À ce jour, aucune législation belge n’institue un système de protection des lanceurs d’alerte dans le secteur privé (1). Seuls les fonctionnaires fédéraux et de l’autorité flamande sont protégés. Ce vide législatif préjudicie évidemment les lanceurs d’alerte, mais également les entreprises, effrayées par ce phénomène grandissant.
En l’absence de disposition légale spécifique, la liberté d’expression du travailleur est mise en balance avec le devoir de loyauté envers l’employeur. En Belgique, différents cas de lanceurs d’alerte ont déjà été soumis aux tribunaux. Les décisions judiciaires prononcées suivent globalement la tendance sociétale et légitiment le comportement du lanceur d’alerte de bonne foi (2). La Cour européenne des droits de l’homme a déjà été saisie plusieurs fois de cette question et a dégagé des critères pour déterminer si l’atteinte à la liberté d’expression du lanceur d’alerte (par son employeur ou suite à des poursuites pénales) est justifiée.
Ces critères sont:
- la possibilité de signaler les mauvaises pratiques en interne
- l’intérêt pour la société de prendre connaissance de l’alerte
- l’exactitude, l’authenticité et la fiabilité des informations divulguées
- les motifs du lanceurs d’alerte (la recherche d’un intérêt personnel ou le fait d’agir en raison de griefs personnels ne justifient pas la protection du « lanceur d’alerte »)
- la sanction infligée (et le risque qu’elle dissuade d’autres lanceurs d’alerte potentiels)
- et enfin le préjudice subi par l’employeur.
Une jurisprudence qui évolue
Les entreprises sont de plus en plus nombreuses à penser qu’il est de leur intérêt de veiller à ce que ces lanceurs d’alerte puissent trouver une oreille attentive en interne
Cette jurisprudence supranationale ne prémunit toutefois pas les lanceurs d’alerte contre les poursuites et les licenciements, comme l’a encore démontré la condamnation à des peines de prison avec sursis des lanceurs d’alerte impliqués dans l’affaire LuxLeaks (3). Le 30 juin 2016, soit le lendemain de la décision du Tribunal d’arrondissement de Luxembourg qui a défrayé la chronique, la Cour de cassation française a quant à elle prononcé un arrêt de principe en faveur d’un lanceur d’alerte. Elle y a indiqué que le licenciement du lanceur d’alerte de bonne foi contrevient à sa liberté d’expression et doit être annulé lorsque les faits dénoncés – s’ils sont établis – constituent des infractions pénales. La portée de cette décision est soulignée par la Cour elle-même, qui précise qu’elle « instaure cette immunité non seulement lorsque les faits illicites sont portés à la connaissance du procureur de la République mais également, de façon plus générale, dès lors qu’ils sont dénoncés à des tiers ». La France a depuis lors, le 9 décembre 2016, promulgué une loi relative à la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite « loi Sapin 2 », qui protège les lanceurs d’alertes, qu’elle définit comme ceux qui « révèlent ou signalent, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance« . La Commission européenne a quant à elle lancé une consultation publique à ce sujet le 3 mars 2017 (4).
Le cas soumis à la cour suprême française était certes moins médiatique que l’affaire LuxLeaks, il portait sur des questions de droit social entre l’employeur et le lanceur d’alerte et non sur des poursuites pénales à l’encontre de ce dernier. Enfin, l’objet de l’alerte constituait, dans le cas français, une infraction pénale, tandis que les pratiques fiscales luxembourgeoises objets du LuxLeaks sont moralement douteuses, mais légales. Ces décisions françaises et luxembourgeoises ne sont donc pas inconciliables, mais l’on ne peut toutefois s’empêcher de relever le sort très différent réservé à ces lanceurs d’alerte, pourtant animés des mêmes motivations, à un jour d’intervalle, et constater l’insécurité juridique qui en découle.
Quelle position pour les entreprises?
Face au vide juridique actuel en Belgique et à la multiplication des divulgations ces dernières années, les entreprises sont de plus en plus nombreuses à penser qu’il est de leur intérêt de veiller à ce que ces lanceurs d’alerte puissent trouver une oreille attentive en interne et qu’ils ne soient pas contraints de se tourner vers le grand public. Elles mettent alors en place, en leur sein, un cadre dans lequel des dysfonctionnements peuvent être dénoncés.
Ces dispositifs d’alerte posent toutefois des questions de droit social et de protection des données à caractère personnel, que ce soient celles du lanceur d’alerte ou de la personne mise en cause (5). Si ces aspects ne sont pas pris en compte, l’entreprise ne sera peut-être pas en mesure d’utiliser les informations obtenues par ce biais, mais elle commettra également des infractions à la législation protectrice de la vie privée. Or, avec l’entrée en vigueur, le 25 mai 2018, du Règlement européen sur la protection des données, ces infractions engendreront des amendes administratives pouvant aller jusqu’à 20.000.000 € ou 4% du chiffre d’affaires annuel mondial du groupe dont fait partie la société en infraction… Les entreprises ont donc tout intérêt à évaluer l’opportunité de mettre en place de tels systèmes d’alertes, tout en veillant à leur conformité avec le droit social et le droit des données à caractère personnel.
(1) Une proposition de résolution a uniquement été déposée devant le Parlement bruxellois.
(2) Pour un examen de cette jurisprudence: F. Coton, J-F. Henrotte, « Le lanceur d’alerte: une personne concernée par le traitement de ses données à caractère personnel, mais également par son avenir professionnel… », R.D.T.I., 2015/4, n° 61, p. 43-78.
(3) Tribunal d’arrondissement de Luxembourg le 29 juin 2016, partiellement réformé par la Cour d’appel du Grand-Duché de Luxembourg le 15 mars 2017.
(4) Coton, Henrotte, Ibidem.
(5) Plus d’infos sur http://eur-lex.europa.eu Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.