La Loi 2/2023, du 20 février, transposant la Directive européenne 2019/1937 (Directive Lanceurs d'alerte), est en vigueur en Espagne depuis juin 2023. Elle impose aux entreprises de 50 salariés ou plus et à l'ensemble des entités publiques de disposer d'un canal d'alerte conforme. Nombreuses sont les entreprises qui ont encore un canal insuffisant ou inexistant — situation exposant leurs dirigeants à des sanctions considérables.
Entreprises obligées et délais
- Entreprises de 250 salariés ou plus : obligation depuis le 13 juin 2023.
- Entreprises de 50 à 249 salariés : obligation depuis le 1er décembre 2023.
- Toutes les entités du secteur public : obligation depuis le 13 juin 2023.
- Entreprises de moins de 50 salariés dans les secteurs financiers, PBC et sécurité des transports : obligation depuis le 13 juin 2023.
Exigences minimales du canal conforme à la Loi 2/2023
Confidentialité garantie de l’identité. L’identité du lanceur d’alerte ne peut être révélée sans son consentement exprès, sauf ordonnance judiciaire dans le cadre d’une enquête pénale. Cette exigence s’applique aussi bien aux membres de l’équipe qui gèrent le canal qu’aux tiers auxquels les signalements pourraient être transmis.
Possibilité de signalement anonyme. Le canal doit permettre les signalements anonymes. L’entreprise peut choisir de ne pas donner suite aux signalements anonymes, mais le canal doit techniquement les accepter.
Gestionnaire indépendant. La gestion du canal doit être assurée par une personne ou un service indépendant de la personne ou du département visé par le signalement. Le responsable du canal ne peut pas être hiérarchiquement subordonné à qui fait l’objet d’une dénonciation.
Accusé de réception sous 7 jours. Le responsable du canal doit confirmer la réception du signalement dans un délai maximum de sept jours calendaires.
Réponse sous 3 mois. Le lanceur d’alerte doit recevoir des informations sur les mesures adoptées dans un délai maximum de trois mois (prorogeable à six mois dans les affaires complexes).
Interdiction des représailles avec renversement de la charge de la preuve. La Loi 2/2023 établit une présomption : toute mesure préjudiciable adoptée à l’encontre d’un lanceur d’alerte est présumée être une représaille, sauf preuve contraire apportée par l’entreprise.
Registre des signalements. Un registre confidentiel de tous les signalements reçus doit être tenu avec des mesures de sécurité garantissant la confidentialité.
Les étapes de déploiement
Étape 1 — Choisir le modèle de gestion. L’entreprise peut opter pour une gestion interne (un responsable compliance ou un comité dédié) ou externaliser la gestion du canal à un prestataire spécialisé. L’externalisation présente l’avantage d’une indépendance structurelle immédiate et d’une disponibilité 24h/7j. La gestion interne est moins coûteuse mais requiert des garanties d’indépendance crédibles.
Étape 2 — Choisir la plateforme technologique. Le canal peut être une boîte aux lettres électronique sécurisée, un formulaire web chiffré, une ligne téléphonique dédiée ou une combinaison de ces canaux. La plateforme doit garantir l’anonymat si le lanceur d’alerte le souhaite et empêcher toute identification technique (adresses IP, métadonnées).
Étape 3 — Rédiger la politique de canal d’alerte. Ce document décrit le périmètre du canal, les infractions pouvant être signalées, la procédure de traitement, les délais de réponse, les mesures de protection des lanceurs d’alerte et les sanctions en cas de signalement de mauvaise foi.
Étape 4 — Former les gestionnaires du canal. Les personnes chargées de recevoir et de traiter les signalements doivent être formées sur les exigences légales, les procédures d’enquête interne, la protection des données et la gestion des conflits d’intérêts.
Étape 5 — Communiquer aux salariés. La politique de canal d’alerte doit être communiquée à l’ensemble des salariés et rendue accessible en permanence (intranet, affichage, document d’intégration des nouveaux arrivants).
Étape 6 — Articuler le canal avec le programme de compliance pénale. Si l’entreprise dispose déjà d’un programme de compliance pénale (art. 31 bis CP), le canal doit satisfaire simultanément aux exigences de la Loi 2/2023 et à celles du Código Penal. Les deux textes sont compatibles, mais leurs exigences ne se recoupent pas entièrement.
Articulation avec le RGPD
Le canal d’alerte implique un traitement de données personnelles soumis au RGPD et à la LOPDGDD espagnole. Les points clés à vérifier : base légale du traitement (obligation légale pour les entités obligées), registre des activités de traitement mis à jour, durée de conservation des données (3 mois maximum si aucune enquête n’est ouverte), et information des personnes concernées.
BMC accompagne les entreprises dans le déploiement et la gestion de leur canal d’alerte conforme à la Loi 2/2023, en articulation avec leur programme de compliance pénale.
