Charte Lanceur d'Alerte Loi Waserman — Modèle Gratuit France | forms-legal.com

La Charte Lanceur d'Alerte Loi Waserman est, en droit français, une charte lanceur d'alerte.

La Charte du Lanceur d'Alerte en France se distingue de ses prédécesseurs législatifs par l'ampleur des protections accordées. La Loi Sapin II n°2016-1691 du 9 décembre 2016, en son article 8, avait introduit le dispositif d'alerte dans le droit français, mais la Loi Waserman va beaucoup plus loin : elle élargit la définition du lanceur d'alerte (désormais inclus : les candidats à l'embauche, les stagiaires, les actionnaires, les prestataires externes, les bénévoles), elle reconnaît les « facilitateurs » (personnes qui aident le lanceur d'alerte) comme bénéficiaires de la même protection, et elle établit une hiérarchie des canaux d'alerte (interne d'abord, puis externe auprès des autorités compétentes — Agence Française Anticorruption, CNIL, Défenseur des droits, Parquet national financier — et en dernier recours divulgation publique).

Le Défenseur des droits, autorité constitutionnelle indépendante créée par la révision constitutionnelle du 23 juillet 2008 et organisée par la Loi organique n°2011-333 du 29 mars 2011, est l'une des deux autorités françaises compétentes pour les lanceurs d'alerte avec l'AFA. Les personnes qui se heurtent à des représailles après avoir émis une alerte peuvent le saisir pour obtenir une aide (orientation, médiation, signalement au Parquet). La Loi Waserman a renforcé le rôle du Défenseur des droits dans le soutien financier aux lanceurs d'alerte victimes de représailles (provision sur frais de justice, art. 12-1 de la Loi organique).

La France, par la Loi Waserman, a adopté l'une des législations les plus protectrices d'Europe en matière de lanceurs d'alerte. Elle va au-delà des exigences minimales de la Directive 2019/1937/UE, notamment en matière de délais de traitement (retour sous 3 mois, non 2 mois), d'extension du champ d'application (violations du droit national en plus du droit UE), et de renforcement des protections contre les représailles. La peine pour entrave à un signalement ou représailles contre un lanceur d'alerte est de 1 an d'emprisonnement et 15 000 EUR d'amende (Loi Waserman art. 13), à laquelle peut s'ajouter la nullité de la mesure de représailles et le versement de dommages et intérêts (Cour de cassation, chambre sociale, a déjà appliqué des nullités de licenciement dans ce contexte avant même la Loi Waserman).

La Charte du Lanceur d'Alerte en France est obligatoire dans plusieurs situations et fortement recommandée dans bien d'autres.

Dès 50 salariés, toute entreprise est légalement obligée de mettre en place un canal d'alerte interne conformément à la Loi Waserman. Cette obligation s'applique aux sociétés commerciales (SA, SAS, SARL, SE), aux associations loi 1901 employant des salariés, aux mutuelles, aux fondations et aux administrations publiques. Le seuil de 50 salariés s'apprécie en équivalents temps plein (ETP) sur les 12 mois précédents, en incluant les travailleurs intérimaires dont la durée d'utilisation est supérieure à 6 mois.

Dès 500 salariés avec un CA supérieur à 100 millions d'euros, le dispositif d'alerte interne constitue également le troisième pilier obligatoire du programme de conformité anticorruption Sapin II (Loi n°2016-1691 art. 17 I. 3°). L'AFA contrôle son effectivité lors de ses inspections et peut sanctionner son absence ou son dysfonctionnement.

Lors du déploiement d'un programme ESG (Environnement, Social, Gouvernance) ou de la préparation du premier rapport CSRD, les grandes entreprises doivent documenter leur politique de signalement interne dans les indicateurs ESRS G1. La charte du lanceur d'alerte constitue la pièce maîtresse de cette documentation.

En cas de contamination d'un secteur par un scandale éthique ou de mise en demeure par l'AFA suite à un contrôle, la mise en place ou la réforme du dispositif d'alerte est généralement l'une des premières mesures correctives exigées. Les entreprises du secteur financier supervisées par l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) et de l'AMF (Autorité des Marchés Financiers) sont également soumises à des obligations spécifiques de canal d'alerte interne en vertu du Code monétaire et financier (CMF art. L561-32-1 pour les obligations en matière de lutte contre le blanchiment et le financement du terrorisme — LCB-FT).

Lors de la négociation d'une Convention Judiciaire d'Intérêt Public (CJIP) avec le Parquet national financier suite à des faits de corruption, la mise en place d'un canal d'alerte interne fonctionnel est quasi-systématiquement incluse dans le programme de mise en conformité imposé à l'entreprise. Les CJIP françaises les plus emblématiques (Société Générale 250 M€ en 2018, HSBC Private Bank Suisse 300 M€ en 2017, Airbus 2 Md€ en 2020) l'ont toutes prévue.

La Charte du Lanceur d'Alerte en France doit contenir les éléments structurels suivants pour être conforme à la Loi Waserman et à la Directive 2019/1937/UE.

**1. Identification de l'entreprise et du référent lanceur d'alerte.** La charte doit identifier l'entreprise par sa dénomination sociale, son SIREN, et nommer explicitement le référent lanceur d'alerte désigné avec ses coordonnées complètes. Ce référent doit être doté d'une réelle indépendance (idéalement rattaché à la Direction Générale, ou être un prestataire externe) et de l'autorité nécessaire pour instruire les alertes impliquant des managers de haut rang.

**2. Définition du lanceur d'alerte conforme à la Loi Waserman.** La charte doit reprendre la définition large de la Loi Waserman art. 4 : toute personne physique ayant personnellement connaissance de faits, signalant de bonne foi, sans contrepartie financière directe. Elle doit explicitement étendre la protection aux facilitateurs (Code civil art. 10-1 modifié par la Loi Waserman) et aux personnes physiques dans la sphère professionnelle du signalant.

**3. Champ des alertes recevables.** La charte doit préciser les catégories de violations pouvant faire l'objet d'un signalement : corruption (Sapin II), fraude fiscale (CGI), violations RGPD (CNIL), infractions à la concurrence (art. L420-1 Code de commerce + art. 101-102 TFUE), violations du droit du travail (harcèlement, discrimination), violations environnementales, et plus généralement toute violation du droit de l'Union européenne ou du droit national dans les domaines listés à l'Annexe I de la Directive 2019/1937.

**4. Description du canal d'alerte interne sécurisé.** La charte doit décrire précisément le canal d'alerte disponible : adresse email chiffrée dédiée, formulaire en ligne sécurisé sur l'intranet (avec chiffrement de bout en bout), ligne téléphonique confidentielle, ou solution logicielle spécialisée. Le canal doit permettre des signalements anonymes si le lanceur d'alerte le souhaite, tout en garantissant qu'aucun administrateur IT ou responsable RH ne peut accéder aux signalements sans autorisation du référent.

**5. Délais de traitement conformes à la Directive.** La charte doit préciser les délais légaux : accusé de réception dans les 7 jours (Directive 2019/1937 art. 9 §1 b), retour sur les suites données dans un délai raisonnable ne dépassant pas 3 mois (art. 9 §1 d). Ces délais sont impératifs et leur non-respect peut être invoqué par le lanceur d'alerte pour justifier un signalement externe (sans attendre la réponse interne).

**6. Garanties de confidentialité et de non-représailles.** La charte doit garantir explicitement : la confidentialité absolue de l'identité du lanceur d'alerte, des personnes visées et des informations signalées ; l'interdiction de toute mesure de représailles (licenciement, sanction, discrimination) ; la nullité de toute mesure de représailles prise en violation de la Loi Waserman.

**7. Procédures d'escalade externe.** La charte doit informer les lanceurs d'alerte de leur droit de signaler directement à l'AFA (agence-francaise-anticorruption.gouv.fr), à la CNIL (cnil.fr), au Défenseur des droits (defenseurdesdroits.fr), au Parquet national financier (parquet-national-financier.fr) ou aux instances européennes compétentes (OLAF, EFSA, etc.).

forms-legal.com propose un modèle de Charte du Lanceur d'Alerte pré-structuré conforme à la Loi Waserman, téléchargeable gratuitement et adaptable à la taille et au secteur d'activité de votre entreprise.

La Charte du Lanceur d'Alerte en France se remplit en prenant en compte la taille de l'entreprise, son secteur d'activité et ses risques de conformité spécifiques. Voici le guide pratique étape par étape.

**Étape 1 — Identification de l'entreprise.** Renseigner la dénomination sociale exacte inscrite au RCS, le numéro SIREN à 9 chiffres, l'adresse complète du siège social et l'effectif total en équivalents temps plein (ETP). L'effectif détermine le niveau des obligations légales : canal d'alerte obligatoire dès 50 ETP (Loi Waserman) ; programme complet Sapin II dès 500 ETP et 100 M EUR de CA.

**Étape 2 — Désignation du référent lanceur d'alerte.** Nommer explicitement le référent avec ses nom, prénom, fonction et coordonnées complètes (email professionnel dédié, numéro de téléphone direct). Le référent doit avoir l'autorité et les ressources nécessaires pour traiter les alertes impliquant des personnes de tout niveau hiérarchique, y compris les membres de la Direction. Pour les PME, le directeur financier ou le directeur juridique peut assumer ce rôle. Pour les grandes entreprises, un responsable compliance ou un service d'audit interne indépendant est recommandé. Il est également possible de désigner un référent externe (avocat, cabinet de conseil en conformité) pour garantir une indépendance maximale.

**Étape 3 — Description du canal d'alerte.** Décrire précisément le canal d'alerte interne disponible : email dédié chiffré (ex. : [email protected], accessible seulement au référent), formulaire en ligne sécurisé sur l'intranet (avec chiffrement de bout en bout et possibilité d'alerte anonyme), numéro de téléphone confidentiel (géré par un tiers pour garantir l'anonymat), ou solution logicielle spécialisée (EthicsPoint/Navex Global, Signalement.fr, Whispli, AllVoices). Préciser l'URL d'accès ou les coordonnées exactes du canal.

**Étape 4 — Définition du champ des alertes.** Sélectionner les domaines couverts par les alertes en fonction du profil de risque de l'entreprise. Pour une entreprise de services financiers supervisée par l'ACPR, les violations LCB-FT (lutte contre le blanchiment et le financement du terrorisme) seront prioritaires. Pour une entreprise industrielle, les violations environnementales et de sécurité industrielle seront essentielles. Pour toutes, la corruption (Sapin II) et les violations RGPD (CNIL) sont obligatoires.

**Étape 5 — Paramétrage des délais de traitement.** Fixer les délais de l'accusé de réception (recommandé : 3 à 5 jours ouvrés, maximum légal 7 jours selon la Directive 2019/1937) et du retour sur les suites données (recommandé : 1 à 2 mois, maximum légal 3 mois). Ces délais doivent être réalistes compte tenu des ressources du référent et de la complexité des alertes potentielles.

**Étape 6 — Communication interne et formation.** La charte doit être communiquée à l'ensemble des collaborateurs via les canaux habituels de communication interne (intranet, email, affichage), remise lors de l'onboarding des nouveaux collaborateurs, et rappelée lors des formations annuelles anticorruption et déontologiques. Pour les prestataires et sous-traitants auxquels le canal est ouvert, une information spécifique doit être prévue.

**Étape 7 — Validation et signature.** La charte doit être signée par le représentant légal (PDG, DG, gérant) pour lui conférer son autorité. Pour les SA, la validation par le conseil d'administration ou son comité d'audit est recommandée et documentée dans les procès-verbaux.

La Charte du Lanceur d'Alerte en France s'inscrit dans un cadre légal précis dont la maîtrise conditionne la validité et l'effectivité du dispositif.

**Loi Waserman et seuils.** La Loi n°2022-401 du 21 mars 2022 impose à partir du 1er septembre 2022 la mise en place d'un canal d'alerte interne à toute entreprise employant au moins 50 salariés. Pour les entreprises de 50 à 249 salariés, elles peuvent mutualiser leur canal d'alerte avec d'autres entreprises de même taille (art. 8-5 de la Loi Waserman, disposition issue de la Directive 2019/1937 art. 8 §6). Cette mutualisation est possible via un accord de groupement ou via un prestataire spécialisé commun.

**Traitement des données personnelles dans le canal d'alerte (RGPD + CNIL).** Le canal d'alerte traite des données personnelles (identité du lanceur d'alerte, des personnes mises en cause, des témoins). La CNIL a publié une délibération (n°2019-154 du 5 décembre 2019 modifiée, référentiel sur les traitements de données à caractère personnel relatifs à la gestion des alertes professionnelles) fixant les règles applicables : conservation limitée à 2 mois après clôture de l'alerte (sauf procédure judiciaire en cours), accès strictement limité au référent et aux personnes nécessaires à l'instruction, base légale obligation légale (RGPD art. 6 §1 c), traitement des données sensibles possibles dans certains cas (art. 9 §2 g). Une AIPD (Analyse d'Impact Protection des Données) peut être requise si des données sensibles sont traitées.

**Protection contre les représailles.** La Loi Waserman art. 13 punit d'un an d'emprisonnement et de 15 000 EUR d'amende toute entrave volontaire au signalement (décourager, bloquer, tenter d'empêcher) et toute mesure de représailles. En outre, la Loi Waserman a modifié le Code du travail pour prévoir la nullité de plein droit des mesures disciplinaires (licenciement, mise à pied, rétrogradation) prononcées à l'encontre d'un lanceur d'alerte de bonne foi, avec réintégration sur demande.

**Autorités compétentes en France.** L'Agence Française Anticorruption (AFA) est compétente pour les alertes relatives à la corruption et à la probité. La CNIL est compétente pour les alertes RGPD. Le Défenseur des droits est l'autorité de soutien aux lanceurs d'alerte victimes de représailles (art. 12 Loi Waserman). Le Parquet national financier (PNF) est compétent pour les infractions financières.

**Interactions avec le RGPD et la CNIL.** Le RGPD (Règlement UE 2016/679) et la Loi Informatique et Libertés n°78-17 s'appliquent pleinement au traitement des données dans le cadre du canal d'alerte. Le référent lanceur d'alerte ne doit en aucun cas traiter des données personnelles en dehors du strict nécessaire à l'instruction de l'alerte. Un registre des traitements RGPD (art. 30) doit inclure le traitement « Canal d'alerte interne ».

La Charte du Lanceur d'Alerte en France est souvent mal mise en œuvre. Voici les erreurs les plus fréquentes.

**Erreur n°1 — Canal d'alerte non confidentiel en pratique.** Un email générique accessible à l'équipe RH, au directeur informatique ou à tout manager avec accès administrateur ne garantit pas la confidentialité exigée par la Loi Waserman. Les services IT pourraient techniquement lire les emails envoyés à une adresse [email protected] non sécurisée. Le canal doit être techniquement conçu pour garantir que seul le référent accrédité peut accéder aux signalements.

**Erreur n°2 — Absence de procédure pour les alertes impliquant le référent lui-même.** Si le référent lanceur d'alerte est lui-même mis en cause dans une alerte, il ne peut pas instruire son propre cas. La charte doit prévoir un mécanisme d'escalade (ex. : transmission directe au Président du Conseil d'Administration ou à un vérificateur externe) dans cette situation.

**Erreur n°3 — Canal ouvert seulement aux salariés CDI.** La Loi Waserman étend la protection à toutes les personnes ayant un lien professionnel avec l'entreprise : CDD, intérimaires, stagiaires, apprentis, prestataires, fournisseurs, actionnaires. Restreindre le canal aux seuls salariés en CDI est non conforme.

**Erreur n°4 — Non-respect des délais de traitement.** Ne pas respecter le délai d'accusé de réception de 7 jours ou le délai de retour de 3 mois peut justifier que le lanceur d'alerte contourne le canal interne et se tourne directement vers l'AFA, le Défenseur des droits ou le Parquet, voire vers la presse (divulgation publique). Ces délais sont impératifs.

**Erreur n°5 — Charte non communiquée aux prestataires.** Depuis la Loi Waserman, les prestataires et sous-traitants ont le droit d'utiliser le canal d'alerte interne de l'entreprise pour signaler des violations dont ils ont connaissance dans leur relation avec l'entreprise. La charte doit être communiquée aux prestataires stratégiques, idéalement via les contrats de prestation ou un portail fournisseurs.

**Erreur n°6 — Confusion entre canal d'alerte et procédure disciplinaire RH.** Le canal d'alerte n'est pas une procédure de plainte RH contre son manager. Son objet est le signalement de violations du droit (corruption, fraude, harcèlement, violations RGPD), pas le règlement de conflits managériaux ordinaires. La charte doit clairement délimiter ce qui relève du canal d'alerte Waserman et ce qui relève de la procédure de signalement RH classique.