afférentes à : – la création de canaux sûrs de signalement. En fait, la directive prévoit l’obligation de créer des canaux de signalement internes au sein aussi bien des entités publiques ou privées qui comptent plus de 50 salariés que des municipalités comptant plus de 10 000 habitants (article 8); – un large éventail de personnes protégées par la directive, auxquelles la possibilité est accordée de réaliser des signalements : (i)  les personnes ayant le statut de travailleur, au sens de l’article 45, paragraphe 1, du traité sur le fonctionnement de l’Union européenne, y compris les fonctionnaires ; (ii)  les personnes ayant le statut de travailleur indépendant, au sens de l’article 49 du traité sur le fonctionnement de l’Union européenne ; (iii)  les actionnaires et les membres de l’organe d’administration, de direction ou de surveillance d’une entreprise, y compris les membres non exécutifs ; (iv) les bénévoles et les stagiaires rémunérés ou non rémunérés ; (v)  toute personne travaillant sous la supervision et la direction de contractants, de sous-traitants et de fournisseurs ; (vi) auteurs de signalement lorsqu’ils signalent ou divulguent publiquement des informations sur des violations obtenues dans le cadre d’une relation de travail qui a pris fin depuis ; (vii) auteurs de signalement dont la relation de travail n’a pas encore commencé dans les cas où des informations sur des violations ont été obtenues lors du processus de recrutement ou d’autres négociations précontractuelles (art. 4) ; – les mesures de soutien et de protection 1) des facilitateurs, 2) des tiers qui sont en lien avec le lanceur d’alerte et qui pourraient faire l’objet de représailles dans un contexte professionnel (par exemple, des collègues ou des proches du lanceur d’alerte), 3) les entités appartenant au lanceur d’alerte ou pour lesquelles il travaille ou avec lesquelles il a un lien dans un contexte professionnel (art. 4). Il s’agit de personnes qui pourraient également subir des « représailles indirectes », lesquelles peuvent prendre la forme par exemple, « le refus de fournir des services, la mise sur liste noire ou le boycottage d’affaires » ; – une hiérarchie de canaux de signalement, accordant la priorité à et encourageant les signalements par le biais des canaux internes, pour faire appel, ensuite, à ceux externes, canaux lesquels les autorités publiques sont tenus d’instaurer (articles 7 et 8) ; – la prévision d’un délai délai raisonnable pour fournir un retour d’informations, n’excédant pas trois mois à compter de l’accusé de réception du signalement ou, à défaut d’accusé de réception envoyé à l’auteur de signalement, trois mois à compter de l’expiration de la période de sept jours suivant le signalement (article 9) ; – le champ d’application des nouvelles règles imposées par l’UE en matière de lancement d’alerte pour protéger les informateurs qui dévoilent des violations aussi dans a) des secteurs tels que les marchés publics, les services les produits et les marchés financiers ; b) la prévention du blanchiment de capitaux et du financement du terrorisme ; c) la sécurité et la conformité des produits ; d) la sécurité des transports ; e) la protection de l’environnement ; f) la radioprotection et la sûreté nucléaire ; g) la sécurité des aliments destinés à l’alimentation humaine et animale, santé et bien-être des animaux ; h) la protection de la santé publique ; – le renversement de la charge de la preuve et la mise à la charge de cette dernière de la personne qui aurait adopté la mesure préjudiciable dans les procédures judiciaires (art. 21) ; – l’exonération de responsabilité pour la divulgation des informations du lanceur d’alerte (art. 21). La finalité expressément prévue par la directive est celle de garantir une protection efficace au profit : – des « lanceurs d’alerte » et donc des catégories de personnes qui « même si elles ne dépendent pas de leurs activités professionnelles d’un point de vue économique, peuvent néanmoins subir des représailles pour avoir signalé des violations.  Les bénévoles et les stagiaires rémunérés ou non pourraient subir des représailles dans le fait qu’on cesse d’utiliser leurs services ou sous la forme d’une attestation de travail négative ou de toute autre atteinte à leur réputation ou à leurs perspectives de carrière » ; – des « facilitateurs, des collègues ou des proches de l’auteur de signalement qui sont également en lien dans un contexte professionnel avec l’employeur, le client ou le destinataire des services de l’auteur de signalement » ; – des représentants syndicaux ou des représentants des travailleurs tant qu’ils (i) effectuent un signalement en tant que travailleurs ; (ii) ou lorsqu’ils ont fourni des conseils et une aide à l’auteur de signalement.

Veuillez cliquer ici pour continuer de lire le commentaire.