Procédure de signalement, confidentialité, sanctions : le cadre issu de la loi Sapin II et de la réforme de 2022 impose aux employeurs des obligations précises. Décryptage pour les dirigeants de TPE/PME et les professionnels RH.
Sommaire
Dans une direction des ressources humaines, la protection des lanceurs d’alerte en entreprise fait partie des sujets qui arrivent sans prévenir. Un courriel bref. Un message déposé sur une plateforme interne. Un collaborateur qui demande à échanger en dehors des circuits habituels. À cet instant, l’entreprise entre dans une zone sensible où se croisent conformité réglementaire, confiance managériale et sécurité juridique des décisions.
La protection des lanceurs d’alerte n’est plus un sujet réservé aux grands groupes ou aux directions juridiques. Elle concerne directement les TPE et PME dès lors qu’elles atteignent certains seuils d’effectif. Pour les professionnels RH, la maîtrise de ce cadre est devenue indispensable : une alerte mal reçue, insuffisamment protégée ou traitée sans méthode expose l’employeur à un contentieux prud’homal, à des sanctions pénales ou à une dégradation durable du climat social.
Un cadre juridique stabilisé depuis 2022
En France, le dispositif applicable en mars 2026 repose sur trois textes principaux : la loi n° 2016-1691 du 9 décembre 2016 dite « Sapin II », profondément remaniée par la loi n° 2022-401 du 21 mars 2022 (dite « loi Waserman »), et le décret n° 2022-1284 du 3 octobre 2022 qui fixe les modalités de recueil et de traitement des signalements. Ce socle transpose en droit interne la directive européenne 2019/1937.
Contrairement à ce que certaines publications laissent entendre, aucune réforme législative supplémentaire n’est intervenue en 2025 sur ce sujet. La fiche officielle Service-Public, vérifiée le 23 janvier 2026, renvoie toujours aux mêmes textes. Le cadre est donc stabilisé, mais ses exigences opérationnelles restent souvent sous-estimées par les structures de taille intermédiaire.
Au-delà du respect du cadre légal, le dispositif lanceur d’alerte suppose de sécuriser vos obligations de conformité légale : canal de signalement, confidentialité des échanges, protection contre les représailles et traçabilité du traitement des alertes.
Qui peut être reconnu comme lanceur d’alerte en entreprise ?
La loi définit le lanceur d’alerte comme une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, ou sur une violation ou tentative de dissimulation d’une violation du droit applicable. Lorsque les informations ont été obtenues hors du cadre professionnel, leur auteur doit en avoir eu personnellement connaissance.
Certains secrets demeurent exclus du régime protecteur : secret de la défense nationale, secret médical, secret de l’enquête et de l’instruction judiciaires, secret professionnel de l’avocat.
Le périmètre des personnes protégées dépasse largement le seul salariat. Sont concernés les anciens salariés, les candidats à l’embauche, les actionnaires, les associés, les membres des organes de direction ou de surveillance, les collaborateurs extérieurs, les cocontractants et certains sous-traitants. La loi protège également les « facilitateurs » (personnes physiques ou morales de droit privé à but non lucratif qui aident à effectuer le signalement) ainsi que les proches susceptibles de subir des représailles par ricochet.
Point essentiel pour les RH : le lanceur d’alerte n’a pas à apporter une preuve complète et définitive des faits. Il lui suffit de disposer de motifs raisonnables de croire que les informations sont fondées. Écarter un signalement au seul motif que son auteur n’a pas constitué un dossier probatoire complet serait une erreur juridique.
Signalement interne ou externe : le salarié choisit
C’est l’un des apports majeurs de la réforme de 2022 : le lanceur d’alerte n’est plus tenu de passer d’abord par le canal interne. Il peut adresser un signalement directement à l’autorité compétente, au Défenseur des droits, à l’autorité judiciaire ou à une institution européenne compétente. Le Défenseur des droits conserve un rôle central d’orientation et de protection.
Pour l’entreprise, cette évolution change la donne. Un canal interne peu lisible ou insuffisamment crédible ne sera pas seulement inefficace : il encouragera le contournement au profit d’une saisine externe immédiate. Investir dans la qualité du dispositif interne relève donc autant de la prévention que de la conformité.
La divulgation publique reste quant à elle soumise à des conditions plus restrictives, notamment en l’absence de réponse appropriée à un signalement externe dans les délais prévus, en cas de danger grave et imminent, de risque de représailles ou d’inefficacité manifeste du canal externe.
Ce que l’employeur doit mettre en place
À partir de 50 salariés, l’établissement d’une procédure interne de recueil et de traitement des signalements constitue une obligation légale. Cette procédure doit être mise en place après consultation du CSE et portée à la connaissance des salariés par tout moyen approprié. En dessous de ce seuil, en l’absence de procédure formalisée, le signalement peut être adressé au supérieur hiérarchique, à l’employeur ou à un référent désigné.
Dans les entreprises tenues d’établir un règlement intérieur, celui-ci doit rappeler l’existence du dispositif de protection des lanceurs d’alerte en entreprise (article L.1321-2 du Code du travail, version applicable depuis le 1er septembre 2022). Ce point est régulièrement négligé lors des audits de conformité. Pour sécuriser vos pratiques, RÉMA CONSEIL propose une formation sur les obligations de l’employeur permettant de mettre en conformité vos documents internes.
Sur le plan opérationnel, le décret du 3 octobre 2022 impose un cadre précis. Le canal interne doit permettre un signalement écrit ou oral. Lorsque l’oral est prévu, il peut se faire par téléphone, messagerie vocale, visioconférence ou rencontre physique, laquelle doit être organisée dans un délai maximal de vingt jours ouvrés. L’auteur du signalement doit recevoir un accusé de réception dans les sept jours ouvrés, puis une information sur les suites envisagées dans un délai raisonnable n’excédant pas trois mois.
Les entreprises de moins de 250 salariés peuvent mutualiser leur procédure. Cette faculté est utile pour les PME, à condition que la gouvernance reste lisible et que la confidentialité soit effectivement préservée.
Confidentialité et protection des données
La confidentialité constitue le pilier du dispositif. Les procédures doivent garantir une stricte confidentialité de l’identité de l’auteur du signalement, des personnes visées, des tiers mentionnés et des informations recueillies. Les éléments permettant d’identifier le lanceur d’alerte ne peuvent être divulgués sans son consentement, sauf transmission à l’autorité judiciaire dans les cas prévus par la loi. L’identité de la personne mise en cause ne peut être révélée, hors autorité judiciaire, qu’une fois le caractère fondé de l’alerte établi.
La violation de cette confidentialité est punie de deux ans d’emprisonnement et de 30 000 euros d’amende.
À cette exigence s’ajoute la conformité RGPD. La CNIL met à disposition un référentiel dédié aux alertes professionnelles qui encadre les accès, la conservation des données et la gouvernance du traitement. Pour une fonction RH, cela signifie qu’un canal d’alerte doit être conçu avec le DPO ou, à tout le moins, validé dans un cadre de conformité documenté.
En pratique, le danger ne réside pas toujours dans une volonté délibérée de nuire. Il provient plus souvent d’une banalisation des échanges autour d’un dossier sensible : transmissions informelles, accès au dossier insuffisamment restreints, enquêtes internes dans lesquelles l’information circule trop largement. La discipline organisationnelle doit être pensée dès la conception du dispositif.
Protection contre les représailles : ce que dit la loi
Le droit interdit expressément les mesures de rétorsion prises à raison d’un signalement protégé. La liste légale est étendue : licenciement, mise à pied, rétrogradation, refus de promotion, mutation défavorable, réduction de rémunération, modification des horaires, suspension de la formation, évaluation négative, sanction disciplinaire, intimidation, harcèlement, atteinte à la réputation, pertes financières, résiliation d’un contrat commercial, retrait d’autorisation ou orientation abusive vers un traitement médical. Tout acte pris en violation de cette protection est nul de plein droit.
En contentieux, le régime probatoire est favorable au salarié. Dès lors qu’il présente des éléments laissant supposer qu’il a agi dans le cadre légal, il revient à l’employeur de démontrer que sa décision repose sur des motifs objectifs étrangers à l’alerte. Le juge peut accorder une provision pour frais de procédure ou pour subsides lorsque la situation financière du demandeur s’est gravement dégradée.
Les sanctions pénales complètent le dispositif. Faire obstacle à la transmission d’un signalement est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Engager une procédure abusive ou dilatoire contre un lanceur d’alerte expose à une amende civile pouvant atteindre 60 000 euros.
Quelles conséquences pour votre stratégie RH ?
Au-delà de la conformité, l’enjeu en 2026 est de former l’encadrement à la détection des signaux faibles. Il est fréquent qu’un salarié exprime une alerte de manière informelle : savoir l’identifier et la traiter selon le formalisme de la loi Waserman est crucial pour éviter tout risque de nullité des procédures ou de poursuites pour entrave.
En installant un canal interne sécurisé et impartial, l’employeur garde la maîtrise de l’information. Cela permet de résoudre un dysfonctionnement en interne avant qu’il ne s’ébruite à l’extérieur, vers les autorités ou la presse, protégeant ainsi durablement la réputation de l’entreprise.
Les réflexes à adopter pour une DRH de TPE/PME
Un dispositif d’alerte ne se résume jamais à un formulaire sur l’intranet ou à une adresse électronique générique. Sa crédibilité dépend de la qualité de son pilotage quotidien.
Distinguer l’alerte d’un conflit individuel sans pour autant minimiser le signalement reçu. Le premier réflexe consiste à apprécier si les faits rapportés entrent dans le champ de la loi, sans porter de jugement prématuré sur leur fondement.
Confier le traitement à des interlocuteurs identifiés, formés et capables d’agir avec impartialité. L’articulation entre RH, direction juridique, management et DPO doit être clarifiée en amont, pas improvisée au moment de la réception.
Respecter scrupuleusement les délais : accusé de réception sous sept jours ouvrés, information sur les suites sous trois mois. Ces jalons procéduraux ne sont pas des recommandations mais des obligations réglementaires.
Documenter chaque décision concernant la carrière, la rémunération, l’affectation ou la discipline d’une personne protégée. En cas de litige, la charge de la preuve incombe à l’employeur : il devra démontrer que sa décision reposait sur des éléments objectifs étrangers à l’alerte.
Lorsque l’entreprise ne dispose pas d’une fonction RH structurée ou d’un appui juridique interne, il peut être utile de structurer la fonction RH dans une TPE ou PME afin de sécuriser le traitement des alertes, la traçabilité des décisions et la conformité des documents internes.
Au fond, la maturité d’une organisation sur ce sujet se mesure à une question simple : cherche-t-elle d’abord à savoir qui a parlé, ou à vérifier ce qui doit être corrigé ? C’est souvent là que se joue la différence entre une politique d’alerte de façade et une véritable culture de prévention.
Passez à l’action
Votre dispositif d’alerte est-il conforme aux exigences légales ?
Diagnostic gratuit de 30 minutes pour évaluer votre conformité et identifier les points de vigilance.
Sans engagement · Réponse sous 24h · 100% confidentiel
FAQ – Questions fréquentes sur les lanceurs d’alerte en entreprise
Les entreprises de moins de 50 salariés sont-elles concernées par la protection des lanceurs d’alerte en entreprise ?
Oui. L’obligation de mettre en place une procédure formalisée de recueil des signalements ne s’applique qu’à partir de 50 salariés. En revanche, la protection du lanceur d’alerte (interdiction des représailles, confidentialité, irresponsabilité pénale) s’applique quel que soit l’effectif. En l’absence de procédure interne, le signalement peut être adressé au supérieur hiérarchique, à l’employeur ou directement à une autorité externe.
Le lanceur d’alerte doit-il prouver les faits qu’il signale ?
Non. La loi n’exige pas une démonstration complète au moment du signalement. Le lanceur d’alerte doit disposer de motifs raisonnables de croire que les informations sont fondées et nécessaires à la sauvegarde des intérêts en cause. La bonne foi est le critère déterminant, pas la constitution préalable d’un dossier de preuve.
Quelles sanctions l’employeur encourt-il en cas d’entrave ou de représailles ?
Faire obstacle à un signalement est puni d’un an d’emprisonnement et de 15 000 euros d’amende. La violation de la confidentialité est punie de deux ans d’emprisonnement et de 30 000 euros d’amende. En cas de procédure abusive dirigée contre un lanceur d’alerte, l’amende civile peut atteindre 60 000 euros. Tout acte de représailles est nul de plein droit.
Est-il obligatoire de désigner un référent lanceur d’alerte ?
La loi n’impose pas nommément la désignation d’un « référent » mais elle oblige l’employeur à établir une procédure de recueil des signalements incluant un canal de réception clair. En pratique, désigner une personne ou un service compétent (RH, juriste ou prestataire externe) est fortement recommandé pour garantir la confidentialité et le traitement de l’alerte dans les délais légaux. Cette désignation permet de sécuriser la procédure et de prouver la bonne foi de l’entreprise en cas de contrôle.
Quels délais respecter après la réception d’un signalement interne ?
La procédure interne doit prévoir un accusé de réception du signalement dans un délai de 7 jours ouvrés. L’auteur du signalement doit ensuite être informé par écrit, dans un délai raisonnable n’excédant pas 3 mois à compter de cet accusé de réception, des mesures envisagées ou prises pour évaluer l’exactitude des faits et remédier, le cas échéant, à l’objet du signalement. Ces délais imposent à l’employeur d’organiser à l’avance le circuit de traitement des alertes.