Back to skills
SkillHub ClubShip Full StackFull Stack
politique-lanceur-alerte-malik-taiar
Guide pour (a) évaluer la conformité d'un dispositif lanceur d'alerte existant ou (b) rédiger une politique de signalement conforme sur la base d'un template fourni. Couvre la Directive UE 2019/1937, la loi Sapin II modifiée (Waserman 2022), le décret 2022-1284, le référentiel CNIL, les spécificités fonction publique et le devoir de vigilance.
Packaged view
This page reorganizes the original catalog entry around fit, installability, and workflow context first. The original raw source lives below.
Stars
187
Hot score
97
Updated
March 20, 2026
Overall rating
C3.5
Composite score
3.5
Best-practice grade
C62.3
Install command
npx @skill-hub/cli install lawvable-awesome-legal-skills-politique-lanceur-alerte-malik-taiar
Repository
lawvable/awesome-legal-skills
Skill path: 🇫🇷/politique-lanceur-alerte-malik-taiar
Guide pour (a) évaluer la conformité d'un dispositif lanceur d'alerte existant ou (b) rédiger une politique de signalement conforme sur la base d'un template fourni. Couvre la Directive UE 2019/1937, la loi Sapin II modifiée (Waserman 2022), le décret 2022-1284, le référentiel CNIL, les spécificités fonction publique et le devoir de vigilance.
Open repositoryBest for
Primary workflow: Ship Full Stack.
Technical facets: Full Stack.
Target audience: everyone.
License: AGPL-3.0.
Original source
Catalog source: SkillHub Club.
Repository owner: lawvable.
This is still a mirrored public skill entry. Review the repository before installing into production workflows.
What it helps with
- Install politique-lanceur-alerte-malik-taiar into Claude Code, Codex CLI, Gemini CLI, or OpenCode workflows
- Review https://github.com/lawvable/awesome-legal-skills before adding politique-lanceur-alerte-malik-taiar to shared team environments
- Use politique-lanceur-alerte-malik-taiar for development workflows
Works across
Claude CodeCodex CLIGemini CLIOpenCode
Favorites: 0.
Sub-skills: 0.
Aggregator: No.
Original source / Raw SKILL.md
---
name: politique-lanceur-alerte-malik-taiar
description: Guide pour (a) évaluer la conformité d'un dispositif lanceur d'alerte existant ou (b) rédiger une politique de signalement conforme sur la base d'un template fourni. Couvre la Directive UE 2019/1937, la loi Sapin II modifiée (Waserman 2022), le décret 2022-1284, le référentiel CNIL, les spécificités fonction publique et le devoir de vigilance.
metadata:
author: Malik Taiar
license: AGPL-3.0
---
# Dispositifs Lanceur d'Alerte - Évaluation & Rédaction
## Vue d'ensemble
Ce Guide peut vous aider pour (a) évaluer la conformité d'un dispositif lanceur d'alerte existant ou (b) rédiger un draft de politique de signalement sur la base d'un template fourni.
## Cadre juridique couvert
- Directive européenne 2019/1937
- Loi Sapin II modifiée (loi Waserman 2022)
- Décret n°2022-1284
- Référentiel CNIL alertes professionnelles
### Deux modes d'utilisation
| Mode | Description | Output |
|------|-------------|--------|
| **A. Évaluation de conformité** | Auditer un dispositif existant | Rapport d'évaluation + plan d'actions |
| **B. Rédaction de politique** | Créer un dispositif sur la base des sources mentionnées | Politique basée sur le template |
### Ce que ce skill fait / ne fait pas
| Ce que ce skill fait | Ce qu'il ne fait pas |
|:---------------------|:---------------------|
| Évalue la conformité d'un dispositif existant | Fournir des conclusions juridiques définitives |
| Rédige une politique de signalement sur la base du template fourni | Garantir l'opposabilité |
**Périmètre** : Dispositifs de signalement interne soumis à la loi Sapin II modifiée et au décret n°2022-1284.
> **Callouts variations** :
> - **Fonction publique** : Articulation avec l'art. 40 CPP
> - **Devoir de vigilance** : Entreprises ≥ 5 000 / 10 000 salariés
## Contenu
```
/
├── SKILL.md
├── LICENSE.txt
├── README.md
├── assets/
├── Template_Politique_Lanceur_Alerte.docx ← Template pour le Mode B
├── [PDF sources]
└── references/
├── TEXTES_LEGAUX.md ← Citations verbatim des articles de loi
├── DECRET_PROCEDURE.md ← Éléments obligatoires (décret 2022-1284)
├── RGPD_CNIL.md ← Conformité RGPD et référentiel CNIL
├── FONCTION_PUBLIQUE.md ← Spécificités fonction publique + art. 40 CPP
└── VIGILANCE.md ← Articulation devoir de vigilance
```
## AVERTISSEMENT
**CECI N'EST PAS UN AVIS JURIDIQUE.** Ce skill est fourni à des fins d'information et d'éducation uniquement. Les lois varient selon les juridictions et les circonstances individuelles, et seul un avocat ou juriste habilité peut fournir un conseil adapté à votre situation spécifique. Il ne constitue en aucun cas un acte ou un avis juridique, il s'agit d'un skill Claude à destination des professionnels du droit. Tous les outputs de ce skill doivent être relus par un professionnel du droit qualifié avant toute utilisation à des fins juridiques.
## Choisir le mode d'utilisation
### Mode A : Évaluation de conformité
**Quand l'utiliser** : Le client dispose déjà d'un dispositif et veut vérifier sa conformité.
→ Aller à la **Section 3** (Inputs) puis **Section 5** (Workflow évaluation)
### Mode B : Rédaction de politique
**Quand l'utiliser** : Le client n'a pas de dispositif ou veut en créer un nouveau.
→ Aller à la **Section 3** (Inputs) puis **Section 13** (Rédaction de politique)
| Template | Format | Usage |
|:---------|:-------|:------|
| `Template_Politique_Lanceur_Alerte.docx` | Word | Modèle de politique de signalement interne |
> **IMPORTANT** : Le template doit être repris **EXACTEMENT** tel que fourni. Seuls les éléments variables doivent être adaptés.
## Inputs à collecter (demander avant d'évaluer)
### A. Contexte organisationnel (obligatoire)
- [ ] Forme juridique et effectif (seuil ≥ 50 salariés/agents ?)
- [ ] Secteur d'activité et statut (droit privé / public / mixte)
- [ ] Existence d'un groupe (mutualisation possible ?)
- [ ] Dispositif existant : date de mise en place, mise à jour post-Waserman ?
### B. Documentation à demander
- [ ] Procédure de signalement interne
- [ ] Supports de communication aux collaborateurs
- [ ] Modèles utilisés (AR, retour d'information, clôture)
- [ ] Fiche de poste / désignation du référent
- [ ] Registre RGPD / AIPD si existante
### C. Contraintes pratiques (recommandé)
- [ ] Mutualisation avec d'autres entités envisagée ?
- [ ] Externalisation du canal de réception ?
- [ ] Articulation avec d'autres dispositifs (devoir de vigilance) ?
## Deliverables - Mode A : Évaluation
### Quick start (output par défaut)
TOUJOURS produire :
1) **Synthèse exécutive** (1 page)
2) **Tableau d'évaluation par phase** (8 phases)
3) **Plan d'actions recommandé**
### A. Synthèse exécutive
- [ ] Conformité globale : Conforme / Partiellement conforme / Non conforme
- [ ] Top 5 des écarts identifiés (classés par priorité)
- [ ] Recommandation : "Conforme" / "À corriger avant mise en service" / "Escalader"
### B. Tableau d'évaluation détaillé
| Phase | Point de contrôle | Conforme | Écart identifié | Priorité | Recommandation |
|-------|-------------------|:--------:|-----------------|:--------:|----------------|
| **1. Assujettissement** | | | | | |
| 1.1 | Seuil d'effectif atteint (≥ 50) | | | | |
| 1.2 | Type d'entité identifié (privé/public/mixte) | | | | |
| 1.3 | Mutualisation conforme si applicable (< 250, décision concordante) | | | | |
| **2. Canal de réception** | | | | | |
| 2.1 | Canal écrit **OU** oral prévu (au choix de l'entité) | | | | |
| 2.2 | *Si oral prévu* : téléphone ou messagerie vocale mentionné | | | | |
| 2.3 | *Si oral prévu* : visio/rencontre physique sur demande (délai 20 j ouvrés) | | | | |
| 2.4 | Transmission de tout type d'élément possible | | | | |
| 2.5 | Accusé de réception écrit sous 7 jours ouvrés | | | | |
| **3. Personnes désignées** | | | | | |
| 3.1 | Désignation formelle pour le recueil | | | | |
| 3.2 | Désignation formelle pour le traitement | | | | |
| 3.3 | Compétence suffisante | | | | |
| 3.4 | Autorité suffisante | | | | |
| 3.5 | Moyens suffisants | | | | |
| 3.6 | Garanties d'impartialité prévues | | | | |
| 3.7 | Si externalisation : obligations du tiers conformes | | | | |
| **4. Vérification / Traitement** | | | | | |
| 4.1 | Critères de recevabilité définis (art. 6 + art. 8 I.A.) | | | | |
| 4.2 | Information de l'auteur si non-recevabilité | | | | |
| 4.3 | Suites aux signalements non conformes précisées | | | | |
| 4.4 | Suites aux signalements anonymes précisées | | | | |
| 4.5 | Retour d'information écrit sous 3 mois | | | | |
| 4.6 | Contenu du retour conforme (mesures + motifs) | | | | |
| 4.7 | Clôture motivée prévue | | | | |
| 4.8 | Information écrite de clôture à l'auteur | | | | |
| **5. Confidentialité** | | | | | |
| 5.1 | Intégrité des informations garantie | | | | |
| 5.2 | Confidentialité de l'identité de l'auteur | | | | |
| 5.3 | Confidentialité des personnes visées | | | | |
| 5.4 | Confidentialité des tiers mentionnés | | | | |
| 5.5 | Accès restreint aux personnes autorisées | | | | |
| 5.6 | Transmission sans délai aux personnes désignées | | | | |
| 5.7 | Si oral : modalités de consignation définies | | | | |
| 5.8 | Droit de vérification/approbation par l'auteur | | | | |
| 5.9 | Durée de conservation limitée | | | | |
| **6. Diffusion / Information** | | | | | |
| 6.1 | Procédure diffusée avec publicité suffisante | | | | |
| 6.2 | Accessibilité permanente aux personnes éligibles | | | | |
| 6.3 | Conditions du statut de lanceur d'alerte | | | | |
| 6.4 | Catégories de personnes éligibles | | | | |
| 6.5 | Modalités de signalement (forme, canaux) | | | | |
| 6.6 | Délais de traitement (7j AR, 3 mois retour) | | | | |
| 6.7 | Garanties de confidentialité | | | | |
| 6.8 | Protections accordées | | | | |
| 6.9 | Information sur les canaux externes | | | | |
| 6.10 | Information RGPD | | | | |
| **7. Conformité RGPD (Réf. CNIL 06/07/2023)** | | | | | |
| 7.1 | Base légale identifiée (obligation légale ou intérêt légitime) | | | | |
| 7.2 | Finalités définies et pas de réutilisation incompatible | | | | |
| 7.3 | Minimisation des données respectée (par phase : recueil, instruction, post-décision) | | | | |
| 7.4 | Signalements anonymes possibles, pas de réidentification | | | | |
| 7.5 | Accédants documentés, habilités, traçabilité des accès | | | | |
| 7.6 | Règles de divulgation respectées (lanceur : consentement / visé : après fondé) | | | | |
| 7.7 | Durées de conservation définies par phase et communiquées | | | | |
| 7.8 | Information des personnes conforme (lanceur à l'AR, visé sous 1 mois) | | | | |
| 7.9 | Droits des personnes garantis (accès, opposition, rectification, limitation) | | | | |
| 7.10 | Mesures de sécurité conformes (17 catégories réf. CNIL) | | | | |
| 7.11 | Registre des traitements mis à jour | | | | |
| 7.12 | AIPD réalisée (recommandé) | | | | |
| **8. Spécificités sectorielles** | | | | | |
| 8.1 | *Fonction publique* : Articulation art. 40 CPP documentée | | | | |
| 8.2 | *Fonction publique* : Référent informé obligations art. 40 | | | | |
| 8.3 | *Vigilance* : Concertation syndicats représentatifs | | | | |
| 8.4 | *Vigilance* : Périmètre étendu (filiales, sous-traitants) | | | | |
| 8.5 | *Vigilance* : Parties prenantes externes éligibles | | | | |
| 8.6 | *Secteurs régulés* : Articulation obligations sectorielles | | | | |
## Workflow évaluation (Mode A)
### Étape 1 — Vérifier l'assujettissement
> L'ORGANISATION EST-ELLE SOUMISE À L'OBLIGATION ?
- [ ] Personne morale de droit privé ≥ 50 salariés → OUI
- [ ] Personne morale de droit public ≥ 50 agents → OUI
- [ ] Commune ≥ 10 000 habitants → OUI
- [ ] Administration de l'État → OUI
- [ ] Autre → VÉRIFIER la réglementation sectorielle
> **Mutualisation possible** (< 250 salariés/agents) : Cf. Art. 8 I. B. et C. de la loi Sapin II modifiée + Art. 7 II du décret
### Étape 2 — Évaluer la conformité (utiliser les références)
> **IMPORTANT - LECTURE OBLIGATOIRE** : Avant toute évaluation, lire **INTÉGRALEMENT** le fichier `assets/Decret_2022_1284.pdf` (articles 1 à 8 + annexe). Ne pas se fier uniquement aux synthèses - le texte exact du décret fait foi.
Évaluer le dispositif de manière **systématique** en utilisant les références :
| Référence | Ce qu'elle couvre |
|---|---|
| **`assets/Decret_2022_1284.pdf`** | **TOUJOURS LIRE EN PREMIER** - Texte intégral du décret |
| [DECRET_PROCEDURE.md](references/DECRET_PROCEDURE.md) | Synthèse des éléments obligatoires (Art. 4-8 décret) |
| [RGPD_CNIL.md](references/RGPD_CNIL.md) | Conformité RGPD et référentiel CNIL |
| [FONCTION_PUBLIQUE.md](references/FONCTION_PUBLIQUE.md) | Spécificités fonction publique + art. 40 CPP |
| [VIGILANCE.md](references/VIGILANCE.md) | Articulation devoir de vigilance (si applicable) |
| [TEXTES_LEGAUX.md](references/TEXTES_LEGAUX.md) | Citations verbatim pour vérification |
**Méthode d'évaluation** :
1. **Lire le décret 2022-1284 en entier** avant de commencer l'évaluation
2. Vérifier que **tous les éléments obligatoires** sont présents (exhaustivité)
3. Vérifier que chaque clause est **conforme** au cadre légal et réglementaire (pas de contradiction)
4. Utiliser la **checklist Section 6** pour structurer l'évaluation par phase
5. En cas de doute, toujours **revenir au texte exact** du décret
### Étape 3 — Rédiger le rapport
```
STRUCTURE DU RAPPORT :
1. Synthèse exécutive (conformité globale, points forts, axes prioritaires)
2. Contexte et périmètre (organisation, cadre réglementaire, documents analysés)
3. Résultats détaillés (reprendre les 8 phases de la checklist)
4. Tableau de synthèse des écarts
5. Plan d'actions recommandé
6. Annexes (checklist complétée, textes applicables)
```
### Étape 4 — Hiérarchiser les recommandations
| **Priorité** | **Critère** | **Exemple** |
|--------------|-------------|-------------|
| CRITIQUE | Absence de dispositif, non-respect des délais légaux, défaut de confidentialité | Pas d'accusé de réception |
| IMPORTANT | Information insuffisante, référent non identifié, non-conformité RGPD | Risque d'impartialité du responsable traitement |
| À AMÉLIORER | Procédure perfectible, documentation incomplète, formation à renforcer | Supports de diffusion à compléter |
## Checklist d'évaluation (8 phases)
### Phase 1 : Assujettissement
> Cf. Art. 8 I. B. loi Sapin II modifiée + Art. 1 et 2 du décret
- [ ] Organisation soumise à l'obligation (seuil atteint)
- [ ] Type d'entité identifié (privé/public/mixte)
- [ ] Mutualisation le cas échéant conforme (< 250, décision concordante)
### Phase 2 : Canal de réception
> **→ Référence détaillée** : [DECRET_PROCEDURE.md - Section 1](references/DECRET_PROCEDURE.md)
- [ ] Canal écrit OU oral prévu (au choix de l'entité - art. 4 I décret)
- [ ] Si oral prévu : téléphone ou messagerie vocale mentionné
- [ ] Si oral prévu : visio/rencontre physique sur demande (délai 20 j ouvrés)
- [ ] Capacité de transmettre tout type d'élément
- [ ] Accusé de réception écrit sous 7 jours ouvrés prévu
### Phase 3 : Personnes désignées
> **→ Référence détaillée** : [DECRET_PROCEDURE.md - Section 3](references/DECRET_PROCEDURE.md)
- [ ] Désignation formelle dans la procédure (recueil ET traitement)
- [ ] Compétence, autorité et moyens suffisants
- [ ] Garanties d'impartialité prévues
- [ ] Si mutualisation (< 250 salariés) : conditions Art. 7 II respectées
- [ ] Si externalisation : obligations du tiers conformes Art. 7 I
### Phase 4 : Vérification et traitement
> **→ Référence détaillée** : [DECRET_PROCEDURE.md - Section 2](references/DECRET_PROCEDURE.md)
**VÉRIFICATION :**
- [ ] Critères de recevabilité définis (art. 6 et art. 8 I.A.)
- [ ] Information de l'auteur en cas de non-recevabilité prévue
- [ ] Suites aux signalements non conformes précisées
- [ ] Suites aux signalements anonymes précisées
**TRAITEMENT :**
- [ ] Retour d'information écrit sous 3 mois maximum prévu
- [ ] Contenu du retour conforme (mesures envisagées/prises + motifs)
- [ ] Clôture motivée prévue (allégations infondées ou sans objet)
- [ ] Information écrite de clôture à l'auteur prévue
### Phase 5 : Confidentialité
> **→ Référence détaillée** : [DECRET_PROCEDURE.md - Section 4](references/DECRET_PROCEDURE.md)
- [ ] Intégrité et confidentialité des informations garanties
- [ ] Protection de l'identité : auteur, personnes visées, tiers mentionnés
- [ ] Accès interdit aux personnes non autorisées
- [ ] Transmission sans délai aux personnes désignées prévue
- [ ] Si oral : modalités de consignation définies
- [ ] Durée de conservation limitée au strict nécessaire
### Phase 6 : Diffusion et information
> **→ Référence détaillée** : [DECRET_PROCEDURE.md - Section 6](references/DECRET_PROCEDURE.md)
- [ ] Procédure diffusée avec publicité suffisante
- [ ] Accessible de manière permanente aux personnes éligibles
- [ ] Contenu de l'information complet (cf. Section 7 du décret)
- [ ] Information sur les canaux externes disponible
### Phase 7 : Conformité RGPD (Référentiel CNIL 06/07/2023)
> **→ Référence détaillée** : [RGPD_CNIL.md](references/RGPD_CNIL.md)
- [ ] Base légale identifiée (obligation légale ou intérêt légitime)
- [ ] Finalités définies, pas de réutilisation incompatible
- [ ] Minimisation des données par phase (recueil, instruction, post-décision)
- [ ] Signalements anonymes possibles, pas de réidentification
- [ ] Accédants documentés, habilités, traçabilité des accès
- [ ] Règles de divulgation respectées (lanceur: consentement / visé: après fondé)
- [ ] Durées de conservation définies par phase et communiquées
- [ ] Information des personnes conforme (lanceur à l'AR, visé sous 1 mois)
- [ ] Droits des personnes garantis (accès, opposition, rectification, limitation)
- [ ] Mesures de sécurité conformes (17 catégories réf. CNIL)
- [ ] Registre des traitements mis à jour
- [ ] AIPD réalisée (recommandé)
### Phase 8 : Spécificités sectorielles
> **→ Fonction publique** → [FONCTION_PUBLIQUE.md](references/FONCTION_PUBLIQUE.md)
- [ ] Articulation avec l'art. 40 CPP documentée
- [ ] Référent informé de ses obligations art. 40
> **→ Devoir de vigilance** → [VIGILANCE.md](references/VIGILANCE.md)
- [ ] Mécanisme établi en concertation avec les syndicats représentatifs
- [ ] Périmètre étendu (filiales, sous-traitants, fournisseurs)
- [ ] Parties prenantes externes éligibles
> **→ Secteurs régulés** (financier, santé, etc.)
- [ ] Articulation avec les obligations sectorielles documentée
## Les trois canaux de signalement (Art. 8 loi Sapin II)
```
┌──────────────────────────────────────────────────────────────────────────────┐
│ CANAL 1 : SIGNALEMENT INTERNE (Art. 8 I) │
│ ───────────────────────────────────────── │
│ QUAND : Utilisable directement, sans condition préalable │
│ │
│ PERSONNES ÉLIGIBLES (Art. 8 I.A. 1° à 5°) : │
│ → Membres du personnel (actuels ou anciens) │
│ → Candidats à l'emploi │
│ → Actionnaires, associés, titulaires de droits de vote │
│ → Membres des organes d'administration, direction, surveillance │
│ → Collaborateurs extérieurs et occasionnels │
│ → Cocontractants, sous-traitants et leurs organes/personnel │
├──────────────────────────────────────────────────────────────────────────────┤
│ CANAL 2 : SIGNALEMENT EXTERNE (Art. 8 II) │
│ ────────────────────────────────────────── │
│ QUAND : Utilisable de deux manières │
│ ✓ SOIT après avoir effectué un signalement interne │
│ ✓ SOIT directement (sans passer par l'interne) │
│ │
│ DESTINATAIRES POSSIBLES : │
│ 1° Autorité compétente (liste en annexe du décret n°2022-1284) │
│ 2° Défenseur des droits │
│ 3° Autorité judiciaire (Procureur de la République) │
│ 4° Institution, organe ou organisme de l'UE compétent │
├──────────────────────────────────────────────────────────────────────────────┤
│ CANAL 3 : DIVULGATION PUBLIQUE (Art. 8 III) │
│ ────────────────────────────────────────────── │
│ QUAND : Protection accordée uniquement dans les cas suivants │
│ │
│ CAS 1 (Art. 8 III 1°) - Inefficacité des signalements : │
│ → Après signalement externe (précédé ou non d'un interne) │
│ → ET sans mesure appropriée prise à l'expiration du délai │
│ │
│ CAS 2 (Art. 8 III 2°) - Danger grave et imminent │
│ │
│ CAS 3 (Art. 8 III 3°) - Risques liés au signalement externe : │
│ → Risque de représailles │
│ → OU impossibilité de remédier efficacement │
│ │
│ CAS DÉROGATOIRE (Art. 8 III avant-dernier alinéa) : │
│ → Danger IMMINENT ou MANIFESTE pour l'intérêt général │
│ │
│ ⚠️ EXCLUSION : Les cas 2°, 3° et dérogatoire ne s'appliquent PAS si la │
│ divulgation porte atteinte à la défense/sécurité nationale │
└──────────────────────────────────────────────────────────────────────────────┘
```
> **ATTENTION** : Depuis la loi Waserman (2022), le lanceur d'alerte peut **choisir librement** entre le canal interne et le canal externe. Il n'est plus obligé de passer d'abord par l'interne.
## Définition du lanceur d'alerte (Art. 6 loi Sapin II)
**LANCEUR D'ALERTE = Personne physique qui :**
- [ ] Signale ou divulgue SANS CONTREPARTIE FINANCIÈRE DIRECTE
- [ ] De BONNE FOI
- [ ] Des informations portant sur :
- Un crime ou un délit
- Une menace ou un préjudice pour l'intérêt général
- Une violation OU une tentative de dissimulation d'une violation :
- d'un engagement international
- du droit de l'Union européenne
- de la loi ou du règlement
**Exclusions (Art. 6 II)** : Secret de la défense nationale, secret médical, secret des délibérations judiciaires, secret de l'enquête/instruction, secret professionnel de l'avocat.
**Les facilitateurs (Art. 6-1)** : Personne physique ou morale de droit privé à but non lucratif qui aide le lanceur d'alerte.
## Protections du lanceur d'alerte
> **→ Référence détaillée** : [TEXTES_LEGAUX.md - Article 10-1](references/TEXTES_LEGAUX.md)
**Irresponsabilité civile et pénale** (Art. 10-1 I) si motifs raisonnables de croire que le signalement était nécessaire.
**Mesures de représailles interdites** (Art. 10-1 II) : suspension, licenciement, rétrogradation, transfert de fonctions, discrimination, harcèlement, mise sur liste noire, etc.
**Inversion de la charge de la preuve** (Art. 10-1 III) : c'est à l'employeur de prouver que sa décision est justifiée.
**Nullité de plein droit** de tout acte pris en méconnaissance de ces protections.
## Erreurs fréquentes
| **Erreur** | **Risque** | **Correction** |
|------------|------------|----------------|
| Dispositif non mis à jour depuis 2022 | Non-conformité Waserman | Révision complète |
| Exigence de passer par l'interne d'abord | Contraire au libre choix du canal | Supprimer cette obligation |
| Absence d'accusé de réception automatique | Non-respect du délai de 7 jours | Automatiser l'envoi |
| Confidentialité non garantie techniquement | Risque de compromission | Chiffrement, cloisonnement |
| Référent = membre de la direction générale | Conflit d'intérêts potentiel | Désigner un référent indépendant |
| Pas d'information sur les canaux externes | Obligation légale | Compléter l'information |
| Conservation illimitée des données | Non-conformité RGPD | Appliquer les durées CNIL |
| Pas de possibilité de signalement oral | Exigence du décret 2022-1284 | Prévoir un canal oral |
## Sanctions et risques
| **Infraction** | **Sanction** | **Base légale** |
|----------------|--------------|-----------------|
| Entrave au signalement | 1 an prison + 15 000 € amende | Art. 13 loi Sapin II |
| Représailles | 3 ans prison + 45 000 € amende | Art. 225-1 et 225-2 Code pénal |
| Divulgation de l'identité du lanceur | 2 ans prison + 30 000 € amende | Art. 9 loi Sapin II |
| Signalement abusif | 5 ans prison + 45 000 € amende | Art. 226-10 Code pénal |
## Textes de référence
| Texte | Date | Fichier |
|-------|------|---------|
| Directive (UE) 2019/1937 | 23/10/2019 | `assets/Directive_2019_1937.pdf` |
| Loi n°2016-1691 (Sapin II) | 09/12/2016 | `assets/Loi_Sapin_II_consolidee.pdf` |
| Loi n°2022-401 (Waserman) | 21/03/2022 | `assets/Loi_Waserman_2022.pdf` |
| Décret n°2022-1284 | 03/10/2022 | `assets/Decret_2022_1284.pdf` |
| Référentiel CNIL | 24/07/2023 | `assets/Referentiel_CNIL_alertes_professionnelles.pdf` |
| Circulaire fonction publique | 26/06/2024 | `assets/Circulaire_26_juin_2024.pdf` |
| Synthèse DREETS | 17/02/2025 | `assets/DREETS_synthese_2025.pdf` |
| Loi n°2017-399 (Vigilance) | 27/03/2017 | `assets/L225-102-1.pdf` et `assets/L225-102-2.pdf` |
| Directive (UE) 2024/1760 (CS3D) | 13/06/2024 | `assets/Directive_CS3D_2024_1760.pdf` |
## Rédaction de politique (Mode B)
### Template fourni
| Template | Format | Usage |
|:---------|:-------|:------|
| `Template_Politique_Lanceur_Alerte.docx` | Word | Modèle de politique de signalement interne |
> **IMPORTANT** : Le template doit être repris **EXACTEMENT** tel que fourni. Seuls les éléments variables doivent être adaptés à la situation du client. Ne pas reformuler, supprimer ou réorganiser les clauses du template.
### Workflow de rédaction
**ÉTAPE 1 — Collecter les informations client**
- [ ] Forme juridique et effectif
- [ ] Canaux choisis (écrit, oral, les deux)
- [ ] Identité du/des référent(s) désigné(s)
- [ ] Coordonnées du canal de signalement
- [ ] Périmètre des personnes éligibles
- [ ] Articulation avec d'autres dispositifs (devoir de vigilance)
**ÉTAPE 2 — Adapter le template**
- [ ] Ouvrir Template_Politique_Lanceur_Alerte.docx
- [ ] Compléter UNIQUEMENT les éléments variables
- [ ] Ne PAS reformuler les clauses existantes
- [ ] Ne PAS supprimer de sections
- [ ] Ajouter la clause obligatoire sur les canaux externes
*Exemple de formulation à insérer dans la politique :*
```
Indépendamment du présent dispositif, toute personne peut adresser
directement un signalement externe au Défenseur des droits, à l'autorité
judiciaire, ou à l'autorité compétente selon le domaine concerné. La liste
des autorités externes est fixée par l'annexe du décret n°2022-1284 du
3 octobre 2022, consultable sur :
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000046357368
```
**ÉTAPE 3 — Vérifier la conformité**
→ Utiliser [DECRET_PROCEDURE.md](references/DECRET_PROCEDURE.md) et [TEXTES_LEGAUX.md](references/TEXTES_LEGAUX.md) pour vérifier les éléments obligatoires
→ Utiliser [RGPD_CNIL.md](references/RGPD_CNIL.md) pour vérifier la conformité RGPD
**ÉTAPE 4 — Ajouter l'information sur les canaux externes**
(Obligation légale - Art. 8 al. 3 du décret n°2022-1284)
### Finalisation
**ÉTAPE 5 — Validation**
- [ ] Faire relire par la direction
- [ ] Consulter le CSE si applicable (≥ 50 salariés)
- [ ] Si devoir de vigilance : concertation avec syndicats représentatifs
**ÉTAPE 6 — Diffusion**
- [ ] Choisir les supports de diffusion (cf. Section 6 - Phase 6)
- [ ] S'assurer de l'accessibilité permanente
- [ ] Former les référents désignés
---
## Referenced Files
> The following files are referenced in this skill and included for context.
### references/DECRET_PROCEDURE.md
```markdown
# Éléments obligatoires de la procédure (Décret n°2022-1284)
> **IMPORTANT** : Le décret n°2022-1284 du 3 octobre 2022 fixe de manière **exhaustive et impérative** les éléments que doit contenir la procédure interne de recueil et de traitement des signalements.
**Texte complet avec annexe** : `assets/Decret_2022_1284.pdf`
---
## 1. Canal de réception des signalements (Article 4 I du décret)
```
EXIGENCES IMPÉRATIVES DU CANAL DE RÉCEPTION :
FORME DU SIGNALEMENT :
[ ] La procédure permet le signalement par ÉCRIT
[ ] OU la procédure permet le signalement par ORAL
→ Si oral prévu, préciser que le signalement peut s'effectuer :
[ ] Par téléphone
[ ] Par tout autre système de messagerie vocale
[ ] Lors d'une visioconférence (sur demande de l'auteur)
[ ] Lors d'une rencontre physique (sur demande de l'auteur)
→ Délai : au plus tard 20 JOURS OUVRÉS après réception de la demande
CAPACITÉ DE TRANSMISSION :
[ ] Le canal permet de transmettre tout élément, QUEL QUE SOIT sa forme ou son support
[ ] Ces éléments doivent permettre d'étayer le signalement de faits :
→ Qui se sont produits dans l'entité concernée
→ OU qui sont très susceptibles de se produire dans l'entité concernée
ACCUSÉ DE RÉCEPTION :
[ ] La procédure PRÉVOIT que l'auteur est informé PAR ÉCRIT
[ ] Délai : 7 JOURS OUVRÉS à compter de la réception du signalement
JUSTIFICATION DE L'ÉLIGIBILITÉ (facultatif) :
[ ] La procédure PEUT prévoir (sauf signalement anonyme) que l'auteur transmet
tout élément justifiant qu'il appartient aux catégories 1° à 5° de l'art. 8 I.A.
```
---
## 2. Vérification de recevabilité et traitement (Article 4 II et III du décret)
```
PHASE DE VÉRIFICATION (Art. 4 II) :
[ ] L'entité VÉRIFIE (sauf signalement anonyme) que les conditions sont respectées :
→ Conditions de l'article 6 (définition du lanceur d'alerte)
→ Conditions du A du I de l'article 8 (personnes éligibles au signalement interne)
[ ] L'entité PEUT demander tout complément d'information à l'auteur
INFORMATION EN CAS DE NON-RECEVABILITÉ :
[ ] La procédure PRÉVOIT que l'auteur est INFORMÉ des raisons pour lesquelles
l'entité estime que son signalement ne respecte pas les conditions requises
SUITES PRÉVUES PAR LA PROCÉDURE :
[ ] La procédure PRÉCISE les suites données aux signalements qui ne respectent pas
les conditions de l'article 6 et du A du I de l'article 8
[ ] La procédure PRÉCISE également les suites données aux signalements ANONYMES
TRANSMISSION À UNE AUTRE ENTITÉ DU GROUPE :
[ ] Si l'entité estime que les faits concernent une autre entité du même périmètre
de consolidation (art. L. 233-16 C. com.) :
→ Elle PEUT inviter l'auteur à adresser également le signalement à cette entité
→ Si traitement plus efficace par cette seule autre entité :
Elle PEUT inviter l'auteur à RETIRER le signalement qu'elle a reçu
─────────────────────────────────────────────────────────────────────────────────
PHASE DE TRAITEMENT (Art. 4 III) :
CONDITION PRÉALABLE :
[ ] Les conditions de l'article 6 et du A du I de l'article 8 sont respectées
ÉVALUATION DES ALLÉGATIONS :
[ ] L'entité PEUT demander tout complément d'information à l'auteur
pour évaluer l'exactitude des allégations
SI LES ALLÉGATIONS PARAISSENT AVÉRÉES :
[ ] L'entité MET EN ŒUVRE les moyens à sa disposition pour remédier à l'objet
du signalement
RETOUR D'INFORMATION OBLIGATOIRE :
[ ] La procédure PRÉVOIT que l'entité communique PAR ÉCRIT à l'auteur :
→ Délai : MAXIMUM 3 MOIS à compter de l'accusé de réception
→ OU 3 mois à compter de l'expiration du délai de 7 jours ouvrés (si pas d'AR)
→ Contenu : informations sur les mesures envisagées ou prises pour :
• Évaluer l'exactitude des allégations
• Le cas échéant, remédier à l'objet du signalement
• Les motifs de ces mesures
CLÔTURE DU SIGNALEMENT :
[ ] L'entité procède à la clôture lorsque :
→ Les allégations sont inexactes ou infondées
→ OU le signalement est devenu sans objet
[ ] La procédure PRÉVOIT que l'auteur est INFORMÉ PAR ÉCRIT de la clôture du dossier
```
---
## 3. Personnes ou services désignés (Article 5 du décret)
```
DÉSIGNATION OBLIGATOIRE (Art. 5 I) :
[ ] La procédure INDIQUE la ou les personnes ou le ou les services désignés
pour RECUEILLIR les signalements
[ ] La procédure INDIQUE la ou les personnes ou le ou les services désignés
pour TRAITER les signalements
→ Note : recueil et traitement peuvent être gérés par des personnes/services différents
EXIGENCES RELATIVES AUX PERSONNES/SERVICES DÉSIGNÉS :
[ ] Disposent, par leur POSITIONNEMENT ou leur STATUT, de :
→ La COMPÉTENCE suffisante à l'exercice de leurs missions
→ L'AUTORITÉ suffisante à l'exercice de leurs missions
→ Les MOYENS suffisants à l'exercice de leurs missions
[ ] La procédure PRÉVOIT les garanties permettant l'exercice IMPARTIAL de ces missions
─────────────────────────────────────────────────────────────────────────────────
CAS PARTICULIERS (Art. 5 II) :
FONCTION PUBLIQUE :
[ ] Le référent déontologue (art. L. 124-2 CGFP) PEUT être chargé du recueil
et, le cas échéant, du traitement des signalements
[ ] Le référent déontologue défense (art. L. 4122-10 C. défense) PEUT également
être désigné pour ces missions
ORGANISMES SOUMIS À PLUSIEURS OBLIGATIONS :
[ ] Dans les organismes visés par l'art. 17 Sapin II (AFA) ET par l'art. L. 225-102-4
C. com. (vigilance), la personne/service désigné PEUT être le même que celui
chargé de recueillir les signalements au titre de ces autres dispositions
```
---
## 4. Confidentialité et intégrité des informations (Article 6 du décret)
```
GARANTIES DE CONFIDENTIALITÉ ET D'INTÉGRITÉ (Art. 6 I) :
[ ] La procédure GARANTIT l'intégrité des informations recueillies
[ ] La procédure GARANTIT la confidentialité des informations, notamment :
→ L'identité de l'AUTEUR du signalement
→ L'identité des PERSONNES VISÉES par celui-ci
→ L'identité de tout TIERS qui y est mentionné
RESTRICTION D'ACCÈS :
[ ] La procédure INTERDIT l'accès à ces informations aux membres du personnel
qui ne sont pas autorisés à en connaître (cf. art. 5 I du décret)
TRANSMISSION INTERNE :
[ ] La procédure PRÉVOIT la transmission SANS DÉLAI aux personnes/services désignés
(art. 5 I) des signalements reçus par d'autres personnes ou services
COMMUNICATION À DES TIERS :
[ ] Les informations recueillies ne peuvent être communiquées à des tiers QUE SI :
→ Cette communication est nécessaire pour traiter le signalement
→ ET dans le respect des dispositions de l'art. 9 I de la loi Sapin II
─────────────────────────────────────────────────────────────────────────────────
CONSIGNATION DES SIGNALEMENTS ORAUX (Art. 6 II) :
Tout signalement oral est consigné selon ce que prévoit la procédure :
1° LIGNE TÉLÉPHONIQUE/MESSAGERIE VOCALE ENREGISTRÉE (avec consentement) :
[ ] Enregistrement de la conversation sur support durable et récupérable
[ ] OU transcription intégrale de la conversation
2° LIGNE TÉLÉPHONIQUE/MESSAGERIE VOCALE NON ENREGISTRÉE :
[ ] Établissement d'un procès-verbal PRÉCIS de la conversation
3° VISIOCONFÉRENCE OU RENCONTRE PHYSIQUE (avec consentement) :
[ ] Enregistrement de la conversation sur support durable et récupérable
[ ] OU procès-verbal PRÉCIS
DROIT DE VÉRIFICATION ET APPROBATION :
[ ] L'auteur a la possibilité de VÉRIFIER, RECTIFIER et APPROUVER
la transcription ou le procès-verbal par l'apposition de sa SIGNATURE
DURÉE DE CONSERVATION :
[ ] Les enregistrements, transcriptions et procès-verbaux ne peuvent être conservés
que le temps STRICTEMENT NÉCESSAIRE ET PROPORTIONNÉ :
→ Au traitement du signalement
→ À la protection des auteurs, des personnes visées et des tiers mentionnés
```
---
## 5. Externalisation du canal de réception (Article 7 du décret)
```
POSSIBILITÉ D'EXTERNALISATION (Art. 7 I) :
[ ] Toute entité visée à l'art. 1er PEUT prévoir dans sa procédure que le canal
de réception est géré pour son compte en EXTERNE par un tiers
[ ] Ce tiers peut être :
→ Une personne physique
→ Une entité de droit privé (dotée ou non de la personnalité morale)
→ Une entité de droit public (dotée ou non de la personnalité morale)
OBLIGATIONS DU TIERS EXTERNE :
[ ] Le tiers DOIT respecter les dispositions :
→ Du I de l'article 4 (canal de réception)
→ Du I de l'article 6 (confidentialité et intégrité)
─────────────────────────────────────────────────────────────────────────────────
MUTUALISATION DES RESSOURCES (Art. 7 II) :
CONDITIONS :
[ ] Entités mentionnées au 3° du B du I de l'article 8 de la loi Sapin II
[ ] Employant MOINS DE 250 SALARIÉS (appréciation cf. art. 2 I du décret)
[ ] Après décision concordante de leurs organes compétents
ÉLÉMENTS MUTUALISABLES :
[ ] Canal de réception des signalements (art. 4 I)
[ ] Évaluation de l'exactitude des allégations (art. 4 III al. 1)
LIMITE :
[ ] Sans préjudice des autres obligations qui incombent à chacune des entités
```
---
## 6. Diffusion et information (Article 8 du décret)
```
DIFFUSION DE LA PROCÉDURE (Art. 8 al. 1) :
[ ] La procédure est diffusée par l'entité par tout moyen assurant une PUBLICITÉ
SUFFISANTE, notamment :
→ Par voie de notification
→ Par affichage
→ Par publication
→ Le cas échéant, sur son site internet
→ Par voie électronique
[ ] Dans des conditions permettant de la rendre ACCESSIBLE DE MANIÈRE PERMANENTE
aux personnes mentionnées au A du I de l'article 8 de la loi Sapin II
DIFFUSION DE LA PROCÉDURE D'UNE ENTITÉ DU GROUPE (Art. 8 al. 2) :
[ ] L'entité PEUT diffuser aux mêmes personnes la procédure de toute entité
appartenant au même périmètre de consolidation (art. L. 233-16 C. com.)
[ ] EN PRÉCISANT :
→ Sous quelles conditions ces personnes peuvent lui adresser leur signalement
→ Selon quelles modalités
INFORMATION SUR LES CANAUX EXTERNES (Art. 8 al. 3) :
[ ] L'entité met ÉGALEMENT à disposition des informations CLAIRES ET FACILEMENT
ACCESSIBLES concernant les procédures de signalement externe mentionnées
au II de l'article 8 de la loi Sapin II
```
---
## 7. Synthèse : Contenu obligatoire de l'information aux personnes éligibles
```
CONTENU OBLIGATOIRE DE L'INFORMATION (synthèse) :
[ ] Existence du dispositif de signalement interne
[ ] Fonctionnement du dispositif (modalités pratiques)
[ ] Identité de la ou des personnes/services désignés pour recueillir les signalements
[ ] Identité de la ou des personnes/services désignés pour traiter les signalements
[ ] Conditions pour bénéficier du statut de lanceur d'alerte (art. 6 loi Sapin II)
[ ] Catégories de personnes pouvant effectuer un signalement interne (art. 8 I.A.)
[ ] Modalités de signalement :
→ Forme (écrit et/ou oral)
→ Canal(aux) disponible(s)
→ Si oral : possibilité de visioconférence/rencontre physique sur demande
[ ] Délais de traitement :
→ Accusé de réception : 7 jours ouvrés
→ Retour d'information : 3 mois maximum
[ ] Garanties de confidentialité (art. 9 loi Sapin II)
[ ] Protections accordées (art. 10-1 loi Sapin II)
[ ] Canaux de signalement externe disponibles (art. 8 II loi Sapin II) :
→ Liste des autorités compétentes ou lien vers cette liste
→ Défenseur des droits
→ Autorité judiciaire
[ ] Traitement des données personnelles (information RGPD)
SUPPORTS DE DIFFUSION RECOMMANDÉS :
→ Règlement intérieur (entreprises de ≥ 50 salariés)
→ Intranet / site internet
→ Affichage dans les locaux
→ Note de service
→ Livret d'accueil
→ Communication par email
→ Portail dédié au signalement
```
---
## Articles du décret n°2022-1284 - Citations verbatim
### Article 1
> Les entités mentionnées aux 1° à 4° du B du I de l'article 8 de la loi du 9 décembre 2016 susvisée établissent une procédure interne de recueil et de traitement des signalements conformément aux dispositions du présent titre.
### Article 2 (précision sur le champ d'application)
> **I.** - Pour les personnes morales de droit privé et pour les personnes morales de droit public employant des personnels dans les conditions du droit privé, le seuil de cinquante salariés prévu au B du I de l'article 8 de la loi du 9 décembre 2016 susvisée s'apprécie à la clôture de deux exercices consécutifs et est déterminé selon les modalités prévues au I de l'article L. 130-1 du code de la sécurité sociale.
>
> **II.** - Pour les personnes morales de droit public autres que celles mentionnées au I du présent article, le seuil de cinquante agents prévu au B du I de l'article 8 de la loi du 9 décembre 2016 susvisée est déterminé selon les modalités prévues pour le calcul des effectifs pris en compte pour la composition des comités sociaux ou des instances exerçant les attributions conférées aux comités sociaux.
>
> **III.** - Lorsque la personne morale de droit public emploie des personnels dans des conditions de droit privé et de droit public, le seuil prévu au B du I de l'article 8 de la loi du 9 décembre 2016 susvisée est déterminé selon les modalités prévues au II lorsque celles-ci prennent en compte les personnels de droit privé ou, à défaut, par le cumul des effectifs calculés respectivement selon les modalités prévues au I et au II du présent article.
### Article 3
> **I.** - Les entités mentionnées à l'article 1er du présent décret, autres que celles mentionnées aux II et III du présent article, établissent leur procédure interne de recueil et de traitement des signalements conformément aux règles qui régissent l'instrument juridique qu'elles adoptent, après consultation des instances de dialogue social.
>
> **II.** - Dans les administrations centrales, les services à compétence nationale et les services déconcentrés relevant des administrations de l'Etat, la procédure interne de recueil et de traitement des signalements est instaurée par arrêté du ou des ministres compétents, après avis des comités sociaux d'administration.
>
> **III.** - Les autorités publiques indépendantes d'au moins cinquante agents et les autorités administratives indépendantes établissent leur procédure interne de recueil et de traitement des signalements dans des conditions et selon des modalités précisées par ces autorités et conformément aux règles qui les régissent, après consultation des instances de dialogue social.
### Article 4 (éléments obligatoires que doit contenir la procédure)
**I.** - La procédure mentionnée à l'article 1er du présent décret instaure un canal de réception des signalements qui permet à toute personne mentionnée aux 1° à 5° du A du I de l'article 8 de la loi du 9 décembre 2016 susvisée d'adresser un signalement par écrit ou par oral, selon ce que prévoit la procédure. Si la procédure prévoit la possibilité d'adresser un signalement par oral, elle précise que ce signalement peut s'effectuer par téléphone ou par tout autre système de messagerie vocale et, sur la demande de l'auteur du signalement et selon son choix, lors d'une visioconférence ou d'une rencontre physique organisée au plus tard vingt jours ouvrés après réception de la demande.
Le canal de réception des signalements permet de transmettre tout élément, quel que soit sa forme ou son support, de nature à étayer le signalement de faits mentionnés au I de l'article 6 de la loi du 9 décembre 2016 susvisée qui se sont produits ou sont très susceptibles de se produire dans l'entité concernée.
La procédure prévoit que l'auteur du signalement est informé par écrit de la réception de son signalement dans un délai de sept jours ouvrés à compter de cette réception.
Elle peut prévoir, hormis le cas où le signalement est anonyme, que l'auteur du signalement transmet en même temps que son signalement tout élément justifiant qu'il appartient à l'une des catégories de personnes mentionnées aux 1° à 5° du A du I de l'article 8 de la loi du 9 décembre 2016 susvisée.
**II.** - Lorsqu'un signalement est recueilli par le canal mentionné au I du présent article, l'entité vérifie, sauf si le signalement est anonyme, que les conditions prévues par l'article 6 et le A du I de l'article 8 de la loi du 9 décembre 2016 susvisée sont respectées. Elle peut, à cette fin, demander tout complément d'information à l'auteur du signalement.
La procédure prévoit que l'auteur du signalement est informé des raisons pour lesquelles l'entité estime, le cas échéant, que son signalement ne respecte pas les conditions mentionnées au précédent alinéa.
La procédure précise les suites données aux signalements qui ne respectent pas les conditions prévues par l'article 6 et le A du I de l'article 8 de la loi du 9 décembre 2016 susvisée. Elle précise également les suites données aux signalements anonymes.
Lorsque l'entité estime que le signalement porte sur des faits qui se sont produits ou sont très susceptibles de se produire dans une entité appartenant au même périmètre de consolidation, au sens de l'article L. 233-16 du code de commerce, elle peut inviter l'auteur du signalement à l'adresser également à cette dernière. En outre, lorsque l'entité estime que le signalement serait traité de manière plus efficace par cette seule autre entité, elle peut inviter son auteur à retirer le signalement qu'elle a reçu.
**III.** - Lorsque les conditions prévues par l'article 6 et le A du I de l'article 8 de la loi du 9 décembre 2016 susvisée sont respectées, l'entité assure le traitement du signalement.
Elle peut, afin d'évaluer l'exactitude des allégations qui sont formulées, demander tout complément d'information à l'auteur du signalement.
Lorsque les allégations lui paraissent avérées, l'entité met en œuvre les moyens à sa disposition pour remédier à l'objet du signalement.
La procédure prévoit que l'entité communique par écrit à l'auteur du signalement, dans un délai raisonnable n'excédant pas trois mois à compter de l'accusé de réception du signalement ou, à défaut d'accusé de réception, trois mois à compter de l'expiration d'une période de sept jours ouvrés suivant le signalement, des informations sur les mesures envisagées ou prises pour évaluer l'exactitude des allégations et, le cas échéant, remédier à l'objet du signalement ainsi que sur les motifs de ces dernières.
L'entité procède à la clôture du signalement lorsque les allégations sont inexactes ou infondées, ou lorsque le signalement est devenu sans objet. La procédure prévoit que l'auteur du signalement est informé par écrit de la clôture du dossier.
### Article 5 (éléments obligatoires que doit contenir la procédure)
**I.** - La procédure indique la ou les personnes ou le ou les services désignés par l'entité pour recueillir et traiter les signalements. Le canal de réception des signalements prévu au I de l'article 4 du présent décret et le traitement prévu aux II et III de ce même article peuvent être gérés par des personnes ou services différents.
Les personnes ou services désignés disposent, par leur positionnement ou leur statut, de la compétence, de l'autorité et des moyens suffisants à l'exercice de leurs missions. La procédure prévoit les garanties permettant l'exercice impartial de ces missions.
**II.** − Dans les organismes mentionnés aux articles L. 3 à L. 5 du code général de la fonction publique, le référent déontologue mentionné à l'article L. 124-2 du même code peut être chargé du recueil et, le cas échéant, du traitement des signalements.
Le référent déontologue prévu au premier alinéa de l'article L. 4122-10 du code de la défense peut également être désigné pour exercer ces missions.
Dans les organismes mentionnés au I de l'article 17 de la loi du 9 décembre 2016 susvisée et au I de l'article L. 225-102-4 du code de commerce, la personne ou le service mentionné au I du présent article peut être le même que celui chargé de recueillir les signalements en application de ces dispositions.
### Article 6 (éléments obligatoires que doit contenir la procédure)
**I.** − La procédure garantit l'intégrité et la confidentialité des informations recueillies dans un signalement, notamment l'identité de l'auteur du signalement, des personnes visées par celui-ci et de tout tiers qui y est mentionné.
Elle interdit l'accès à ces informations aux membres du personnel qui ne sont pas autorisés à en connaître en application du I de l'article 5 du présent décret. La procédure prévoit la transmission sans délai aux personnes ou services mentionnés au I de l'article 5 des signalements reçus par d'autres personnes ou services.
Les informations recueillies ne peuvent être communiquées à des tiers que si cette communication est nécessaire pour traiter le signalement et dans le respect des dispositions du I de l'article 9 de la loi du 9 décembre 2016 susvisée.
**II.** − Tout signalement effectué oralement est consigné, selon ce que prévoit la procédure, de la manière suivante :
1° Lorsqu'il est recueilli, avec le consentement de son auteur, sur une ligne téléphonique enregistrée ou sur un autre système de messagerie vocale enregistré, soit en enregistrant la conversation sur un support durable et récupérable, soit en la transcrivant de manière intégrale ;
2° Lorsqu'il est recueilli sur une ligne téléphonique non enregistrée ou sur un autre système de messagerie vocale non enregistré, en établissant un procès-verbal précis de la conversation ;
3° Lorsqu'il est recueilli dans le cadre d'une visioconférence ou d'une rencontre physique, en établissant, avec le consentement de son auteur, soit un enregistrement de la conversation sur un support durable et récupérable, soit un procès-verbal précis.
L'auteur du signalement a la possibilité de vérifier, de rectifier et d'approuver la transcription de la conversation ou le procès-verbal par l'apposition de sa signature.
Les enregistrements, transcriptions et procès-verbaux ne peuvent être conservés que le temps strictement nécessaire et proportionné au traitement du signalement et à la protection de leurs auteurs, des personnes qu'ils visent et des tiers qu'ils mentionnent.
### Article 7 (éléments obligatoires que doit contenir la procédure)
**I.** − Toute entité mentionnée à l'article 1er du présent décret peut prévoir dans sa procédure que le canal de réception des signalements mentionné au I de l'article 4 du présent décret est géré pour son compte en externe par un tiers, qui peut être une personne physique ou une entité de droit privé ou publique dotée ou non de la personnalité morale. Dans ce cas, ce dernier respecte les dispositions du I de l'article 4 et du I de l'article 6 du présent décret.
**II.** − Les entités mentionnées au 3° du B du I de l'article 8 de la loi du 9 décembre 2016 susvisée employant moins de deux cent cinquante salariés peuvent prévoir, après décision concordante de leurs organes compétents, que le canal de réception des signalements, mentionné au I de l'article 4 du présent décret, ainsi que l'évaluation de l'exactitude des allégations formulées dans le signalement, prévue au premier alinéa du III du même article, font l'objet de ressources partagées entre elles, sans préjudice des autres obligations qui leur incombent à chacune. Le seuil de deux cent cinquante salariés s'apprécie conformément aux dispositions du I de l'article 2 du présent décret.
### Article 8 (éléments obligatoires que doit contenir la procédure)
La procédure est diffusée par l'entité concernée par tout moyen assurant une publicité suffisante, notamment par voie de notification, affichage ou publication, le cas échéant sur son site internet ou par voie électronique, dans des conditions permettant de la rendre accessible de manière permanente aux personnes mentionnées au A du I de l'article 8 de la loi du 9 décembre 2016 susvisée.
L'entité peut diffuser aux mêmes personnes la procédure de toute entité appartenant au même périmètre de consolidation, au sens de l'article L. 233-16 du code de commerce, en précisant sous quelles conditions et selon quelles modalités celles-ci peuvent lui adresser leur signalement.
L'entité met également à disposition des informations claires et facilement accessibles concernant les procédures de signalement externe mentionnées au II de l'article 8 de la loi du 9 décembre 2016 susvisée.
```
### references/RGPD_CNIL.md
```markdown
# Conformité RGPD - Référentiel CNIL Alertes Professionnelles
> **Référence** : Référentiel CNIL du 6 juillet 2023 relatif aux traitements de données à caractère personnel destinés à la mise en oeuvre d'un dispositif d'alerte
---
## 1. Champ d'application du référentiel
### 1.1 Organismes concernés
Le référentiel s'adresse à :
- **Organismes privés ou publics** tenus ou décidant de mettre en oeuvre un DAP (Dispositif d'Alerte Professionnelle), quelle que soit leur taille
- **Entités tierces** proposant des services liés à la réception, au traitement et à la conservation des alertes
### 1.2 Traitements couverts
Le référentiel s'applique aux traitements automatisés permettant de :
- Recevoir, traiter et conserver tout signalement effectué de **bonne foi**
- Révélant ou signalant une violation de règles juridiques (françaises, européennes, internationales, étrangères) ou éthiques
**Types de dispositifs couverts** :
- DAP art. 17.II.2° loi Sapin 2 (code de conduite / anticorruption)
- DAP art. 6 et suivants loi Sapin 2 modifiée (alertes de droit commun)
- DAP devoir de vigilance (art. L. 225-102-4 C. com.)
- DAP mis en place volontairement (codes éthiques)
- DAP uniques couvrant plusieurs finalités
> **IMPORTANT** : Ce référentiel n'a pas de valeur contraignante. Les organismes peuvent s'en écarter mais doivent justifier et documenter les mesures alternatives garantissant la conformité RGPD.
---
## 2. Finalités autorisées (Section 3 du référentiel)
### 2.1 Objectifs du traitement
Le traitement de données d'alertes internes peut être mis en oeuvre pour :
| Finalité | Description |
|----------|-------------|
| **Recueil des signalements** | Recevoir et traiter les alertes visant à signaler un manquement à une règle spécifique |
| **Vérifications et enquêtes** | Effectuer les vérifications, enquêtes et analyses nécessaires |
| **Définition des suites** | Définir les suites à donner au signalement |
| **Protection des personnes** | Assurer la protection des personnes concernées |
| **Défense des droits** | Exercer ou défendre des droits en justice |
### 2.2 Règles d'utilisation des données
```
INTERDICTIONS :
[ ] Réutilisation pour un objectif INCOMPATIBLE avec les finalités ci-dessus
[ ] Mises en relation autres que celles nécessaires aux finalités énoncées
UTILISATION COMPATIBLE (exemple) :
[ ] Défense des droits de l'organisme dans un procès lié à l'alerte
```
---
## 3. Bases légales du traitement (Section 4 du référentiel)
### 3.1 Deux bases légales possibles
| Base légale | Conditions | Exemples |
|-------------|------------|----------|
| **Obligation légale** (Art. 6.1.c RGPD) | L'obligation de mettre en oeuvre un DAP résulte d'une source du droit français, d'un engagement international, ou du droit de l'UE ET l'organisme y est effectivement soumis | Art. 8 et 17 loi Sapin 2, Devoir de vigilance |
| **Intérêt légitime** (Art. 6.1.f RGPD) | La mise en place du DAP ne résulte pas d'une obligation légale, sous réserve de ne pas méconnaître les droits et libertés des personnes concernées | DAP volontaire, code éthique interne |
### 3.2 DAP à finalités multiples
Lorsqu'un DAP répond à **plusieurs finalités** (obligation légale + engagement volontaire), le responsable de traitement doit :
- Distinguer les finalités elles-mêmes
- Distinguer les bases légales fondant chacune des finalités
---
## 4. Données personnelles concernées (Section 5 du référentiel)
### 4.1 Principes de minimisation par phase
#### Phase 1 : Recueil de l'alerte
> Période couvrant la réception de l'alerte et l'envoi du récépissé
```
EXIGENCES AU STADE DU RECUEIL :
[ ] Seules les données NÉCESSAIRES aux finalités sont collectées
[ ] Rappeler aux auteurs que les informations doivent :
- Rester factuelles
- Présenter un lien direct avec l'objet de l'alerte
- Ne pas relever des secrets protégés (défense nationale, médical,
délibérations judiciaires, enquête/instruction, avocat)
```
#### Phase 2 : Instruction de l'alerte
> Période de la réception de l'alerte à la décision sur les suites et information de l'auteur
**Catégories de données généralement pertinentes** :
| Catégorie | Données |
|-----------|---------|
| **Alerte** | Les faits signalés |
| **Identité, fonctions, coordonnées** | Émetteur de l'alerte |
| | Personnes faisant l'objet de l'alerte |
| | Personnes intervenant, consultées ou entendues |
| | Facilitateurs et personnes en lien avec l'émetteur |
| **Éléments d'enquête** | Éléments recueillis dans le cadre de la vérification |
| **Documentation** | Comptes rendus des opérations de vérification |
| **Suites** | Suites données à l'alerte |
**Obligation supplémentaire** : Assurer la qualité des données (exactes et mises à jour) tout au long du traitement.
#### Phase 3 : Après la décision sur les suites
> Seules les données nécessaires aux finalités suivantes peuvent être conservées :
```
FINALITÉS DE CONSERVATION POST-DÉCISION :
[ ] Protection des parties prenantes contre les représailles
(auteurs, facilitateurs, personnes visées)
[ ] Constater, exercer et défendre des droits en justice
[ ] Réaliser des audits internes ou externes des processus de conformité
```
### 4.2 Traitement des données sensibles (Art. 9 RGPD)
**Données à vigilance renforcée** :
- Origine ethnique ou prétendument raciale
- Opinions politiques
- Convictions religieuses ou philosophiques
- Appartenance syndicale
- Données génétiques
- Données biométriques
- Données de santé
- Vie sexuelle ou orientation sexuelle
**Bases légales spécifiques pour le traitement** :
- Art. 9.2.g) RGPD : Intérêt public important
- Art. 9.2.f) RGPD : Constatation, exercice ou défense d'un droit en justice
### 4.3 Traitement des données d'infraction (Art. 10 RGPD / Art. 46 LIL)
Les données relatives aux infractions, condamnations et mesures de sûreté peuvent être collectées :
- Par des dispositions spécifiques du droit national (art. 8, 17 Sapin 2, L. 225-102-4 C. com.)
- Pour permettre au RT de « préparer et, le cas échéant, d'exercer et de suivre une action en justice » (Art. 46-3° LIL)
### 4.4 Traitement de l'identité de l'auteur
#### 4.4.1 Signalements anonymes
**Définition** : Signalement dont l'auteur a choisi de ne pas révéler son identité (nom, prénom, fonction, identifiants, adresse de courriel nominative, etc.), peu important qu'il puisse être possible de l'identifier ultérieurement.
```
EXIGENCES POUR LES SIGNALEMENTS ANONYMES :
[ ] Le DAP DEVRAIT permettre aux auteurs d'émettre des signalements anonymes
[ ] Permettre la poursuite des échanges tout en conservant l'anonymat
(ex: adresse e-mail non identifiante, boîte postale)
[ ] S'abstenir de TOUTE tentative de réidentification
(sauf obligation légale contraire ou consentement)
[ ] Ne PAS utiliser de procédés techniques de réidentification :
- Cookies et pisteurs
- Collecte d'adresses IP
- Paramètres de configuration du terminal
- Recoupement d'informations
[ ] Préciser dans la procédure « les suites données aux signalements anonymes »
(obligatoire pour les alertes art. 6+ loi Sapin 2)
```
#### 4.4.2 Signalements identifiés
Si l'émetteur choisit de s'identifier, son identité est traitée de façon **confidentielle** par les personnes chargées de la gestion des alertes.
---
## 5. Accédants et destinataires (Section 6 du référentiel)
### 5.1 Principe général
- Les données doivent être **uniquement accessibles aux personnes habilitées** au regard de leurs attributions
- Les habilitations d'accès doivent être **documentées**
- Les accès doivent faire l'objet de mesures de **traçabilité**
### 5.2 Externalisation du traitement des alertes
#### Qualifications possibles des entités
| Qualification | Conséquence |
|---------------|-------------|
| **Responsable de traitement** | Détermine les finalités et moyens du traitement |
| **Sous-traitant** | Traite pour le compte du RT |
| **Responsables conjoints** | Déterminent conjointement finalités et moyens |
**Exigence** : Un contrat définissant les caractéristiques du traitement et les obligations des parties doit être établi (cf. chapitre IV du RGPD).
#### Règles d'externalisation pour les DAP art. 6+ loi Sapin 2
| Opération | Possibilité d'externalisation |
|-----------|-------------------------------|
| **Réception des signalements** | OUI - Largement ouverte (cabinet d'avocat, plateforme spécialisée, fournisseur de messagerie) |
| **Fonctions déléguables** | Réception, enregistrement audio/vidéo, transcription, consignation PV, analyse recevabilité, émission récépissé |
| **Mise en commun des ressources** | Réservée aux organismes < 250 personnes (membres ou non d'un groupe) |
| **Délégation intégrale** | NON PRÉVUE par la réglementation |
> **Exception** : Les communes et établissements publics peuvent confier recueil ET traitement à un centre de gestion de la fonction publique territoriale, quel que soit le nombre d'agents (Art. 8.I.B.4° loi Sapin 2).
### 5.3 Personnes accédant aux données
```
PERSONNES HABILITÉES (exemples) :
[ ] Personnes spécialement chargées de la gestion des alertes
[ ] Référent ou prestataire désigné (avec engagements contractuels)
[ ] Avocat/conseil assistant l'organisme
[ ] Autre entité du même groupe (conditions strictes)
ENGAGEMENTS DU RÉFÉRENT/PRESTATAIRE :
[ ] Ne pas utiliser les données à des fins autres que la gestion des alertes
[ ] Assurer la confidentialité
[ ] Respecter la durée de conservation limitée
[ ] Procéder à la destruction/restitution des supports en fin de prestation
```
### 5.4 Règles de communication des données
```
RÈGLES STRICTES DE DIVULGATION :
IDENTITÉ DU LANCEUR D'ALERTE :
[ ] Ne peut être divulguée qu'avec son CONSENTEMENT
[ ] Exception unique : communication à l'autorité judiciaire si obligation
de dénonciation (Art. 9.I al. 2 loi Sapin 2)
IDENTITÉ DE LA PERSONNE MISE EN CAUSE :
[ ] Ne peut être divulguée qu'une fois le caractère FONDÉ de l'alerte établi
[ ] Exception : communication à l'autorité judiciaire
TRANSFERT D'ALERTE AU SEIN D'UN GROUPE :
[ ] L'organisme NE PEUT PAS transférer l'alerte
[ ] Il peut uniquement PROPOSER à l'auteur de le faire directement
```
### 5.5 Transferts hors Union européenne
Toute transmission hors UE doit être encadrée par (Art. 44+ RGPD) :
- Décision d'adéquation, OU
- BCR (règles internes d'entreprise), OU
- Clauses types de protection des données, OU
- Code de conduite / mécanisme de certification approuvé CNIL, OU
- Clauses contractuelles ad hoc autorisées CNIL, OU
- Dérogations art. 49 RGPD
---
## 6. Durées de conservation (Section 7 du référentiel)
### 6.1 Principes généraux
Les données ne doivent être conservées sous forme identifiante que le temps **strictement nécessaire** aux finalités (Art. 5-1-e RGPD).
Les informations sur les durées de conservation doivent être **communiquées aux personnes concernées**.
### 6.2 Durées par phase
| Phase | Durée de conservation | Observations |
|-------|----------------------|--------------|
| **Base active** | Jusqu'à la **décision définitive** sur les suites | Délai raisonnable à compter de la réception |
| **Archives intermédiaires** | Temps **strictement proportionné** au traitement et à la protection des parties prenantes | Tenir compte des délais d'éventuelles enquêtes complémentaires (Art. 9.III loi Sapin 2) |
| **Procédure disciplinaire/contentieuse** | Jusqu'au **terme de la procédure** ou **prescription des recours** | Applicable si procédure engagée contre personne mise en cause ou auteur d'alerte abusive |
| **Archivage prolongé** | Selon obligations légales ou besoins probatoires | Obligations comptables, sociales, fiscales ; contentieux ; audits qualité |
### 6.3 Conservation de données anonymisées
```
RÈGLES D'ANONYMISATION :
[ ] Les données anonymisées ne sont plus soumises au RGPD
(Avis n° 05/2014 G29 relatif aux techniques d'anonymisation)
[ ] Art. 9.III loi Sapin 2 : « les données relatives aux signalements peuvent
être conservées au-delà [...] à la condition que les personnes physiques
concernées n'y soient ni identifiées ni identifiables »
[ ] Conservation SANS LIMITATION de durée si données dûment anonymisées
[ ] L'organisme doit GARANTIR le caractère anonymisé de façon PÉRENNE
ATTENTION : « signalement anonyme » (loi Sapin 2) ≠ « données anonymisées » (RGPD)
Un signalement anonyme au sens de la loi Sapin 2 peut contenir des données
à caractère personnel au sens du RGPD
```
---
## 7. Information des personnes (Section 8 du référentiel)
### 7.1 Identification des personnes concernées
#### Personnes « potentiellement concernées »
Toutes les personnes susceptibles d'émettre un signalement ou d'être visées par une alerte :
- Effectifs propres (salariés, agents, intérimaires, stagiaires, détachés, bénévoles...)
- Collaborateurs, clients, fournisseurs extérieurs personnes physiques
- Effectifs des personnes morales en lien contractuel
#### Personnes « concernées »
Toutes les personnes physiques dont les données sont **effectivement traitées** :
- Auteurs des alertes
- Personnes visées
- Facilitateurs personnes physiques
- Personnes susceptibles de fournir des informations
- Personnes protégées par ricochet (Art. 6-1, 2° et 3° loi Sapin 2)
### 7.2 Contenu de l'information (Art. 12, 13, 14 RGPD)
```
MENTIONS OBLIGATOIRES :
[ ] Existence du traitement
[ ] Caractéristiques :
- Finalités poursuivies
- Types de données susceptibles d'y figurer
- Types de personnes susceptibles d'émettre l'alerte ou d'en faire l'objet
- Principales étapes de la procédure
- Durées de conservation
[ ] Droits d'accès, de rectification et d'effacement
[ ] Règles applicables en cas de transfert hors UE
[ ] Droit d'introduire une plainte auprès de la CNIL
MENTIONS RECOMMANDÉES :
[ ] Utilisation abusive du DAP expose à sanctions/poursuites
[ ] Utilisation de bonne foi n'exposera à aucune sanction disciplinaire
[ ] Le DAP n'est qu'un moyen de signalement parmi d'autres
[ ] Le non-recours au DAP ne peut entraîner aucune sanction
```
### 7.3 Modalités de l'information
#### 7.3.1 Consultations préalables à la mise en place
- Informer et/ou consulter les instances compétentes
- Recommandé : rendre compte régulièrement de l'utilisation du DAP aux IRP
#### 7.3.2 Information générale lors du déploiement
- Informer l'ensemble des personnes potentiellement concernées **préalablement** à l'introduction du DAP
- Si difficultés pratiques : rendre l'information facilement accessible (site web)
- Privilégier l'information individuelle (courrier électronique, document papier)
#### 7.3.3 Information spécifique du lanceur d'alerte
| Moment | Modalité |
|--------|----------|
| **Signalement en ligne** | Affichage d'une page/bloc de texte préalablement à la saisie |
| **Autres signalements** | Au plus tard au moment de l'**accusé de réception** |
**Accusé de réception** :
- Obligatoire quel que soit le régime applicable
- Doit être horodaté
- Récapitule informations et pièces jointes
- Ne doit PAS être subordonné à la production d'informations identifiantes si anonymat souhaité
**Retour d'information** (Art. 4.III décret 2022-1284) :
- Information écrite sur les mesures envisagées/prises
- Motifs de ces mesures
- Ne peut pas être subordonnée à l'identification de l'auteur
#### 7.3.4 Information spécifique de la personne visée
```
DÉLAI D'INFORMATION :
[ ] Délai raisonnable, ne pouvant dépasser UN MOIS après l'émission de l'alerte
(sauf exception dûment justifiée)
POSSIBILITÉ DE DIFFÉRER (Art. 14-5-b RGPD) :
[ ] Si l'information est susceptible de « compromettre gravement la réalisation
des objectifs du traitement »
[ ] Exemple : risque de destruction de preuves
[ ] L'information doit être délivrée AUSSITÔT le risque écarté
CONTENU DE L'INFORMATION :
[ ] Modalités permettant de s'assurer de la bonne délivrance
[ ] NE CONTIENT PAS d'informations sur l'identité de l'émetteur
[ ] NE CONTIENT PAS d'informations sur l'identité des tiers
```
---
## 8. Droits des personnes (Section 9 du référentiel)
### 8.1 Vue d'ensemble des droits
| Droit | Base RGPD | Particularités DAP |
|-------|-----------|-------------------|
| **Opposition** | Art. 21 | Exercice limité selon base légale |
| **Accès** | Art. 15 | Ne doit pas porter atteinte aux droits d'autrui |
| **Rectification** | Art. 16 | Uniquement données factuelles, sans effacer l'historique |
| **Effacement** | Art. 17 | Conditions strictes |
| **Limitation** | Art. 18 | Ex: gel temporaire pendant vérification de l'exactitude |
### 8.2 Droit d'accès (Art. 15 RGPD)
**Bénéficiaires** : Toute personne dont les données font ou ont fait l'objet d'un traitement (lanceur, victimes présumées, personnes visées, témoins, personnes entendues, facilitateurs, personnes protégées par ricochet).
**Limitations** :
- Ne doit pas porter atteinte aux droits et libertés d'autrui
- Y compris secret des affaires, propriété intellectuelle
- Mais ne peut pas priver d'accès à la totalité des informations Art. 15.1 (Lignes directrices CEPD n° 01/2022)
### 8.3 Droit d'opposition (Art. 21 RGPD)
```
DROIT D'OPPOSITION NON APPLICABLE :
[ ] Traitements fondés sur l'obligation légale
→ DAP art. 8.B et/ou 17 loi Sapin 2
→ DAP devoir de vigilance (L. 225-102-4 C. com.)
DROIT D'OPPOSITION APPLICABLE MAIS POUVANT ÊTRE REFUSÉ :
[ ] DAP mis en place sur base volontaire
[ ] Personnes mentionnées dans l'alerte ou apparaissant durant l'instruction
MOTIFS DE REFUS :
[ ] Motifs légitimes et impérieux prévalant sur les intérêts de la personne
[ ] Traitement nécessaire pour la constatation, l'exercice ou la défense
de droits en justice
```
### 8.4 Droits de rectification et d'effacement
**Rectification (Art. 16 RGPD)** :
- Uniquement pour rectifier des **données factuelles**
- L'exactitude matérielle doit pouvoir être vérifiée par le RT
- **Sans effacer ni remplacer** les données collectées initialement
- Ne doit pas empêcher la reconstitution de la chronologie des modifications
**Effacement (Art. 17 RGPD)** :
- Exercé dans les conditions prévues par le RGPD
- À apprécier au regard des besoins probatoires et de protection
---
## 9. Sécurité (Section 10 du référentiel)
### 9.1 Principe général
L'organisme doit prendre **toutes les précautions utiles** au regard des risques présentés par le traitement pour :
- Préserver la sécurité des données
- Empêcher qu'elles soient déformées, endommagées
- Empêcher l'accès par des tiers non autorisés
### 9.2 Mesures de sécurité détaillées (17 catégories)
| Catégorie | Mesures |
|-----------|---------|
| **Sensibiliser les utilisateurs** | Informer et sensibiliser les personnes manipulant les données |
| | Rédiger une charte informatique contraignante |
| **Authentifier les utilisateurs** | Identifiant (login) unique par utilisateur |
| | Politique de mot de passe conforme aux recommandations CNIL |
| | Obligation de changer le mot de passe attribué automatiquement |
| | Limiter le nombre de tentatives d'accès |
| **Gérer les habilitations** | Définir des profils d'habilitation |
| | Supprimer les permissions d'accès obsolètes |
| | Revue annuelle des habilitations |
| **Tracer les accès et gérer les incidents** | Système de journalisation |
| | Informer les utilisateurs de la journalisation |
| | Protéger les équipements et informations de journalisation |
| | Procédures de gestion des incidents (dont notification violations) |
| **Sécuriser les postes de travail** | Verrouillage automatique de session |
| | Antivirus régulièrement mis à jour |
| | Pare-feu logiciel |
| **Sécuriser l'informatique mobile** | Chiffrement des équipements mobiles |
| | Sauvegardes/synchronisations régulières |
| | Secret pour le déverrouillage des smartphones |
| **Protéger le réseau informatique interne** | Limiter les flux réseau au strict nécessaire |
| | VPN pour les accès distants |
| | Sécurisation Wi-Fi (protocole WPA3) |
| **Sécuriser les serveurs** | Limiter l'accès aux outils d'administration |
| | Installer sans délai les mises à jour critiques |
| | Assurer la disponibilité des données |
| **Sécuriser les sites web** | Protocole TLS |
| | Aucun mot de passe/donnée personnelle dans les URL |
| | Contrôle des entrées utilisateurs |
| | Bandeau de consentement pour cookies non nécessaires |
| **Sauvegarder et prévoir la continuité** | Sauvegardes régulières |
| | Stockage des supports dans un endroit sûr |
| | Protection des sauvegardes durant le convoyage |
| | Tests réguliers de continuité d'activité |
| **Archiver de manière sécurisée** | Modalités d'accès spécifiques aux archives |
| | Destruction sécurisée des archives obsolètes |
| **Encadrer les développements informatiques** | Protection des données dès la conception |
| | Paramètres respectueux de la vie privée par défaut |
| | Encadrer strictement les zones de commentaires |
| | Données fictives/anonymisées pour développement et tests |
| **Encadrer la maintenance et fin de vie** | Main courante des interventions |
| | Encadrement des interventions de tiers |
| | Effacement des données avant mise au rebut |
| **Gérer la sous-traitance** | Clauses spécifiques dans les contrats |
| | Conditions de restitution et destruction des données |
| | Audits de sécurité, visites |
| **Sécuriser les échanges avec d'autres organismes** | Chiffrement des données avant envoi |
| | Vérification du bon destinataire |
| | Transmission du secret via un canal différent |
| **Protéger les locaux** | Portes verrouillées |
| | Alarmes anti-intrusion vérifiées périodiquement |
| **Chiffrer, hacher ou signer** | Algorithmes, logiciels et bibliothèques reconnus et sécurisés |
| | Conservation sécurisée des secrets et clés cryptographiques |
---
## 10. AIPD - Analyse d'Impact relative à la Protection des Données
### 10.1 Caractère recommandé
Le référentiel CNIL constitue une **aide à la réalisation d'une AIPD**.
Les traitements de signalement d'alertes professionnelles sont susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, notamment en raison :
- De la nature des données traitées (potentiellement sensibles ou relatives à des infractions)
- Des conséquences potentielles pour les personnes visées
- Du contexte particulier de surveillance et d'enquête
### 10.2 Méthodologie
```
ÉTAPES RECOMMANDÉES :
[ ] Utiliser les outils méthodologiques de la CNIL (site web)
[ ] Définir les mesures assurant nécessité et proportionnalité
[ ] Garantir les droits des personnes
[ ] Maîtriser les risques
[ ] Consulter le DPO si désigné
[ ] S'appuyer sur les lignes directrices CNIL sur les AIPD
```
---
## 11. Checklist de conformité RGPD exhaustive
### 11.1 Points de contrôle essentiels
```
BASE LÉGALE ET FINALITÉS :
[ ] Base légale identifiée (obligation légale OU intérêt légitime)
[ ] Si finalités multiples : distinction des bases légales pour chaque finalité
[ ] Finalités définies, explicites et légitimes
[ ] Pas de réutilisation incompatible des données
MINIMISATION DES DONNÉES :
[ ] Données collectées strictement nécessaires (recueil)
[ ] Données conservées strictement nécessaires (instruction)
[ ] Données post-décision limitées aux finalités de protection/justice/audit
[ ] Rappel aux auteurs sur le caractère factuel et pertinent des informations
DONNÉES SENSIBLES ET D'INFRACTION :
[ ] Base légale spécifique identifiée (art. 9.2.g ou 9.2.f RGPD)
[ ] Conditions art. 10 RGPD / art. 46 LIL respectées pour données d'infraction
SIGNALEMENTS ANONYMES :
[ ] Possibilité de signalement anonyme offerte
[ ] Échanges possibles en conservant l'anonymat
[ ] Pas de tentative de réidentification
[ ] Pas de procédés techniques de traçage (cookies, IP, etc.)
ACCÉDANTS ET DESTINATAIRES :
[ ] Personnes habilitées documentées
[ ] Habilitations limitées aux attributions
[ ] Traçabilité des accès
[ ] Si externalisation : contrat conforme RGPD
[ ] Si sous-traitant : garanties suffisantes vérifiées
[ ] Règles de divulgation de l'identité du lanceur respectées
[ ] Règles de divulgation de l'identité de la personne visée respectées
[ ] Si transfert hors UE : encadrement conforme art. 44+ RGPD
DURÉES DE CONSERVATION :
[ ] Durées définies par phase (active, archives, contentieux)
[ ] Durées communiquées aux personnes concernées
[ ] Procédure d'anonymisation si conservation prolongée
[ ] Garantie du caractère anonymisé de façon pérenne
INFORMATION DES PERSONNES :
[ ] Information générale préalable au déploiement
[ ] Information accessible en permanence
[ ] Information spécifique du lanceur (au plus tard à l'AR)
[ ] Accusé de réception horodaté et complet
[ ] Information de la personne visée sous 1 mois (sauf exception justifiée)
[ ] Contenu conforme art. 13/14 RGPD
DROITS DES PERSONNES :
[ ] Droit d'accès garanti (avec limitations légitimes)
[ ] Droit d'opposition traité selon base légale
[ ] Droit de rectification limité aux données factuelles sans effacement historique
[ ] Droit à la limitation applicable
[ ] Procédure de traitement des demandes définie
SÉCURITÉ :
[ ] Mesures techniques et organisationnelles documentées
[ ] Chiffrement des données au repos et en transit
[ ] Authentification forte
[ ] Journalisation des accès
[ ] Cloisonnement des données d'identification
[ ] Sauvegardes sécurisées
[ ] Procédure de gestion des incidents
[ ] Procédure de notification des violations
DOCUMENTATION :
[ ] Inscription au registre des traitements (art. 30 RGPD)
[ ] AIPD réalisée (recommandé)
[ ] Consultation du DPO si désigné
[ ] Documentation des écarts éventuels au référentiel
```
---
## 12. Ressources CNIL
| Ressource | Lien |
|-----------|------|
| Guide de la sécurité des données personnelles | cnil.fr |
| Exemples de mentions d'information | cnil.fr/rgpd-exemples-mentions-information |
| Lignes directrices AIPD | cnil.fr |
| Modèle de registre | cnil.fr |
| Sécurité : Archiver de manière sécurisée | cnil.fr |
| Limiter la conservation des données | cnil.fr |
| Transférer des données hors de l'UE | cnil.fr |
| Respecter les droits des personnes | cnil.fr |
| Lignes directrices CEPD n° 01/2022 (droit d'accès) | cnil.fr |
| Lignes directrices CEPD sur l'anonymisation | edpb.europa.eu |
```
### references/FONCTION_PUBLIQUE.md
```markdown
# Spécificités Fonction Publique
> **Référence** : `assets/Circulaire_26_juin_2024.pdf` (Circulaire du 26 juin 2024)
---
## Circulaire du 26 juin 2024
Cette circulaire précise l'articulation entre :
- Le dispositif de signalement "lanceur d'alerte"
- L'obligation de l'article 40 du Code de procédure pénale
---
## Article 40 CPP - Rappel
> Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs.
**⚠️ Note** : Cet article sera abrogé le 1er janvier 2029 (article 5 de l'ordonnance n°2025-79 du 29 janvier 2025).
---
## Articulation des deux dispositifs
| Situation | Dispositif applicable | Action |
|-----------|----------------------|--------|
| Agent signale des faits via le canal interne | Lanceur d'alerte | Traitement par le référent |
| Le référent constate un crime/délit | Art. 40 CPP | **Signalement obligatoire au Procureur** |
| L'agent constate un crime/délit dans ses fonctions | Les deux | Peut utiliser le canal interne ET/OU signaler au Procureur |
| Signalement anonyme | Lanceur d'alerte | Traitement possible mais protection limitée |
---
## Points d'attention fonction publique
```
SPÉCIFICITÉS À VÉRIFIER :
[ ] Le dispositif permet l'articulation avec l'art. 40 CPP
[ ] Les agents sont informés de cette double obligation
[ ] Le référent connaît ses obligations au titre de l'art. 40
[ ] La procédure prévoit la transmission au Procureur si nécessaire
[ ] La confidentialité de l'identité du lanceur est préservée même en cas de transmission
```
---
## Référent déontologue (Article 5 II du décret n°2022-1284)
Dans les organismes mentionnés aux articles L. 3 à L. 5 du code général de la fonction publique, le **référent déontologue** mentionné à l'article L. 124-2 du même code peut être chargé du recueil et, le cas échéant, du traitement des signalements.
Le **référent déontologue défense** prévu au premier alinéa de l'article L. 4122-10 du code de la défense peut également être désigné pour exercer ces missions.
---
## Article L135-4 - Code général de la fonction publique
> Aucun agent public ne peut faire l'objet d'une mesure concernant le recrutement, la titularisation, la radiation des cadres, la rémunération, la formation, l'appréciation de la valeur professionnelle, la discipline, le reclassement, la promotion, l'affectation, les horaires de travail ou la mutation, ni de toute autre mesure mentionnée aux 11° et 13° à 15° du II de l'article 10-1 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, ni de menaces ou de tentatives de recourir à celles-ci pour avoir :
1° Effectué un signalement ou une divulgation publique dans les conditions prévues aux articles 6 et 8 de la même loi ;
2° Signalé ou témoigné des faits mentionnés aux articles L. 135-1 et L. 135-3 du présent code.
Dans les cas prévus aux 1° et 2° du présent article, les agents publics bénéficient des protections prévues aux I et III de l'article 10-1 et aux articles 12 à 13-1 de la loi n° 2016-1691 du 9 décembre 2016 précitée.
---
## Checklist spécifique fonction publique
```
POINTS DE CONTRÔLE :
[ ] Articulation avec l'art. 40 CPP documentée
[ ] Référent informé de ses obligations art. 40
[ ] Agents informés de la double obligation (lanceur d'alerte + art. 40)
[ ] Procédure prévoit la transmission au Procureur si nécessaire
[ ] Confidentialité préservée même en cas de transmission à l'autorité judiciaire
[ ] Référent déontologue identifié (si applicable)
```
```
### references/VIGILANCE.md
```markdown
# Articulation avec le Devoir de Vigilance
> **Références** : `assets/L225-102-1.pdf`, `assets/L225-102-2.pdf`, `assets/Directive_CS3D_2024_1760.pdf`
---
## Cadre juridique du devoir de vigilance
| Texte | Seuil d'application | Entrée en vigueur |
|-------|---------------------|-------------------|
| **Loi n°2017-399** (France) | ≥ 5 000 salariés (France) ou ≥ 10 000 salariés (monde) | 2017 |
| **Directive (UE) 2024/1760** (CS3D) | ≥ 1 000 salariés + 450 M€ CA | Transposition 26/07/2026 |
---
## Article L225-102-1 du Code de commerce (extrait)
> « Le plan comporte les mesures de vigilance raisonnable propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l'environnement, résultant des activités de la société et de celles des sociétés qu'elle contrôle au sens du II de l'article L. 233-16, directement ou indirectement, ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation. (...) Le plan a vocation à être élaboré en association avec les parties prenantes de la société, le cas échéant dans le cadre d'initiatives pluripartites au sein de filières ou à l'échelle territoriale. Il comprend les mesures suivantes :
>
> [...]
>
> 4° Un mécanisme d'alerte et de recueil des signalements relatifs à l'existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société ;
>
> [...] »
**Texte complet** : `assets/L225-102-1.pdf` et `assets/L225-102-2.pdf`
---
## Différences entre les deux mécanismes d'alerte
| Critère | Alerte Sapin II | Alerte Vigilance |
|---------|-----------------|------------------|
| **Seuil** | ≥ 50 salariés | ≥ 5 000 / 10 000 salariés |
| **Objet** | Crimes, délits, menaces intérêt général, violations du droit | atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l'environnement (chaîne de valeur) |
| **Périmètre** | Activités de l'entreprise | Activités + filiales + sous-traitants + fournisseurs |
| **Élaboration** | Unilatérale possible (consultation CSE) | **Concertation obligatoire** avec syndicats représentatifs |
| **Personnes éligibles** | Salariés, prestataires, candidats, etc. | Parties prenantes (communautés, ONG, victimes potentielles) |
---
## Articulation des deux dispositifs (Article 6 III Sapin II)
**En pratique :**
- Une entreprise soumise aux deux obligations peut **mutualiser** son canal de signalement
- Le mécanisme d'alerte vigilance doit être **établi en concertation avec les syndicats** (obligation supplémentaire)
- Les **protections Sapin II** (art. 10-1) s'appliquent si plus favorables
- Le dispositif vigilance doit couvrir un **périmètre plus large** (chaîne de valeur)
---
## Directive CS3D (UE) 2024/1760 - Impact sur le dispositif
La directive européenne sur le devoir de vigilance :
1. **Modifie la directive 2019/1937** (lanceurs d'alerte) pour inclure les signalements de violations du devoir de vigilance dans le champ de protection
2. **Impose des procédures de notification** (article 14) :
- Accessibles, équitables, prévisibles et transparentes
- Ouvertes aux personnes affectées, ONG, syndicats, représentants des travailleurs
- Possibilité de signalement anonyme et confidentiel
**Texte complet** : `assets/Directive_CS3D_2024_1760.pdf`
---
## Checklist spécifique entreprises soumises au devoir de vigilance
```
VÉRIFICATIONS SUPPLÉMENTAIRES :
[ ] Mécanisme d'alerte établi EN CONCERTATION avec les syndicats représentatifs
[ ] Périmètre étendu : filiales + sous-traitants + fournisseurs (relation commerciale établie)
[ ] Objet élargi : droits humains, libertés fondamentales, santé-sécurité, environnement
[ ] Parties prenantes externes éligibles (communautés, ONG, victimes potentielles)
[ ] Publication du plan de vigilance et du compte-rendu de mise en œuvre
[ ] Articulation documentée avec le dispositif Sapin II
SI DIRECTIVE CS3D APPLICABLE (après transposition) :
[ ] Procédure de notification conforme à l'article 14 CS3D
[ ] Plan de transition climatique adopté (art. 22 CS3D)
[ ] Mécanisme de réparation prévu
```
---
## Checklist consolidée secteurs régulés
```
ENTREPRISES SOUMISES AU DEVOIR DE VIGILANCE :
[ ] Mécanisme établi en concertation avec les syndicats représentatifs
[ ] Périmètre étendu (filiales, sous-traitants, fournisseurs)
[ ] Parties prenantes externes éligibles
SECTEURS RÉGULÉS (financier, santé, etc.) :
[ ] Articulation avec les obligations sectorielles documentée
```
```
### references/TEXTES_LEGAUX.md
```markdown
# Textes légaux essentiels (citations verbatim)
> **IMPORTANT** : Les textes complets sont disponibles dans les fichiers PDF du dossier parent. Les citations ci-dessous reprennent les dispositions les plus critiques pour l'évaluation de conformité.
---
## Loi n°2016-1691 du 9 décembre 2016 (Sapin II)
### Article 6 - Définition du lanceur d'alerte
*Modifié par LOI n°2022-401 du 21 mars 2022 - art. 1*
> **I.** - Un lanceur d'alerte est une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l'intérêt général, une violation ou une tentative de dissimulation d'une violation d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, du droit de l'Union européenne, de la loi ou du règlement. Lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles mentionnées au I de l'article 8, le lanceur d'alerte doit en avoir eu personnellement connaissance.
>
> **II.** - Les faits, informations et documents, quel que soit leur forme ou leur support, dont la révélation ou la divulgation est interdite par les dispositions relatives au secret de la défense nationale, au secret médical, au secret des délibérations judiciaires, au secret de l'enquête ou de l'instruction judiciaires ou au secret professionnel de l'avocat sont exclus du régime de l'alerte défini au présent chapitre.
>
> **III.** - Lorsque sont réunies les conditions d'application d'un dispositif spécifique de signalement de violations et de protection de l'auteur du signalement prévu par la loi ou le règlement ou par un acte de l'Union européenne mentionné dans la partie II de l'annexe à la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l'Union, le présent chapitre ne s'applique pas.
>
> Sous réserve de l'article L. 861-3 du code de la sécurité intérieure, lorsqu'une ou plusieurs des mesures prévues aux articles 10-1,12 et 12-1 de la présente loi sont plus favorables à l'auteur du signalement que celles prévues par un dispositif spécifique mentionné au premier alinéa du présent III, ces mesures s'appliquent. Sous la même réserve, à défaut de mesure équivalente prévue par un tel dispositif spécifique, les articles 13 et 13-1 sont applicables.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 6-1 - Facilitateurs et personnes protégées
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 2*
Les articles 10-1, 12 et 12-1 et le II de l'article 13 s'appliquent également, le cas échéant, aux :
> 1° Facilitateurs, entendus comme toute personne physique ou toute personne morale de droit privé à but non lucratif qui aide un lanceur d'alerte à effectuer un signalement ou une divulgation dans le respect des articles 6 et 8 ;
> 2° Personnes physiques en lien avec un lanceur d'alerte, au sens des mêmes articles 6 et 8, qui risquent de faire l'objet de l'une des mesures mentionnées au II de l'article 10-1 dans le cadre de leurs activités professionnelles de la part de leur employeur, de leur client ou du destinataire de leurs services ;
> 3° Entités juridiques contrôlées, au sens de l'article L. 233-3 du code de commerce, par un lanceur d'alerte au sens des articles 6 et 8 de la présente loi, pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 8 - Canaux de signalement
*Modifié par LOI n°2022-401 du 21 mars 2022 - art. 3*
> **I.** - A.-Les personnes physiques mentionnées aux 1° à 5° du présent A qui ont obtenu, dans le cadre de leurs activités professionnelles, des informations mentionnées au I de l'article 6 et portant sur des faits qui se sont produits ou sont très susceptibles de se produire dans l'entité concernée, peuvent signaler ces informations par la voie interne, dans les conditions prévues au B du présent I, notamment lorsqu'elles estiment qu'il est possible de remédier efficacement à la violation par cette voie et qu'elles ne s'exposent pas à un risque de représailles.
Cette faculté appartient :
1° Aux membres du personnel, aux personnes dont la relation de travail s'est terminée, lorsque les informations ont été obtenues dans le cadre de cette relation, et aux personnes qui se sont portées candidates à un emploi au sein de l'entité concernée, lorsque les informations ont été obtenues dans le cadre de cette candidature ;
2° Aux actionnaires, aux associés et aux titulaires de droits de vote au sein de l'assemblée générale de l'entité ;
3° Aux membres de l'organe d'administration, de direction ou de surveillance ;
4° Aux collaborateurs extérieurs et occasionnels ;
5° Aux cocontractants de l'entité concernée, à leurs sous-traitants ou, lorsqu'il s'agit de personnes morales, aux membres de l'organe d'administration, de direction ou de surveillance de ces cocontractants et sous-traitants ainsi qu'aux membres de leur personnel.
B.-Au sein des entités dans lesquelles il n'existe pas de procédure interne de recueil et de traitement des signalements, les personnes physiques mentionnées aux 1° à 5° du A du présent I peuvent signaler les informations concernées à leur supérieur hiérarchique direct ou indirect, à l'employeur ou à un référent désigné par celui-ci.
Sont tenues d'établir une procédure interne de recueil et de traitement des signalements, après consultation des instances de dialogue social et dans les conditions fixées par décret en Conseil d'Etat :
1° Les personnes morales de droit public employant au moins cinquante agents, à l'exclusion des communes de moins de 10 000 habitants, des établissements publics qui leur sont rattachés et des établissements publics de coopération intercommunale qui ne comprennent parmi leurs membres aucune commune excédant ce seuil de population ;
2° Les administrations de l'Etat ;
3° Les personnes morales de droit privé et les entreprises exploitées en leur nom propre par une ou plusieurs personnes physiques, employant au moins cinquante salariés ;
4° Toute autre entité relevant du champ d'application des actes de l'Union européenne mentionnés au B de la partie I et à la partie II de l'annexe à la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l'Union.
Le décret mentionné au deuxième alinéa du présent B définit notamment les garanties d'indépendance et d'impartialité de cette procédure et les délais du retour d'informations fait à l'auteur du signalement, dans les conditions prévues par la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 précitée. Il détermine les modalités de clôture des signalements et de collecte et de conservation des données ainsi que les conditions dans lesquelles le recueil des signalements peut être confié à un tiers.
Les entités mentionnées au 3° du présent B employant moins de deux cent cinquante salariés peuvent mettre en commun leurs procédures de recueil et de traitement des signalements, dans le respect des conditions prévues par le décret mentionné au deuxième alinéa du présent B. Il en est de même des communes et de leurs établissements publics mentionnés au 1° employant moins de deux cent cinquante agents.
Les communes et leurs établissements publics membres d'un centre de gestion de la fonction publique territoriale peuvent confier à celui-ci le recueil et le traitement des signalements internes dans les conditions prévues à l'article L. 452-43-1 du code général de la fonction publique, quel que soit le nombre de leurs agents.
C.-La procédure de recueil et de traitement des signalements peut être commune à plusieurs ou à l'ensemble des sociétés d'un groupe, selon des modalités fixées par décret. Ce décret fixe également les conditions dans lesquelles des informations relatives à un signalement effectué au sein de l'une des sociétés d'un groupe peuvent être transmises à une autre de ses sociétés, en vue d'assurer ou de compléter leur traitement.
>
> **II.** - Tout lanceur d'alerte, défini au I de l'article 6, peut également adresser un signalement externe, soit après avoir effectué un signalement interne dans les conditions prévues au I du présent article, soit directement :
1° A l'autorité compétente parmi celles désignées par le décret prévu au sixième alinéa du présent II ;
2° Au Défenseur des droits, qui l'oriente vers la ou les autorités les mieux à même d'en connaître ;
3° A l'autorité judiciaire ;
4° A une institution, à un organe ou à un organisme de l'Union européenne compétent pour recueillir des informations sur des violations relevant du champ d'application de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 précitée.
Un décret en Conseil d'Etat dresse la liste des autorités mentionnées au 1° du présent II, choisies parmi les autorités administratives, les autorités publiques indépendantes, les autorités administratives indépendantes, les ordres professionnels et les personnes morales chargées d'une mission de service public pour recueillir et traiter les signalements relevant de leur champ de compétence. Ce décret fixe les garanties d'indépendance et d'impartialité de la procédure et les délais du retour d'informations réalisé par ces autorités auprès des auteurs des signalements externes, dans les conditions prévues par la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 précitée. Il précise également les modalités de clôture des signalements, les conditions d'évaluation des procédures et les obligations de formation des personnes concernées.
Les autorités mentionnées au 1° du présent II rendent compte annuellement de leur action au Défenseur des droits. Elles lui communiquent les informations nécessaires à l'élaboration du rapport prévu à l'avant-dernier alinéa du II de l'article 36 de la loi organique n° 2011-333 du 29 mars 2011 relative au Défenseur des droits. La nature de ces informations est précisée par décret en Conseil d'Etat.
Lorsqu'une autorité externe saisie d'un signalement estime que celui-ci ne relève pas de sa compétence ou qu'il concerne également la compétence d'autres autorités, elle le transmet à l'autorité externe compétente ou au Défenseur des droits, dans des conditions fixées par décret en Conseil d'Etat. Ce décret précise également les conditions dans lesquelles les autorités externes peuvent échanger des informations en vue de traiter le signalement.
>
> **III.** - Les protections prévues au présent chapitre bénéficient à tout lanceur d'alerte, défini au I de l'article 6 de la présente loi, qui divulgue publiquement des informations mentionnées au même I :
1° Après avoir effectué un signalement externe, précédé ou non d'un signalement interne, sans qu'aucune mesure appropriée ait été prise en réponse à ce signalement à l'expiration du délai du retour d'informations mentionné au sixième alinéa du II du présent article ou, lorsqu'une autorité mentionnée aux 2° à 4° du même II a été saisie, à l'expiration d'un délai fixé par décret en Conseil d'Etat ;
2° En cas de danger grave et imminent ;
3° Ou lorsque la saisine de l'une des autorités compétentes mentionnées aux 1° à 4° dudit II ferait encourir à son auteur un risque de représailles ou qu'elle ne permettrait pas de remédier efficacement à l'objet de la divulgation, en raison des circonstances particulières de l'affaire, notamment si des preuves peuvent être dissimulées ou détruites ou si l'auteur du signalement a des motifs sérieux de penser que l'autorité peut être en conflit d'intérêts, en collusion avec l'auteur des faits ou impliquée dans ces faits.
Par dérogation au 2° du présent III, les protections mentionnées au premier alinéa du présent III bénéficient à tout lanceur d'alerte, défini au I de l'article 6, qui divulgue publiquement des informations obtenues dans le cadre de ses activités professionnelles en cas de danger imminent ou manifeste pour l'intérêt général, notamment lorsqu'il existe une situation d'urgence ou un risque de préjudice irréversible.
Les 2° et 3° ainsi que l'avant-dernier alinéa du présent III ne s'appliquent pas lorsque la divulgation publique porte atteinte aux intérêts de la défense et de la sécurité nationales.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 9 - Confidentialité
**I.** - Les procédures mises en œuvre pour recueillir et traiter les signalements, dans les conditions mentionnées à l'article 8, garantissent une stricte confidentialité de l'identité des auteurs du signalement, des personnes visées par celui-ci et de tout tiers mentionné dans le signalement et des informations recueillies par l'ensemble des destinataires du signalement.
Les éléments de nature à identifier le lanceur d'alerte ne peuvent être divulgués qu'avec le consentement de celui-ci. Ils peuvent toutefois être communiqués à l'autorité judiciaire, dans le cas où les personnes chargées du recueil ou du traitement des signalements sont tenues de dénoncer les faits à celle-ci. Le lanceur d'alerte en est alors informé, à moins que cette information ne risque de compromettre la procédure judiciaire. Des explications écrites sont jointes à cette information.
Les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l'autorité judiciaire, qu'une fois établi le caractère fondé de l'alerte.
**II.** - Le fait de divulguer les éléments confidentiels définis au I est puni de deux ans d'emprisonnement et de 30 000 € d'amende.
**III.**-Les signalements ne peuvent être conservés que le temps strictement nécessaire et proportionné à leur traitement et à la protection de leurs auteurs, des personnes qu'ils visent et des tiers qu'ils mentionnent, en tenant compte des délais d'éventuelles enquêtes complémentaires. Des données relatives aux signalements peuvent toutefois être conservées au-delà de cette durée, à la condition que les personnes physiques concernées n'y soient ni identifiées, ni identifiables.
Lorsqu'elles font l'objet d'un traitement, les données à caractère personnel relatives à des signalements sont conservées dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données).
---
### Article 7-1 - Conditions d'application des protections
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 3*
Les lanceurs d'alerte définis au I de l'article 6 bénéficient des protections prévues au présent chapitre :
1° Si, ayant eu connaissance des informations concernées dans le cadre de leurs activités professionnelles, ils adressent un signalement interne dans les conditions prévues au I de l'article 8 ;
2° S'ils adressent un signalement externe dans les conditions prévues au II du même article 8, après avoir adressé un signalement interne ou directement ;
3° S'ils procèdent à une divulgation publique, dans les conditions prévues au III dudit article 8.
Lorsqu'un signalement ou une divulgation publique a été réalisé de manière anonyme, le lanceur d'alerte dont l'identité est révélée par la suite bénéficie des mêmes protections. Les dispositions des I et II du même article 8 qui imposent d'effectuer un retour d'informations auprès de l'auteur d'un signalement interne ou externe ne sont pas applicables en cas de signalement anonyme. Le 1° du III du même article 8 n'est pas applicable en cas de signalement externe anonyme.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 10-1 - Protections du lanceur d'alerte
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 6*
> **I.** - Les personnes ayant signalé ou divulgué publiquement des informations dans les conditions prévues aux articles 6 et 8 ne sont pas civilement responsables des dommages causés du fait de leur signalement ou de leur divulgation publique dès lors qu'elles avaient des motifs raisonnables de croire, lorsqu'elles y ont procédé, que le signalement ou la divulgation publique de l'intégralité de ces informations était nécessaire à la sauvegarde des intérêts en cause.
Les personnes ayant signalé ou divulgué des informations dans les conditions prévues aux mêmes articles 6 et 8 bénéficient de l'irresponsabilité pénale prévue à l'article 122-9 du code pénal.
>
> **II.** - Les personnes auxquelles sont applicables l'article L. 1121-2 du code du travail, l'article L. 135-4 du code général de la fonction publique ou le III de l'article L. 4122-4 du code de la défense ne peuvent faire l'objet, à titre de représailles, ni des mesures mentionnées aux mêmes articles, ni des mesures de représailles mentionnées aux 11° et 13° à 15° du présent II, pour avoir signalé ou divulgué des informations dans les conditions prévues aux articles 6 et 8 de la présente loi.
Dans les mêmes conditions, les personnes autres que celles mentionnées au premier alinéa du présent II ne peuvent faire l'objet de mesures de représailles, ni de menaces ou de tentatives de recourir à ces mesures, notamment sous les formes suivantes :
1° Suspension, mise à pied, licenciement ou mesures équivalentes ;
2° Rétrogradation ou refus de promotion ;
3° Transfert de fonctions, changement de lieu de travail, réduction de salaire, modification des horaires de travail ;
4° Suspension de la formation ;
5° Evaluation de performance ou attestation de travail négative ;
6° Mesures disciplinaires imposées ou administrées, réprimande ou autre sanction, y compris une sanction financière ;
7° Coercition, intimidation, harcèlement ou ostracisme ;
8° Discrimination, traitement désavantageux ou injuste ;
9° Non-conversion d'un contrat de travail à durée déterminée ou d'un contrat temporaire en un contrat permanent, lorsque le travailleur pouvait légitimement espérer se voir offrir un emploi permanent ;
10° Non-renouvellement ou résiliation anticipée d'un contrat de travail à durée déterminée ou d'un contrat temporaire ;
11° Préjudice, y compris les atteintes à la réputation de la personne, en particulier sur un service de communication au public en ligne, ou pertes financières, y compris la perte d'activité et la perte de revenu ;
12° Mise sur liste noire sur la base d'un accord formel ou informel à l'échelle sectorielle ou de la branche d'activité, pouvant impliquer que la personne ne trouvera pas d'emploi à l'avenir dans le secteur ou la branche d'activité ;
13° Résiliation anticipée ou annulation d'un contrat pour des biens ou des services ;
14° Annulation d'une licence ou d'un permis ;
15° Orientation abusive vers un traitement psychiatrique ou médical.
Tout acte ou décision pris en méconnaissance du présent II est nul de plein droit.
>
> **III.** - A. - En cas de recours contre une mesure de représailles mentionnée au II, dès lors que le demandeur présente des éléments de fait qui permettent de supposer qu'il a signalé ou divulgué des informations dans les conditions prévues aux articles 6 et 8, il incombe à la partie défenderesse de prouver que sa décision est dûment justifiée. Le juge forme sa conviction après avoir ordonné, en cas de besoin, toutes les mesures d'instruction qu'il estime utiles.
Dans les mêmes conditions, le demandeur peut demander au juge de lui allouer, à la charge de l'autre partie, une provision pour frais de l'instance en fonction de la situation économique respective des parties et du coût prévisible de la procédure ou, lorsque sa situation financière s'est gravement dégradée en raison du signalement ou de la divulgation publique, une provision visant à couvrir ses subsides. Le juge statue à bref délai.
Le juge peut décider, à tout moment de la procédure, que cette provision est définitivement acquise.
>
> B. - Au cours d'une instance civile ou pénale, lorsque le défendeur ou le prévenu présente des éléments de fait qui permettent de supposer qu'il a signalé ou divulgué publiquement des informations dans les conditions prévues aux articles 6 et 8 et que la procédure engagée contre lui vise à entraver son signalement ou sa divulgation publique, il peut demander au juge de lui allouer, à la charge du demandeur ou de la partie civile, une provision pour frais de l'instance en fonction de la situation économique respective des parties et du coût prévisible de la procédure ou, lorsque sa situation financière s'est gravement dégradée en raison du signalement ou de la divulgation publique, une provision visant à couvrir ses subsides. Le juge forme sa conviction après avoir ordonné, en cas de besoin, toutes les mesures d'instruction qu'il estime utiles. Il statue à bref délai.
Le juge peut décider, à tout moment de la procédure, que cette provision est définitivement acquise.
*Conformément à l'article 18 de la loi n° 2022-401 du 21 mars 2022, ces dispositions sont entrées en vigueur le premier jour du sixième mois suivant sa promulgation.*
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 12 - Contentieux prud'homal
*Modifié par LOI n°2022-401 du 21 mars 2022 - art. 8*
> **I.** - En cas de rupture du contrat de travail consécutive au signalement d'une alerte au sens de l'article 6, le salarié peut saisir le conseil des prud'hommes dans les conditions prévues au chapitre V du titre V du livre IV de la première partie du code du travail.
>
> **II.** - A l'occasion de tout litige, le conseil des prud'hommes peut, en complément de toute autre sanction, obliger l'employeur à abonder le compte personnel de formation du salarié ayant lancé l'alerte jusqu'à son plafond mentionné à l'article L. 6323-11-1 du code du travail.
>
> Les modalités d'application du présent article sont définies par décret.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 12-1 - Droits inaliénables
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 8*
> Les droits relatifs au présent chapitre ne peuvent faire l'objet d'aucune renonciation ni limitation de droit ou de fait d'aucune forme.
>
> Toute stipulation ou tout acte pris en méconnaissance du premier alinéa est nul de plein droit.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 13 - Sanctions pénales
*Modifié par LOI n°2022-401 du 21 mars 2022 - art. 9*
> **I.** - Toute personne qui fait obstacle, de quelque façon que ce soit, à la transmission d'un signalement aux personnes et organismes mentionnés aux I et II de l'article 8 est punie d'un an d'emprisonnement et de 15 000 € d'amende.
>
> **II.** - Lors d'une procédure dirigée contre un lanceur d'alerte en raison des informations signalées ou divulguées, le montant de l'amende civile qui peut être prononcée dans les conditions prévues aux articles 177-2 et 212-2 et au dernier alinéa de l'article 392-1 du code de procédure pénale ou par les juridictions civiles en cas d'action abusive ou dilatoire est porté à 60 000 euros.
>
> L'amende civile peut être prononcée sans préjudice de l'octroi de dommages et intérêts à la partie victime de la procédure dilatoire ou abusive.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 13-1 - Peines complémentaires
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 9*
> Les personnes coupables des infractions prévues à l'article 13 encourent également la peine complémentaire d'affichage ou de diffusion de la décision prononcée, dans les conditions prévues à l'article 131-35 du code pénal.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
### Article 14-1 - Soutien psychologique et financier
*Créé par LOI n°2022-401 du 21 mars 2022 - art. 12*
> Les autorités compétentes mentionnées au 1° du II de l'article 8 peuvent, le cas échéant en commun, assurer la mise en place de mesures de soutien psychologique à destination des personnes ayant adressé un signalement dans les conditions prévues aux articles 6 et 8 et leur accorder un secours financier temporaire si elles estiment que leur situation financière s'est gravement dégradée en raison du signalement.
**Texte complet** : `assets/Loi_Sapin_II_consolidee.pdf`
---
## Code pénal
### Article 122-9 - Irresponsabilité pénale
> N'est pas pénalement responsable la personne qui porte atteinte à un secret protégé par la loi, dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu'elle intervient dans le respect des conditions de signalement définies par la loi et que la personne répond aux critères de définition du lanceur d'alerte prévus à l'article 6 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
N'est pas non plus pénalement responsable le lanceur d'alerte qui soustrait, détourne ou recèle les documents ou tout autre support contenant les informations dont il a eu connaissance de manière licite et qu'il signale ou divulgue dans les conditions mentionnées au premier alinéa du présent article.
Le présent article est également applicable au complice de ces infractions.
---
### Article 225-1 - Discrimination
> Constitue une discrimination toute distinction opérée entre les personnes physiques sur le fondement de leur origine, de leur sexe, de leur situation de famille, de leur grossesse, de leur apparence physique, de la particulière vulnérabilité résultant de leur situation économique, apparente ou connue de son auteur, de leur patronyme, de leur lieu de résidence, de leur état de santé, de leur perte d'autonomie, de leur handicap, de leurs caractéristiques génétiques, de leurs mœurs, de leur orientation sexuelle, de leur identité de genre, de leur âge, de leurs opinions politiques, de leurs activités syndicales, de leur qualité de lanceur d'alerte, de facilitateur ou de personne en lien avec un lanceur d'alerte au sens, respectivement, du I de l'article 6 et des 1° et 2° de l'article 6-1 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, de leur capacité à s'exprimer dans une langue autre que le français, de leur appartenance ou de leur non-appartenance, vraie ou supposée, à une ethnie, une Nation, une prétendue race ou une religion déterminée.
Constitue également une discrimination toute distinction opérée entre les personnes morales sur le fondement de l'origine, du sexe, de la situation de famille, de la grossesse, de l'apparence physique, de la particulière vulnérabilité résultant de la situation économique, apparente ou connue de son auteur, du patronyme, du lieu de résidence, de l'état de santé, de la perte d'autonomie, du handicap, des caractéristiques génétiques, des mœurs, de l'orientation sexuelle, de l'identité de genre, de l'âge, des opinions politiques, des activités syndicales, de la qualité de lanceur d'alerte, de facilitateur ou de personne en lien avec un lanceur d'alerte, au sens, respectivement, du I de l'article 6 et des 1° et 2° de l'article 6-1 de la loi n° 2016-1691 du 9 décembre 2016 précitée, de la capacité à s'exprimer dans une langue autre que le français, de l'appartenance ou de la non-appartenance, vraie ou supposée, à une ethnie, une Nation, une prétendue race ou une religion déterminée des membres ou de certains membres de ces personnes morales.
---
### Article 225-2 - Sanctions de la discrimination
> La discrimination définie aux articles 225-1 à 225-1-2, commise à l'égard d'une personne physique ou morale, est punie de trois ans d'emprisonnement et de 45 000 euros d'amende lorsqu'elle consiste :
1° A refuser la fourniture d'un bien ou d'un service ;
2° A entraver l'exercice normal d'une activité économique quelconque ;
3° A refuser d'embaucher, à sanctionner ou à licencier une personne ;
4° A subordonner la fourniture d'un bien ou d'un service à une condition fondée sur l'un des éléments visés à l'article 225-1 ou prévue aux articles 225-1-1 ou 225-1-2 ;
5° A subordonner une offre d'emploi, une demande de stage ou une période de formation en entreprise à une condition fondée sur l'un des éléments visés à l'article 225-1 ou prévue aux articles 225-1-1 ou 225-1-2 ;
6° A refuser d'accepter une personne à l'un des stages visés par le 2° de l'article L. 412-8 du code de la sécurité sociale.
Lorsque le refus discriminatoire prévu au 1° est commis dans un lieu accueillant du public ou aux fins d'en interdire l'accès, les peines sont portées à cinq ans d'emprisonnement et à 75 000 euros d'amende.
---
### Article 226-10 - Dénonciation calomnieuse
> La dénonciation, effectuée par tout moyen et dirigée contre une personne déterminée, d'un fait qui est de nature à entraîner des sanctions judiciaires, administratives ou disciplinaires et que l'on sait totalement ou partiellement inexact, lorsqu'elle est adressée soit à un officier de justice ou de police administrative ou judiciaire, soit à une autorité ayant le pouvoir d'y donner suite ou de saisir l'autorité compétente, soit aux supérieurs hiérarchiques ou à l'employeur de la personne dénoncée est punie de cinq ans d'emprisonnement et de 45 000 euros d'amende.
>
> La fausseté du fait dénoncé résulte nécessairement de la décision, devenue définitive, d'acquittement, de relaxe ou de non-lieu, déclarant que le fait n'a pas été commis ou que celui-ci n'est pas imputable à la personne dénoncée.
>
> En tout autre cas, le tribunal saisi des poursuites contre le dénonciateur apprécie la pertinence des accusations portées par celui-ci.
---
## Code du travail
### Article L1132-3-3
> Aucune personne ayant témoigné, de bonne foi, de faits constitutifs d'un délit ou d'un crime dont elle a eu connaissance dans l'exercice de ses fonctions ou ayant relaté de tels faits ne peut faire l'objet des mesures mentionnées à l'article L. 1121-2.
> Les personnes mentionnées au premier alinéa du présent article bénéficient des protections prévues aux I et III de l'article 10-1 et aux articles 12 à 13-1 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
---
## Code général de la fonction publique
### Article L135-4
> Aucun agent public ne peut faire l'objet d'une mesure concernant le recrutement, la titularisation, la radiation des cadres, la rémunération, la formation, l'appréciation de la valeur professionnelle, la discipline, le reclassement, la promotion, l'affectation, les horaires de travail ou la mutation, ni de toute autre mesure mentionnée aux 11° et 13° à 15° du II de l'article 10-1 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, ni de menaces ou de tentatives de recourir à celles-ci pour avoir :
1° Effectué un signalement ou une divulgation publique dans les conditions prévues aux articles 6 et 8 de la même loi ;
2° Signalé ou témoigné des faits mentionnés aux articles L. 135-1 et L. 135-3 du présent code.
Dans les cas prévus aux 1° et 2° du présent article, les agents publics bénéficient des protections prévues aux I et III de l'article 10-1 et aux articles 12 à 13-1 de la loi n° 2016-1691 du 9 décembre 2016 précitée.
---
## Code de procédure pénale
### Article 40 alinéa 2
> Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs.
**⚠️ Note** : Cet article sera abrogé le 1er janvier 2029 (article 5 de l'ordonnance n°2025-79 du 29 janvier 2025).
```