Révision des recommandations AFA : le dispositif d'alerte (5/6)
16.11.2020
En réponse à la consultation ouverte par l'AFA en vue de réviser les recommandations qu'elle avait publiées en décembre 2017, l'AFJE et l'ACE ont formulé de nombreuses observations afin d'améliorer leur compréhension et leur mise en oeuvre effective par les entreprises. Ici, le dispositif d'alerte.
L'AFJE et l'ACE observent qu’en pratique les entreprises déploient un seul et même dispositif qui va permettre de couvrir à la fois les dispositions des articles 6/8 et 17 de la loi Sapin 2 et celles de la loi sur le devoir de vigilance pour les entreprises concernées.
C’est un enjeu d’efficacité : les lanceurs d’alertes ne sont pas des juristes. Même si des formations internes sont prévues sur le dispositif, il est délicat de distinguer ce qui peut relever d’un manquement au code de conduite d’un cas de corruption proprement dite, quand les deux ne se conjuguent pas.
La loi, par ailleurs, a créé une difficulté majeure en n’apportant de protection (C. trav., art. L. 1132-3-3) que si le lanceur d’alertes respecte le dispositif prévu aux articles 6 à 8 de la loi Sapin 2. Les autres ne sont pas visés. On peut néanmoins anticiper des jurisprudences en matière sociale qui étendront les protections.
Le projet de recommandations gagnerait à lever ces ambiguïtés en incitant les entreprises à apporter le plus haut degré de protection en toute circonstance. C’est d’ailleurs cohérent avec les positions du Défenseur des Droits en la matière.
L'AFJE et l'ACE relèvent par ailleurs que l’AFA souhaitait recevoir directement des alertes en cas d’atteintes à la probité. Pour les deux associations, cela ne semble pas correspondre à sa compétence, qui se limiterait comme autorité administrative aux manquements liés aux règles de prévention de la corruption (et non de commission de celle-ci), à condition d’ailleurs que la violation soit « grave et manifeste » (Loi, art. 6). Par ailleurs, le terme « directement » laisse penser que les trois étapes de l’alerte n’auraient pas à être respectées (L., art. 8).
Remarque : comme pour l’évaluation des tiers, le guide commun AFA / CNIL est indispensable et attendu. Les développements sur le sujet dans les recommandations nous semblent devoir être remplacés par ce guide.
Par ailleurs, l'AFJE et l'ACE soulignent que le décret d’application de la loi prévoit la destruction des données personnelles collectées, et non leur simple archivage. C’est en contradiction avec le Référentiel de la CNIL et empêche potentiellement de recouper des alertes successives sur un même fait, qu’elles permettraient ensemble de caractériser. La destruction ne devrait s’imposer qu’après expiration des délais de prescription.
Enfin, il est observé que la directive européenne du 23 novembre 2019 doit être transposée en 2021. Elle va entraîner une révision de nombreux aspects (définition d’un lanceur d’alertes, protections, etc.) et l’AFA devrait être associée à cette transposition.