icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Délibérations-Décisions APDP

Délibération n° 2025‑8 du 9 avril 2025 de l'Autorité de Protection des Données Personnelles portant avis sur la consultation du Président du Conseil National relative au projet de loi relatif à la protection des lanceurs d'alerte dans le cadre des relations de travail.

  • N° journal 8746
  • Date de publication 09/05/2025
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole d’amendement adopté par le Comité des Ministres le 18 mai 2018 ;

Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu la loi n° 1.566 du 3 décembre 2024 portant approbation et ratification du Protocole d’amendement à la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le projet de loi n° 987 relatif à la protection des lanceurs d’alerte dans le cadre des relations de travail ;

Vu la loi n° 1.338 du 7 septembre 2007 sur les activités financières ;

Vu la loi n° 1.457 du 12 décembre 2017 relative au harcèlement et à la violence au travail ;

Vu l’Accord monétaire du 29 novembre 2011 entre la Principauté de Monaco et l’Union européenne ;

Vu l’Échange de lettres du 20 octobre 2010 remplaçant l’Accord sous forme d’échange de lettres du 27 novembre 1987, relatif à la réglementation bancaire dans la Principauté de Monaco, entre la Principauté de Monaco et la République française ;

Vu l’Arrêté français du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution ;

Vu la Recommandation CM/Rec (2015)5 du Conseil de l’Europe du 1er avril 2015 sur le traitement des données à caractère personnel dans le cadre de l’emploi ;

Vu la Recommandation CM/Rec (2014)7 du Conseil de l’Europe du 30 avril 2014 sur la protection des lanceurs d’alerte ;

Vu la Délibération n° 2011‑73 du 26 septembre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les dispositifs d’alerte professionnelle mis en œuvre sur le lieu de travail ;

Vu la saisine du Président du Conseil National en date du 27 mars 2025 concernant le projet de loi relatif à la protection des lanceurs d’alerte dans le cadre des relations de travail ;

L’Autorité de Protection des Données Personnelles,

Préambule

La loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles, parue au Journal de Monaco du vendredi 13 décembre 2024, dispose en son article 38 que « L’autorité de protection peut être consultée par le Président du Conseil National lors de l’étude de propositions de loi ou de projets de loi relatives à la protection des données à caractère personnel ou au traitement de telles données ».

Ainsi, par courrier daté du 25 mars 2025, le Président du Conseil National a fait part à l’APDP de son souhait de recueillir son avis sur le projet de loi relatif à la protection des lanceurs d’alerte dans le cadre des relations de travail, si possible, en raison d’impératifs liés au calendrier législatif, avant le mardi 29 avril. En application de la loi n° 1.565, susvisée, le présent avis fera l’objet d’une publication.

L’Autorité de Protection des Données Personnelles (APDP) se félicite de cette démarche qui s’inscrit dans les nouvelles modalités de saisine et de publication offertes par la loi n° 1.565 du 3 décembre 2024, précitée.

La protection des lanceurs d’alerte et l’exploitation de données personnelles qui en découle sont depuis longtemps des préoccupations de l’Autorité monégasque de Protection des Données Personnelles. Il convient de rappeler que la Commission de Contrôle des Informations Nominatives (CCIN) avait adopté en 2011 une délibération portant recommandation sur les dispositifs d’alerte professionnelle mis en œuvre sur le lieu de travail, ayant identifié un certain nombre de dangers qui leur sont inhérents, et notamment :

-    le risque de disproportion entre le dispositif mis en place et les objectifs poursuivis par l’entreprise ou organisme ;

-    la déloyauté de la collecte et du traitement des données nominatives d’une personne n’ayant pas les moyens de s’y opposer ou de se défendre.

Aussi, en l’absence de toute disposition légale en la matière en Principauté, le périmètre que la Commission estimait licite était dans un premier temps extrêmement limité et lié au secteur financier. Puis, sollicitée notamment par les établissements bancaires soumis à des dispositions de whistleblowing dans d’autres pays dans lesquels ils étaient établis, elle a progressivement étendu le périmètre de ces alertes, en veillant à ce qu’il ne recouvre pas des domaines dont les contours sont difficilement appréhendables.

Aussi, la CCIN avait décidé, dans une délibération en date du 15 janvier 2020, de limiter le champ des alertes professionnelles aux seuls domaines suivants :

-    actes de corruption (article 113‑2 et suivants du Code pénal monégasque) ;

-    actes de fraudes (articles 331 et suivants du Code pénal monégasque) ;

-    actes relatifs au harcèlement et à la violence au travail (loi n° 1.457 du 12 décembre 2017) ;

-    actes relatifs au non-respect de règles d’éthiques professionnelles - protection des clients, régularité des opérations et conflits d’intérêts (Ordonnance Souveraine n° 1.284 du 10 septembre 2007) ;

-    actes relatifs au non-respect des règles en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption (loi n° 1.362 du 3 août 2009 et Ordonnance Souveraine n° 2.318 du 3 août 2009, modifiées) ;

-    actes relatifs au non-respect des règles en matière de sanctions et d’embargos ;

-    actes relatifs au non-respect des règles en matière d’intégrité de marché (loi n° 1.338 du 7 septembre 2007 sur les activités financières) ;

-    actes relatifs au non-respect des règles relatives à la protection des informations nominatives (loi n° 1.165 du 23 décembre 1993, modifiée).

Considérant toutefois que la situation n’était pas sécurisante, lorsqu’elle a été interrogée pour avis en 2020 sur la modification de la loi n° 1.362 relative à la lutte contre le blanchiment de capitaux, la CCIN en avait profité « pour interpeller sur un sujet périphérique nécessitant à son sens une assise juridique renforcée en Principauté pour en définir précisément le périmètre, par voie législative ou règlementaire, à savoir l’encadrement des dispositifs d’alertes professionnelles, souvent mis en œuvre par les banques ».

L’APDP accueille donc avec satisfaction le projet de loi dont s’agit. Elle relève qu’il résulte de la proposition de loi n° 229 du 10 avril 2017 du Conseil National, qui appuie la légitimité de sa démarche en faisant référence à la Recommandation CM/Rec (2014)7 du Conseil de l’Europe du 30 avril 2014 sur la protection des lanceurs d’alerte (Recommandation (2014)7), auquel Monaco est Partie. La proposition de loi semble aussi être inspirée par la loi française en la matière, dite loi Sapin, entrée en vigueur en 2016 (loi Sapin dans sa version initiale). Cette loi a pu faire l’objet de nombreuses analyses juridiques et décisions, permettant d’avoir un recul pratique sur certaines rédactions de dispositions.

La proposition de loi a été retenue par le Gouvernement et transformée en projet de loi, enregistré sous le numéro 987 le 21 décembre 2018.

Depuis, l’Union européenne a adopté la Directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union (Directive (UE) 2019/1937), ce qui a conduit en 2022 à une évolution de la loi Sapin (loi Sapin 2). Aussi, l’APDP relève que les standards en matière de protection des lanceurs d’alerte se sont renforcés depuis l’adoption de la proposition de loi monégasque, ce qui peut influer à la fois sur le périmètre de la protection (I) et ses modalités de mise en œuvre (II).

Enfin, l’APDP rappelle que la mise en œuvre de procédures de signalement entraîne nécessairement un traitement de données personnelles y afférent qui doit respecter les principes de protection des données personnelles prévus par la loi n° 1.565 du 3 décembre 2024. Elle recommande donc que cela soit rappelé, notamment par un renvoi à la loi n° 1.565 aux articles 5 et/ou 9 du projet de loi.

I.   Sur le périmètre de la protection

A) Sur le périmètre de la protection du lanceur d’alerte

L’Autorité constate que l’article premier projeté concerne les employeurs personne physique et personne morale de droit privé ou de droit public. Les Autorités Administratives Indépendantes (AAI) ne sont dès lors pas concernées, ne disposant pas en Principauté de la personnalité morale. L’APDP estime opportun d’intégrer de manière certaine les AAIs au dispositif, du fait de leur indépendance vis-à-vis des Services de l’Administration. En ce sens elle précise que, dans le prolongement de la procédure mise en œuvre au sein des Services exécutifs de l’État en matière de lutte contre le harcèlement et la violence au travail, issue de la loi n° 1.457 du 12 décembre 2017 relative au harcèlement et à la violence au travail, elle s’est également dotée d’une procédure semblable applicable à ses Agents.

Pour rappel, en France, les Autorités publiques indépendantes sont dotées d’une personnalité morale et sont visées à l’Article 3-III du Décret n° 2022‑1284, qui prévoit la mise en place d’une procédure interne de recueil et de traitement des signalements pour les Autorités publiques indépendantes employant au moins cinquante agents. La CNIL prévoit d’ailleurs à l’article 23 de sa Charte de Déontologie la protection des lanceurs d’alerte, par la mise en place d’une procédure, définie par le Président de la Commission et mise à disposition de tous les agents de la Commission, prévoyant les modalités de recueil et de traitement des signalements.

Par ailleurs, l’Autorité relève que la qualité de lanceur d’alerte n’est reconnue qu’à un nombre limité de personnes. En effet, le régime de protection spécifique contre les représailles du fait d’une alerte interne tel que proposé à l’article premier du projet de loi est limité aux lanceurs d’alerte salariés et stagiaires.

Selon la Recommandation (2014/7) sur la protection des lanceurs d’alerte, le cadre national devrait couvrir toutes les personnes travaillant soit dans le secteur public, soit dans le secteur privé, indépendamment de la nature de leur relation de travail et du fait qu’elles sont ou non rémunérées.

Le Conseil de l’Europe recommande d’inclure les personnes dont la relation de travail a pris fin ou, éventuellement, n’a pas encore commencé, si les informations concernant une menace ou un préjudice pour l’intérêt général ont été obtenues durant le processus de recrutement ou à un autre stade de la négociation précontractuelle.

En France, selon l’article 8-I-A de la loi n° 2016‑1691, la faculté de signalement appartient :

« 1° Aux membres du personnel, aux personnes dont la relation de travail s’est terminée, lorsque les informations ont été obtenues dans le cadre de cette relation, et aux personnes qui se sont portées candidates à un emploi au sein de l’entité concernée, lorsque les informations ont été obtenues dans le cadre de cette candidature ;

2° Aux actionnaires, aux associés et aux titulaires de droits de vote au sein de l’assemblée générale de l’entité ;

3° Aux membres de l’organe d’administration, de direction ou de surveillance ;

4° Aux collaborateurs extérieurs et occasionnels ;

5° Aux cocontractants de l’entité concernée, à leurs sous-traitants ou, lorsqu’il s’agit de personnes morales, aux membres de l’organe d’administration, de direction ou de surveillance de ces cocontractants et sous-traitants ainsi qu’aux membres de leur personnel ».

L’exclusion du champ de protection de la loi monégasque de nombreuses personnes, engagées par un lien contractuel avec l’employeur personne physique ou morale, ne semble pas justifiée. Il serait opportun de prévoir l’élargissement de la protection accordée pour des signalements aux intérimaires/aux anciens salariés/aux candidats, prestataires, fournisseurs. De plus, la loi Sapin 2 a élargi le cercle des personnes susceptibles d’être protégées à celles qui peuvent subir des représailles « par ricochet ». Cela concerne notamment les personnes qui ont aidé les auteurs à effectuer le signalement, mais qui n’en étaient pas elles-mêmes à l’origine, appelées facilitateurs au sein de la Directive 2019/1937. Cela peut concerner également des tiers qui sont en lien avec les auteurs de signalement. Ainsi, les personnes à protéger ne sont pas uniquement les auteurs du signalement.

S’agissant de la protection des lanceurs d’alerte contre l’engagement de leur responsabilité pénale, elle est prévue aux articles 12 et 13 projetés.

L’article 12 prévoit la modification de l’article 307 du Code pénal en excluant les lanceurs d’alerte du champ de la responsabilité pénale pour dénonciation calomnieuse, à condition qu’ils soient de bonne foi, faute de quoi ils ne peuvent être protégés et s’exposent à des sanctions.

Cet équilibre choisi dans le projet de loi est conforme au principe 10 de la Recommandation (2014/7), qui protège la situation de l’employeur qui subit une perte ou un dommage du fait du signalement ou de la révélation de fausses informations délibérément et en connaissance de cause. La personne qui fait un signalement ou révèle des informations de ce type ne bénéficie pas de la protection accordée aux lanceurs d’alerte de bonne foi.

L’article 13 projeté consacre quant à lui l’irresponsabilité pénale des lanceurs d’alerte qui violent le secret professionnel, telle que prévue à l’article 308 du Code pénal monégasque, qui dispose que « Toutes personnes dépositaires, par état ou profession, du secret qu’on leur confie, qui, hors les cas où la loi les oblige ou autorise à se porter dénonciateurs, auront révélé ces secrets, seront punis d’un emprisonnement de six mois à un an et de l’amende prévue au chiffre 3 de l’article 26, ou de l’une de ces deux peines seulement ».

Cependant, l’article 13 projeté prévoit une irresponsabilité qui ne s’applique qu’aux seuls lanceurs d’alerte tels que définis dans le projet de loi qui, comme indiqué supra, limite son champ d’application aux salariés et aux stagiaires.

L’article 122‑9 du Code pénal français dispose que « N’est pas pénalement responsable la personne qui porte atteinte à un secret protégé par la loi, dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu’elle intervient dans le respect des conditions de signalement définies par la loi et que la personne répond aux critères de définition du lanceur d’alerte prévus à l’article 6 de la loi n° 2016‑1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

N’est pas non plus pénalement responsable le lanceur d’alerte qui soustrait, détourne ou recèle les documents ou tout autre support contenant les informations dont il a eu connaissance de manière licite et qu’il signale ou divulgue dans les conditions mentionnées au premier alinéa du présent article.

Le présent article est également applicable au complice de ces infractions ».

Il s’agit ainsi d’une rédaction plus détaillée, qui prévoit l’irresponsabilité des lanceurs d’alerte pour toute atteinte « à un secret protégé par la loi », dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause, qu’elle intervient dans le respect des procédures de signalement définies par la loi et que la personne répond aux critères de définition du lanceur d’alerte.

L’irresponsabilité est d’ailleurs étendue aux complices des lanceurs d’alerte, ainsi que dans les cas de soustraction, détournement ou recel de documents.

Il convient donc de s’assurer en Principauté d’une protection aussi large, étendue à tous secrets afin que l’exclusion de responsabilité au titre de l’article 308 du Code pénal ne soit pas contournée en utilisant d’autres législations à caractère pénal à des fins de représailles (comme par exemple, la loi n° 1.565 sur la protection des données personnelles), et s’appliquant également aux personnes ayant concouru à l’alerte (les facilitateurs).

B) Sur le périmètre de l’alerte

L’article premier projeté fixe plusieurs critères de recevabilité de l’alerte relatifs à la personne physique à l’origine de l’alerte et délimite le périmètre de l’information signalée ou révélée pour bénéficier de la protection prévue par le texte.

Ainsi, l’APDP relève que la personne physique doit agir « de bonne foi et de manière désintéressée ». Sur ce point l’exposé des motifs précise que « la motivation de la personne ne doit pas être de retirer un avantage quelconque, que ce soit en termes matériels ou d’avancement de carrière ».

À cet égard, l’Autorité constate que la rédaction du texte projeté reprend l’ancienne rédaction de la loi Sapin dans sa version initiale, en vigueur en France en 2016. Toutefois, cette rédaction, faisant référence à la notion de « manière désintéressée », a été estimée comme constituant un critère trop exigeant et donc dissuasif pour les personnes physiques au moment de choisir de signaler ou révéler une information.

C’est au moment de la transposition des dispositions de la Directive (UE) 2019/1937 (qui reste silencieuse sur ce critère mais qui prévoit néanmoins à l’article 20 qu’une indemnisation est possible pour le lanceur d’alerte), que le législateur français a substitué la notion de « manière désintéressée » par « sans contrepartie financière directe » afin d’élargir le critère de recevabilité des alertes, en incluant notamment les situations où le signalement concerne une entité avec laquelle le lanceur d’alerte se trouve en litige ou encore lorsque les conséquences de l’alerte peuvent lui être bénéfiques.

Dès lors, l’APDP recommande d’assouplir les conditions de recevabilité relatives à la personne physique à l’origine de l’alerte en indiquant que le lanceur d’alerte doit agir « de bonne foi et sans contrepartie financière directe ».

S’agissant ensuite du périmètre de l’alerte, il résulte de la lecture de l’article 1er du texte projeté qu’est concernée « toute information (…) relatives à la survenance : 1. d’un crime ou d’un délit, 2. d’une menace ou d’un préjudice graves pour l’intérêt général dans le domaine sanitaire ou environnemental ». Cette rédaction appelle plusieurs remarques.

En effet, l’APDP constate tout d’abord que le texte projeté fait référence « à la survenance (…) d’une menace ou d’un préjudice grave ». L’exposé des motifs précise que le critère de « gravité sous-entend que le risque ne doit pas être purement hypothétique ». L’APDP relève que cette rédaction reprend sensiblement celle de l’article 6 de la loi Sapin dans sa version initiale qui fait référence à « (…) un crime ou un délit, une violation grave et manifeste (…) ».

Toutefois, l’Autorité constate que la notion de gravité n’est présente ni dans la Recommandation (2014)7, ni dans la Directive (UE) 2019/1937, ni dans la loi française n° 2016‑1691 dans sa version modifiée (loi Sapin 2).

Ainsi, l’APDP appelle l’attention sur cette différence rédactionnelle entre Monaco et les pays voisins qui tend à restreindre le périmètre de l’alerte dans la Principauté, le lanceur d’alerte pouvant se dissuader d’effectuer un signalement dont il doit apprécier la gravité et la probabilité de la survenance d’un évènement.

Ensuite, l’APDP relève une délimitation de la notion d’« intérêt général » restreinte aux seuls domaines « sanitaire ou environnemental ». Sortent ainsi du champ de la protection tout autre domaine, tels que notamment ceux relatifs à la protection des consommateurs ou à la protection de la vie privée.

À cet égard, il ressort d’une analyse comparée que cette délimitation n’apparaît pas dans les autres textes qui ont inspiré le présent projet de loi. En effet, la Recommandation (2014)7 fait référence à « tout signalement d’actions ou d’omissions constituant une menace ou un préjudice pour l’intérêt général, ou toute révélation d’informations sur de tels faits ».

Cette délimitation n’apparaît pas non plus dans la version initiale de la loi Sapin qui faisait seulement référence à l’intérêt général de manière globale sans le restreindre à certains domaines en indiquant « (…) ou une menace ou un préjudice graves pour l’intérêt général ».

De plus, l’APDP relève que le paragraphe a) du chiffre 1 de l’article 2 de la Directive (UE) 2019/1937 liste les domaines entrant dans le champ d’application matériel de la protection : marchés publics ; services, produits et marchés financiers et prévention du blanchiment de capitaux et du financement du terrorisme ; sécurité et conformité des produits ; sécurité des transports ; protection de l’environnement ; radioprotection et sûreté nucléaire ; sécurité des aliments destinés à l’alimentation humaine et animale, santé et bien-être des animaux ; santé publique ; protection des consommateurs ; protection de la vie privée et des données à caractère personnel, et sécurité des réseaux et des systèmes d’information.

L’Autorité constate par ailleurs que la délimitation n’apparaît pas non plus dans la loi Sapin 2 telle que modifiée en 2022 lors de la transposition de la Directive (UE) 2019/1937. En effet, l’article 6 dudit texte dispose que « des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement ».

Dès lors, l’APDP recommande de supprimer « dans le domaine sanitaire ou environnemental » à l’article premier afin d’inclure dans le périmètre de l’alerte d’autres faits qui ne sont pas susceptibles de constituer des crimes ou des délits mais des menaces ou des préjudices pour l’intérêt général en dehors de la sphère sanitaire ou environnementale, notamment une faille de sécurité.

En outre, l’Autorité relève que le texte projeté ne mentionne pas la tentative dans le périmètre du projet de loi n° 987 contrairement aux dispositions françaises qui indiquent qu’« une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement ».

C) Sur les exclusions à la qualification de lanceur d’alerte portées à l’article 2

L’article 2 du projet de loi dispose que « Ne sont pas visées par les dispositions de l’article premier (…) les informations dont le signalement ou la révélation porterait atteinte au secret de sécurité nationale, au secret médical ou au secret des relations entre un avocat et son client ». En ce sens, le champ des exclusions à la qualification du lanceur d’alerte s’avère similaire à celui des paragraphes 2 et 3 de l’article 3 de la Directive (UE) 2019/1937, et celui prévu à l’article 6 de la loi Sapin 2, qui dispose en son alinéa 2 que « Les faits, informations ou documents, quel que soit leur forme ou leur support, couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client sont exclus du régime de l’alerte défini par le présent chapitre ».

Toutefois, cette exclusion de la protection est en France limitée au Chapitre en question et les secteurs concernés, dont le secret de la défense nationale, font l’objet de dispositions spécifiques. Ainsi, l’article L. 861‑3 du Code de la Défense français dispose par exemple que :

I.-  « Tout agent d’un service mentionné à l’article L. 811‑2 ou d’un service désigné par le décret en Conseil d’État prévu à l’article L. 811‑4 qui a connaissance, dans l’exercice de ses fonctions, de faits susceptibles de constituer une violation manifeste du présent livre peut porter ces faits à la connaissance de la seule Commission nationale de contrôle des techniques de renseignement, qui peut alors saisir le Conseil d’État dans les conditions prévues à l’article L. 833‑8 et en informer le Premier ministre.

Lorsque la commission estime que l’illégalité constatée est susceptible de constituer une infraction, elle saisit le procureur de la République dans le respect du secret de la défense nationale et transmet l’ensemble des éléments portés à sa connaissance à la Commission du secret de la défense nationale afin que celle‑ci donne au Premier ministre son avis sur la possibilité de déclassifier tout ou partie de ces éléments en vue de leur transmission au procureur de la République.

II.-    Aucun agent ne peut être sanctionné ou faire l’objet d’une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, de recrutement, de titularisation, de notation, de discipline, de traitement, de formation, de reclassement, d’affectation, de qualification, de classification, de promotion professionnelle, de mutation, d’interruption ou de renouvellement de contrat, pour avoir porté, de bonne foi, des faits mentionnés au I à la connaissance de la Commission nationale de contrôle des techniques de renseignement. Tout acte contraire au présent alinéa est nul et non avenu.

En cas de litige relatif à l’application du premier alinéa du présent II, il incombe à la partie défenderesse de prouver que sa décision est justifiée par des éléments objectifs étrangers à la déclaration ou au témoignage de l’agent intéressé.

Tout agent qui relate ou témoigne des faits mentionnés au I, de mauvaise foi ou avec l’intention de nuire ou avec la connaissance au moins partielle de l’inexactitude des faits, encourt les peines prévues au premier alinéa de l’article 226‑10 du Code pénal ».

L’APDP recommande donc que des dispositions soient envisagées pour permettre des modalités de signalement spécifiques aux acteurs concernés par le champ d’exclusion à la qualification de lanceur d’alerte.

À cet égard, l’Annexe à la Recommandation du Conseil de l’Europe (2014)/7 explique que « Le principe 5 reconnaît que le signalement ou la révélation d’informations sur des actes ou des pratiques répréhensibles graves en lien avec la sécurité nationale, la défense, le renseignement, l’ordre public ou les relations internationales de l’État relève de l’intérêt général mais qu’il existe des raisons légitimes pour lesquelles les États membres peuvent vouloir appliquer un nombre restreint de règles à certains ou à l’ensemble des cas mentionnés. Le principe repose sur l’hypothèse que les États membres peuvent introduire un régime de droits plus restrictif par rapport au régime général, sans pour autant laisser le lanceur d’alerte totalement privé de protection ou de défense potentielle ».

Par ailleurs, l’article 2 projeté dispose que « Ne sont pas visées par les dispositions de l’article premier (…) les informations dont l’auteur du signalement ou de la révélation n’a pas eu personnellement connaissance ainsi que celles dont il ne pouvait légitimement considérer qu’elles étaient exactes ».

L’APDP relève que l’exigence que le lanceur d’alerte ait eu personnellement connaissance de l’information est désormais spécifique au projet de loi monégasque, car il s’agit d’une exigence de la loi Sapin initiale, exigence qui a depuis disparu. En France, la protection est dès lors accordée au lanceur d’alerte même lorsque les informations n’ont pas été connues à l’occasion de l’exercice de ses fonctions. C’est uniquement dans ce contexte que la condition que le lanceur d’alerte en ait eu personnellement connaissance est posée. Pour tout sujet interne à l’entreprise, le lanceur d’alerte peut signaler des faits dont il n’a pas eu personnellement connaissance, mais qui lui ont été simplement rapportés.

L’APDP appelle donc l’attention du législateur sur le fait que ce choix a des conséquences sur l’incitation à alerter pour une personne qui aurait eu de manière incidente, dans son milieu professionnel, des informations relatives à une situation méritant un signalement, car le lanceur d’alerte ne bénéficierait en l’espèce d’aucune protection, même si l’alerte porte sur une situation exacte. Il convient de rappeler que la Recommandation du Conseil de l’Europe indique que « Le cadre national devrait favoriser un environnement qui encourage à faire ouvertement tout signalement ou toute révélation d’informations. Nul ne devrait éprouver de crainte de soulever librement des préoccupations d’intérêt général ».

II. Sur les modalités de la mise en œuvre des alertes et de la protection

A) Une procédure qui s’impose à tous les employeurs

L’APDP relève que l’article 4 projeté crée un effet de seuil à partir duquel la désignation d’un référent est obligatoire. Toutefois, l’article 9 alinéa 1, qui impose aux employeurs de mettre en place les procédures destinées à recueillir et transmettre les signalements, n’est associé à aucun seuil, sauf à ce que celui‑ci soit appelé à être fixé dans l’arrêté ministériel d’application dudit alinéa. Si tel ne devait pas être le cas, l’Autorité constate que tout employeur doit en Principauté se doter d’une procédure d’alerte.

En ce qui concerne les traitements de données personnelles qui s’en infèrent, l’APDP estime que les employeurs qui exploitent de tels traitements peuvent se fonder sur le besoin de respecter une obligation légale lorsque leur mise en œuvre est obligatoire. Si, in fine, il existe un effet de seuil, les traitements qui ne seraient pas obligatoires mais que les responsables du traitement veulent mettre en œuvre dans le cadre de bonnes pratiques, pourront se fonder sur la réalisation d’un intérêt légitime.

B) Sur l’article 3 du projet de loi

L’APDP relève que l’article 3 projeté prévoit au premier alinéa que « Le lanceur d’alerte, au sens du premier article, ne saurait encourir de sanction disciplinaire de la part de son employeur ni faire l’objet d’un licenciement, d’une révocation d’un non renouvellement de contrat ou de toute autre mesure ayant pour objet ou pour effet d’affecter défavorablement le déroulement de sa carrière ».

L’APDP considère que cette protection devrait être renforcée.

En effet, elle relève à ce sujet que le considérant 44 de la Directive (UE) 2019/1937 dispose qu’« Une protection efficace des auteurs de signalement en tant que moyen de renforcer l’application du droit de l’Union exige une définition large du terme « représailles », englobant tout acte ou omission intervenant dans un contexte professionnel et causant un préjudice aux auteurs de signalement ».

De plus, l’article 19 du même texte dispose que « Les États membres prennent les mesures nécessaires pour interdire toute forme de représailles contre les personnes visées à l’article 4, y compris les menaces de représailles et tentatives de représailles ». Cet article dresse ensuite une liste non exhaustive de représailles pouvant être concernées. Il s’agit par exemple de l’évaluation de performance ou attestation de travail négative ou encore du préjudice, y compris les atteintes à la réputation de la personne, en particulier sur les services de communication au public en ligne. L’APDP relève que le législateur français a intégré ces dispositions dans la loi Sapin 2, à l’article 10‑1, au moment de la transposition.

Ainsi, l’Autorité constate que le lanceur d’alerte peut faire l’objet d’un certain nombre de mesures de représailles qui ne constituent pas à proprement parler des « sanctions disciplinaires ». Il s’agit par exemple de la décision de ne pas lui accorder une augmentation de la rémunération, de le soumettre à des évaluations de performance ou encore des faits de nature à porter atteinte à sa réputation sur un service de communication au public en ligne.

Dès lors, elle considère qu’il serait plus judicieux de remplacer la notion de « sanction disciplinaire » par « mesures de représailles ».

Par ailleurs, l’APDP relève que le deuxième alinéa de l’article 3 projeté dispose que « Toute sanction ou toute mesure prise en méconnaissance des dispositions du précédent alinéa est nulle de plein droit ». Ainsi, l’Autorité considère que dans l’hypothèse où un lanceur d’alerte aurait été licencié après avoir effectué un signalement en vertu du présent projet de texte la réintégration à son poste serait immédiate. En effet, cette réintégration apparaît comme étant la conséquence de la nullité du licenciement.

En outre, le dernier alinéa de l’article 3 projeté précise qu’en cas de litige, la décision prise par l’employeur à l’encontre du salarié suite à un signalement effectué dans les conditions prévues par la loi doit être « justifiée par des éléments objectifs étrangers à l’alerte signalée par l’intéressé ».

À cet égard, le Conseil de l’Europe recommande, dans les procédures juridiques ayant trait à un acte préjudiciable subi par un lanceur d’alerte, et sous réserve que celui‑ci donne des motifs raisonnables de penser que l’acte préjudiciable constituait une forme de représailles à la suite de son signalement ou de sa révélation d’informations, qu’il incombe à l’employeur d’établir que telle n’était pas la motivation de l’acte préjudiciable.

Pour rappel, l’article 3 du projet de loi procède d’une rédaction similaire à celle de l’article L 1132‑3‑3 du Code du travail français, dans sa version antérieure à la modification intervenue en 2022 de la loi Sapin.

Désormais, l’article 10‑1-III de la loi Sapin 2 impose à l’employeur de « prouver que sa décision est dûment justifiée », mais surtout, prévoit des mécanismes de soutien du lanceur d’alerte.

Aussi, l’APDP constate que la procédure prévue en cas de litige n’est pas détaillée à l’article 3 projeté. Plusieurs points mériteraient d’être précisés, notamment la juridiction compétente, les délais (en France le juge statue à bref délai), ainsi que la possibilité pour le salarié de se voir allouer, à la charge de l’autre partie, une provision pour frais en fonction de la situation économique respective des parties et du coût prévisible de la procédure, ou une provision visant à couvrir ses subsides.

D’autant plus que, selon la Recommandation (2014)7, en attendant l’issue de la procédure civile, les personnes qui ont été victimes de représailles pour avoir fait un signalement ou une révélation d’informations d’intérêt général devraient pouvoir solliciter des mesures provisoires, en particulier en cas de perte d’emploi. Selon ce même texte, les organes réglementaires publics devraient aussi avoir les moyens de prendre des mesures provisoires pour protéger le lanceur d’alerte.

L’APDP constate par ailleurs qu’aucune disposition du projet de loi n’encadre la protection de la personne qui signale ou révèle des informations mais qui commet une erreur d’appréciation des faits ou lorsque le préjudice ou la menace pour l’intérêt général ne s’est pas matérialisé. En effet, le point 22 de la Recommandation (2014)7 explique que cette personne doit bénéficier de la protection accordée au lanceur d’alerte dès lors que la personne a « eu des motifs raisonnables de croire en sa véracité ». Ainsi, l’Autorité considère qu’une telle disposition devrait être ajoutée au texte monégasque.

C) Un régime à étapes obligatoires, des signalements externes et publics limités

Comme indiqué en préambule, la rédaction des articles 5 et suivants s’inspire de la rédaction de la loi Sapin 1, tout en étant plus contraignante sur certains points dont :

-    l’obligation que tout signalement, quel que soit le résultat de l’enquête interne, soit transmis au « pouvoir judiciaire ». À cet égard, l’APDP estime préférable de parler d’Autorité judiciaire. En outre, l’Autorité s’interroge sur l’effectivité du signalement interne si en tout état de cause, dans un délai de quinze jours, l’Autorité judiciaire est nécessairement saisie ;

-    l’absence de signalements externes auprès d’autres Autorités administratives.

Il convient de préciser que la Recommandation (2014)7 indique que :

« Les voies de signalement et de révélation d’informations comprennent :

-    le signalement interne au sein d’une organisation ou d’une entreprise (y compris auprès des personnes de confiance désignées pour recevoir les signalements) ;

-    le signalement aux organes réglementaires publics, aux autorités de répression et aux organes de contrôle ;

-    la révélation publique d’informations, par exemple à un journaliste ou à un parlementaire.

La situation individuelle de chaque cas déterminera la voie la plus appropriée ».

En outre, la Directive relative aux lanceurs d’alerte a été adoptée en 2019 et contient une partie dédiée aux alertes externes et une autre aux alertes internes. Ainsi, la loi Sapin a évolué en 2022, permettant d’effectuer un signalement externe avec plus de latitude, l’article 8 II de la loi Sapin 2 disposant que :

« Tout lanceur d’alerte, défini au I de l’article 6, peut également adresser un signalement externe, soit après avoir effectué un signalement interne dans les conditions prévues au I du présent article, soit directement :

1° À l’autorité compétente parmi celles désignées par le décret prévu au sixième alinéa du présent II ;

2° Au Défenseur des droits, qui l’oriente vers la ou les autorités les mieux à même d’en connaître ;

3° À l’autorité judiciaire ;

4° À une institution, à un organe ou à un organisme de l’Union européenne compétent pour recueillir des informations sur des violations relevant du champ d’application de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 précitée ».

Ceci d’autant plus que l’exposé des motifs indique que « Ces règles constituent dès lors un socle normatif de base, applicable au secteur privé comme au secteur public, qu’il conviendra d’adapter pour prendre en compte les exigences spécifiques que la protection dont bénéficie le lanceur d’alerte pourrait appeler ».

Enfin, l’APDP relève que l’exigence d’un danger grave ou imminent ou la présence d’un risque de dommages irréversibles (notion qui peut être difficile à apprécier pour le potentiel lanceur d’alerte) ne justifie pas d’effectuer un signalement public et ne permet que de saisir l’Autorité judiciaire, pouvant retarder de plus de trois mois l’alerte du public. Il n’y a enfin aucun moyen de passer outre un signalement interne que le lanceur d’alerte estimerait par avance problématique.

D) Sur la mise en œuvre du signalement

L’article 5 prévoit le signalement et renvoie à l’article 9 pour les conditions d’application. Ledit article 9 prévoit quant à lui qu’un arrêté ministériel détermine les conditions d’application de son alinéa 1 consacré aux procédures destinées à recueillir et transmettre, avec date certaine, le signalement de toute information visée à l’article premier du projet de loi.

Comme indiqué en préambule, l’APDP recommande qu’un lien clair soit établi avec la loi n° 1.565 relative à la protection des données personnelles. Elle rappelle que le traitement des alertes et enquêtes y afférentes conduit à la collecte de telles données et que les principes de la loi doivent s’appliquer, tel que celui de minimisation des données dans la procédure de traitement de l’alerte, etc. (délai, pertinence, confidentialité, accès, transfert, externalisation).

L’arrêté ministériel, ou une modification de l’article 5 ou 9, devrait également permettre de mieux encadrer les différents délais et les modalités d’accusé de réception.

Si, comme évoqué aux autres points de la délibération, le choix de permettre d’effectuer des signalements externes directement auprès d’Autorités est introduit, il conviendra de les définir et de prévoir les canaux de communication possibles entre elles. Sur ce point, l’Autorité relève que le Chapitre III intitulé « Signalements externes et suivi » de la Directive (UE) 2019/1937 fixe les grandes lignes, relatives à l’obligation d’établir des canaux de signalement externe, à la conception de ces canaux ainsi qu’aux informations à fournir concernant la réception des signalements, pour les pays voisins, afin d’assurer un niveau de protection harmonisé au sein de l’Union et considère que Monaco pourrait s’en inspirer.

Enfin, la loi et donc les procédures d’alertes qui en découlent ne devraient pas par principe exclure les signalements anonymes, mais encadrer leur recours.

E) Sur l’information des lanceurs d’alerte

L’APDP constate que le texte projeté ne prévoit aucune disposition relative à l’information des personnes sur les voies pour signaler des faits ou encore pour aiguiller sur les informations susceptibles de rentrer dans le périmètre du texte et qui sont donc couvertes par la protection y afférente.

À cet égard, l’Autorité relève que la Recommandation (2014)7 indique qu’« il devrait être envisagé de donner aux personnes qui prévoient de faire un signalement ou une révélation d’informations d’intérêt général un accès gratuit à des informations et à des conseils confidentiels ». La Recommandation précise à ce sujet que « Les structures existantes en mesure de fournir ces informations et ces conseils devraient être repérées et leurs coordonnées mises à la disposition du grand public ».

De plus, l’APDP constate que le considérant 89 de la Directive (UE) 2019/1937 dispose que les États membres doivent s’assurer « que des informations pertinentes et précises soient fournies » sur les procédures de signalement ainsi que sur le périmètre de la protection « d’une manière claire et facilement accessible au grand public ».

Le même texte indique que « Des conseils individuels, impartiaux, confidentiels et gratuits devraient être disponibles pour permettre de déterminer, par exemple, si les informations en question sont couvertes par les règles applicables en matière de protection des lanceurs d’alerte, quel canal de signalement pourrait être le plus approprié et quelles autres procédures existent dans les cas où les informations ne sont pas couvertes par les règles applicables (« signalisation »). L’accès à de tels conseils peut aider à s’assurer que les signalements suivent les voies appropriées, de manière responsable, et que les violations sont détectées en temps opportun ou même évitées. Ces conseils et ces informations pourraient être délivrées par un centre d’information ou par une autorité administrative unique et indépendante ».

De plus, l’APDP relève que le point a) du chiffre 1 de l’article 20 de la Directive (UE) 2019/1937 dispose que les États membres doivent veiller à ce que les personnes « bénéficient s’il y a lieu, de mesures de soutien » et notamment « a) des informations et des conseils complets et indépendants, qui sont facilement accessibles au public et gratuits, sur les procédures et les recours disponibles, sur la protection contre les représailles, ainsi que les droits de la personne concernée ».

Dès lors, l’Autorité considère qu’une disposition devrait être prévue dans le texte en projet concernant cette obligation d’information et que l’entité chargée d’informer et d’aiguiller devrait être spécifiquement identifiée.

À cet égard, il apparaît à l’APDP que le Haut-Commissaire à la Protection des Droits, des Libertés et à la Médiation pourrait avoir ce rôle et ainsi aiguiller les personnes physiques qui envisagent de signaler ou révéler une information dans le cadre du présent projet. Il dispenserait dès lors des informations sur les étapes de la procédure ainsi que sur l’entrée ou non des informations/faits dans le périmètre du texte.

Toutefois, l’Autorité a relevé à la lecture de la proposition de loi n° 229 qu’une allusion avait été faite au Haut-Commissaire en tant que référent pour les fonctionnaires et les agents de l’État. Néanmoins, ladite proposition indiquait « À ce titre, les rédacteurs de la présente proposition de loi, avaient, en premier lieu, pensé confier cette mission au Haut Commissaire à la Protection des Droits, des Libertés et à la Médiation. Échappant au domaine de compétence du Législateur, les rédacteurs n’ont pu agir en ce sens, dans la mesure où le texte instituant cette fonction n’est pas une loi (ordonnance souveraine n° 4.732 du 21 février 2014). Pour autant, la personne qui aura été destinataire du signalement (supérieur hiérarchique, employeur ou référent) pourra, parallèlement à la saisine du pouvoir judiciaire ou de l’autorité administrative compétente, informer le Haut Commissaire dudit signalement (article 5 alinéa 3) ».

F) Sur les interactions entre le projet de loi et les alertes applicables au secteur financier en application du droit français (et, potentiellement, de secteurs concernés par des dispositions spécifiques relatives aux alertes applicables en Principauté)

L’APDP relève qu’il résulte de l’Accord Monétaire entre la Principauté de Monaco et l’Union européenne que « la Principauté de Monaco applique, en premier lieu, les dispositions du Code monétaire et financier français relatives à l’activité et au contrôle des établissements de crédit ainsi que les textes réglementaires pris pour leur application comme prévu par la convention franco-monégasque relative aux contrôles des changes du 14 avril 1945 et par les échanges de lettres interprétatives subséquents entre le gouvernement de la République française et le gouvernement de Son Altesse Sérénissime le Prince de Monaco du 18 mai 1963, du 10 mai 2001, du 8 novembre 2005 et du 20 octobre 2010 relatifs à la réglementation bancaire et, en second lieu, les dispositions du Code monétaire et financier français relatives à la prévention des risques systémiques dans les systèmes de paiement et les systèmes de règlement et de livraison de titres ». À cet égard, la Directive relative aux lanceurs d’alertes n’est présente ni au sein de l’Annexe A de l’Accord, ni au sein de l’Annexe B. Elle n’a donc pas vocation à trouver une application en Principauté.

Toutefois, l’article 4 de l’échange de lettres entre la Principauté de Monaco et la République française relatif à la réglementation bancaire dans la Principauté de Monaco, dispose que « Demeurent exclues de l’application à Monaco les dispositions, prescriptions et règles ne concernant pas strictement la réglementation et l’organisation spécifiques des établissements visés et notamment celles reprises aux articles L. 511‑39, L. 312‑1 et L. 313‑23 à L. 313‑29‑1 du Code monétaire et financier. Les articles L. 612‑34, L. 612‑39, L. 613‑24, L. 511‑35 et L. 511‑38 du même code s’appliquent en tenant compte des dispositions spécifiques du droit monégasque relatives à l’exercice des fonctions d’administrateur ou de liquidateur de sociétés et de commissaire aux comptes. Les articles L. 500‑1, L. 511‑33 et L. 632‑15 du même code s’appliquent en tenant compte des dispositions propres au droit pénal monégasque et au droit monégasque des sociétés et selon les modalités définies dans l’accord sous forme d’échange de lettres des 6 avril et 10 mai 2001 ». Aussi, bien qu’il y ait l’adverbe notamment devant la liste d’exclusion, l’APDP s’interroge sur l’applicabilité en Principauté des articles L. 511‑41, L. 634‑1 et 2 du Code Monétaire et Financier (CMF), qui prévoient des modalités d’alerte auprès des régulateurs français. En tout état de cause, l’APDP constate que l’Arrêté français du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution est appliqué par les banques, et il prévoit la mise en œuvre de dispositifs de whistleblowing.

Aussi, comme en attestent les autorisations délivrées en la matière par la CCIN aux établissements bancaires, ces derniers accordent une protection étendue des lanceurs d’alerte en appliquant les principes de la loi Sapin 2. Dès lors, avec les dispositions du projet de loi en la matière, qui ont une définition plus restrictive du champ de l’alerte et de la protection associée et doivent devenir la référence en Principauté, existe-t-il un risque d’abaisser le niveau de maturité des alertes dans les établissements bancaires ? Les lanceurs d’alerte sont-ils protégés en Principauté s’ils utilisent les dispositions des articles L511‑41 et L634‑1 du CMF, qui apparaissent dérogatoires au modus operandi du projet de loi ? L’APDP appelle donc l’attention du législateur sur cette situation dans laquelle on ne peut être certain que le principe selon lequel le spécial déroge au général s’applique, et qui peut conduire par le biais du texte monégasque à abaisser la portée de la protection accordée en vertu d’un droit étranger.

G) Sur l’impossibilité de renoncer ou de limiter les droits et recours relatifs au lanceur d’alerte

L’APDP constate que le projet de loi n° 987 ne prévoit pas d’alinéa indiquant que les dispositions relatives à la protection du lanceur d’alerte ne peuvent faire l’objet d’aucune renonciation ou autre limitation.

À ce sujet, elle relève que l’article 12‑1 du Chapitre II intitulé « De la protection des lanceurs d’alerte » de la loi Sapin 2 dispose :

« Les droits relatifs au présent chapitre ne peuvent faire l’objet d’aucune renonciation ni limitation de droit ou de fait d’aucune forme.

Toute stipulation ou tout acte pris en méconnaissance du premier alinéa est nul de plein droit. »

De plus, l’Autorité relève que cette disposition française a été introduite lors de la transposition de la Directive (UE) 2019/1937 et plus précisément de l’article 24 qui dispose que « Les États membres veillent à ce que les droits et recours prévus par la présente directive ne puissent faire l’objet d’une renonciation ni être limités par un quelconque accord ou une quelconque politique, forme d’emploi ou condition de travail, y compris une convention d’arbitrage ». Sur ce point la Directive précise en son considérant 91 que « Les obligations légales ou contractuelles des individus, telles que les clauses de fidélité dans les contrats ou les accords de confidentialité et de non-divulgation, ne devraient pas pouvoir être invoquées pour empêcher d’effectuer des signalements, refuser d’assurer la protection ou pénaliser les auteurs de signalement pour avoir signalé des informations sur des violations ou fait une divulgation publique lorsqu’il était nécessaire, pour révéler la violation, de fournir les informations relevant du champ d’application de ces clauses et accords ».

L’APDP considère dès lors qu’un article devrait prévoir que les droits accordés pour la protection des lanceurs d’alerte ne peuvent faire l’objet d’aucune renonciation ni autre limitation.

Tel est l’avis de l’Autorité de Protection des Données Personnelles

Le Président de l’Autorité

de Protection des Données Personnelles.

Visualiser le journal
au format PDF 1,21 MB
Télécharger le journal
au format PDF 1,21 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14