Directive (UE) 2019/1937 : des canaux de signalement conformes et multilingues
La directive (UE) 2019/1937 a transformé le signalement interne d'un simple bon usage en obligation légale dans toute l'UE. Ce guide détaille ce qu'un canal de signalement conforme doit garantir — accusé de réception sous 7 jours, retour sous 3 mois, confidentialité, suivi impartial — pourquoi le support multilingue n'est pas optionnel pour une main-d'œuvre internationale, où se situent les groupes suisses, et pourquoi le chiffrement de bout en bout fonde la confiance des lanceurs d'alerte.
Pendant des années, une ligne de signalement interne était quelque chose qu'une organisation bien gérée mettait en place par bon usage. La directive (UE) 2019/1937 — la directive européenne sur les lanceurs d'alerte — a changé cela. Dans toute l'Union européenne, c'est désormais une obligation légale : les organisations au-dessus de seuils définis doivent exploiter un canal de signalement interne conforme à des exigences précises et opposables. Les délais de transposition sont passés. C'est du droit en vigueur dans chaque État membre, pas un projet d'avenir.
Ce guide s'adresse aux personnes qui doivent rendre ce canal réel : responsables conformité, juristes, directions RH, audit interne, médiateurs — et les profils IT ou sécurité chargés de choisir l'outil de réception. Il explique ce que la directive exige, où se trouvent les failles de conformité courantes, pourquoi une main-d'œuvre internationale change la conception, où se situent les groupes suisses bien que la Suisse ne soit pas dans l'UE, et pourquoi les propriétés de chiffrement du canal lui-même décident si quiconque lui fait assez confiance pour l'utiliser.
À qui s'adresse cet article
Responsables conformité et éthique, juristes, RH et représentants du personnel, audit interne et équipes risques, ainsi que les collègues sécurité ou IT qui évaluent les outils de réception des signalements — dans des organisations opérant dans l'UE, en Suisse ou dans les deux.
Ce qu'exige la directive (UE) 2019/1937
La directive (UE) 2019/1937 sur la protection des personnes qui signalent des violations du droit de l'Union est entrée en vigueur en décembre 2019. Les États membres devaient la transposer en droit national avant décembre 2021, avec un délai ultérieur fixé à décembre 2023 pour les entreprises privées de la tranche de 50 à 249 travailleurs. Ces deux délais sont derrière nous : les obligations s'appliquent donc en pratique dans toute l'Union — mises en œuvre via la transposition nationale propre à chaque État membre, et c'est précisément là que les détails peuvent diverger.
L'obligation d'exploiter un canal de signalement interne s'applique, pour l'essentiel, à :
- Les personnes morales du secteur privé comptant 50 travailleurs ou plus
- Les entités du secteur public et les communes de plus de 10 000 habitants (les États membres peuvent ajuster le seuil communal)
- Les entités des services financiers, de la lutte contre le blanchiment et de certains autres domaines réglementés — quel que soit l'effectif
C'est dans la transposition nationale que se loge le détail
La directive fixe un plancher, pas un plafond. Chaque État membre l'a transposée dans sa propre loi, et ces lois varient — sur l'obligation ou non d'accepter les signalements anonymes, sur les sanctions, sur le partage de canal pour les entreprises de taille moyenne, et sur les seuils exacts. Lisez le droit du pays dont les travailleurs signalent, pas seulement la directive elle-même.
La directive échelonne le signalement en trois niveaux : canaux internes exploités par l'organisation, canaux externes exploités par les autorités compétentes, et divulgation publique en dernier recours avec ses propres conditions. Ce guide se concentre sur le premier niveau — le canal interne — car c'est celui que chaque organisation doit construire et exploiter elle-même.
Ce qui constitue un canal de signalement interne conforme
Un canal interne n'est pas une simple boîte aux lettres. La directive y attache des devoirs concrets et assortis de délais. Les exigences centrales qu'une organisation doit satisfaire sont :
| Exigence | Ce que cela signifie en pratique |
|---|---|
| Confidentialité de l'identité | Le canal doit protéger l'identité du lanceur d'alerte et de toute tierce personne nommée, et restreindre l'accès au seul personnel autorisé. |
| Conception sécurisée | Le canal doit être conçu, établi et exploité de manière à empêcher tout accès non autorisé aux informations qu'il transporte. |
| Accusé de réception sous 7 jours | La réception d'un signalement doit être accusée au lanceur d'alerte dans les sept jours suivant cette réception. |
| Suivi impartial | Une personne ou un service impartial doit être désigné pour traiter les signalements, assurer un suivi diligent et maintenir la communication avec le lanceur d'alerte. |
| Retour sous 3 mois | Le lanceur d'alerte doit recevoir un retour dans un délai raisonnable n'excédant pas trois mois à compter de l'accusé de réception. |
| Canaux écrits et/ou oraux | Les signalements peuvent être déposés par écrit, oralement, ou les deux ; à l'oral par téléphone ou, sur demande, lors d'une rencontre physique. |
| Tenue de registre | Les signalements doivent être documentés et conservés dans le respect de la confidentialité et de la protection des données. |
| Conformité à la protection des données | Le traitement des données personnelles dans le canal doit respecter le RGPD, y compris la minimisation des données et une base légale. |
| Protection contre les représailles | Les lanceurs d'alerte agissant de bonne foi doivent être protégés contre le licenciement, la rétrogradation et d'autres représailles. |
Un outil est la couche de réception, pas l'obligation entière
Un logiciel peut fournir la réception sécurisée et confidentielle et aider à suivre les délais. Il ne peut pas, à lui seul, désigner un traitant impartial, rédiger votre politique ou mener l'enquête. Le canal conforme est la combinaison d'une réception sécurisée et du processus organisationnel qui l'entoure.
Confidentiel n'est pas synonyme d'anonyme
La directive est précise ici, et il vaut la peine de l'être aussi. Elle exige la confidentialité : l'identité du lanceur d'alerte doit être protégée et ne pas être divulguée au-delà des personnes autorisées qui traitent le signalement. Elle n'impose pas, de manière générale, que les organisations acceptent des signalements entièrement anonymes. La question de savoir si le signalement anonyme doit être accepté est laissée à chaque État membre — et les transpositions nationales diffèrent réellement. Certaines l'imposent, d'autres le laissent optionnel, d'autres l'encouragent sans l'exiger.
Ce sont deux propriétés distinctes. Un signalement confidentiel porte l'identité du lanceur d'alerte, mais le canal promet de la protéger. Un signalement anonyme ne porte aucune identité au départ. Les confondre mène à des canaux qui trahissent discrètement leur propre promesse.
Là où une promesse de confidentialité se brise silencieusement
Un canal peut ne collecter aucun nom et exposer pourtant le lanceur d'alerte. Logs IP chez le fournisseur de formulaires ou son CDN, analytique d'empreinte de navigateur sur la page de réception, login SSO devant le formulaire, service d'e-mail qui horodate et journalise les IP source — chacun peut réattacher une identité que le lanceur d'alerte croyait protégée. Une promesse de confidentialité qui ne tient qu'au champ du formulaire, et pas à travers les métadonnées et traceurs autour, n'est pas une promesse de confidentialité.
Le constat pratique : confirmez d'abord le droit applicable à vos lanceurs d'alerte, puis concevez le canal de sorte que le mode offert — confidentiel, anonyme ou les deux — soit réellement livré de bout en bout. Une page de canal truffée de traceurs tiers et de logs IP persistants ne peut pas porter honnêtement une revendication d'anonymat, et affaiblit aussi une revendication de confidentialité.
L'exigence multilingue en pratique
La directive exige que les canaux internes soient accessibles et utilisables par les personnes habilitées à signaler. Pour une main-d'œuvre internationale, cette exigence a une conséquence pratique incontournable : un canal publié uniquement dans la langue du siège n'est pas vraiment utilisable par tous ceux qu'il est censé protéger. Une magasinière qui signale un manquement de sécurité, un ouvrier témoin d'une faute, une employée du back-office qui repère une fraude — ils signaleront dans la langue qu'ils pensent et parlent réellement, ou ils ne signaleront pas du tout.
Un canal de signalement que personne ne peut utiliser dans sa propre langue manque sa raison d'être bien avant qu'un délai ne soit dépassé. Les signalements n'arrivent simplement jamais. Pour les organisations dont les collaborateurs sont répartis sur plusieurs pays, la réception multilingue n'est pas un élément de finition ; c'est la différence entre un canal qui fait remonter les problèmes et un canal qui crée un faux sentiment de conformité pendant que les problèmes restent enfouis.
Un canal de signalement n'est efficace que dans une langue à laquelle le lanceur d'alerte fait assez confiance pour y écrire sa vérité. Tout le reste n'est que paperasse.
La Suisse illustre le propos de façon frappante, avant même qu'une obligation européenne n'entre en scène. Un employeur suisse avec du personnel germanophone, francophone et italophone — plus l'anglais comme langue commune des affaires — vit déjà la réalité des quatre langues que les multinationales rencontrent au-delà des frontières. Un canal qui fonctionne à Berne mais pas à Lausanne ou à Lugano serait manifestement inadéquat. La même logique s'étend directement à une main-d'œuvre répartie entre États membres.
L'angle suisse : hors de l'UE, pas hors de l'obligation
La Suisse n'est pas membre de l'Union européenne et ne dispose pas de loi générale équivalente de protection des lanceurs d'alerte. Une tentative, en 2020, d'introduire des dispositions dédiées dans le Code des obligations a été rejetée par le parlement. Lue étroitement, une entreprise purement suisse n'est pas directement liée par la directive (UE) 2019/1937.
Lue de façon réaliste, beaucoup d'organisations suisses se retrouvent néanmoins dans le champ :
- Les entreprises suisses ayant des filiales, succursales ou activités dans des États membres de l'UE relèvent de la transposition nationale de ces États pour les entités qui y sont situées
- Les groupes établis en Suisse mais opérant dans toute l'UE ont souvent besoin de dispositifs de signalement à l'échelle du groupe qui satisfont au droit des États membres où travaillent leurs équipes
- Les entités de services financiers font face, indépendamment des frontières, à des attentes de confidentialité et de signalement qui convergent avec la directive
- Les attentes des investisseurs, des achats et de l'ESG poussent de plus en plus les entreprises suisses à adopter le standard européen au titre d'une bonne gouvernance
Il existe aussi une dimension suisse positive. Pour des signalements internes sensibles — surtout ceux qui peuvent concerner des collègues, des dirigeants ou des sujets transfrontaliers — la Suisse est un lieu d'hébergement neutre et souverain, hors de la juridiction tant de l'UE que des États-Unis. Garder la réception chiffrée sur une infrastructure suisse réduit la surface d'accès légal par rapport à un acheminement via des fournisseurs basés aux États-Unis, et s'accorde naturellement avec la posture de protection des données de la nLPD suisse.
Canaux à l'échelle du groupe, détails de droit local
Si votre groupe couvre la Suisse et plusieurs États de l'UE, la question de conception n'est pas « UE ou non », mais « quel droit transposé de quel État membre régit quelle population de lanceurs d'alerte, et notre canal de groupe satisfait-il chacun d'eux ». Un canal multilingue unique et bien conçu peut servir tout le groupe pendant que le conseil local confirme le détail par pays.
Pourquoi le chiffrement de bout en bout compte pour la confiance des lanceurs d'alerte
Tout canal de signalement insère une tierce partie entre le lanceur d'alerte et le traitant : l'outil qui transporte le signalement. Cet outil est une surface de menace. Si le fournisseur du canal peut lire les soumissions, la confidentialité de chaque signalement dépend de la discipline de son personnel, de ses contrôles d'accès, de son historique de violations et des ordres légaux qu'il pourrait recevoir — rien de tout cela que le lanceur d'alerte ne peut voir ou vérifier.
Considérez les scénarios qui retiennent un lanceur d'alerte de cliquer sur envoyer, et ce que chacun donne avec un outil classique face à un outil doté d'un chiffrement de bout en bout à connaissance nulle :
| Scénario | Outil de réception classique | Canal E2EE à connaissance nulle |
|---|---|---|
| Curiosité ou contrainte du personnel du fournisseur | Le personnel avec accès production peut lire le contenu | Le fournisseur ne détient que du chiffré ; le personnel ne peut pas le lire |
| Injonction ou ordonnance signifiée au fournisseur | Des signalements en clair peuvent être produits | Seul du chiffré existe ; inutile sans la clé du propriétaire |
| Violation ou mauvaise configuration chez le fournisseur | Signalements et identités lisibles exposés | Chiffré exposé ; contenu et identité restent illisibles |
| Administrateur IT interne avec accès infrastructure | Peut atteindre le contenu des signalements stockés | Ne voit que des blobs chiffrés ; ne peut pas déchiffrer |
Avec un chiffrement de bout en bout à connaissance nulle, le signalement est chiffré dans le navigateur du lanceur d'alerte avant de quitter son appareil, et seuls les traitants désignés — détenteurs d'une clé que le fournisseur ne voit jamais — peuvent le déchiffrer. L'opérateur ne peut pas exposer ce qu'il ne peut pas lire. C'est la réponse la plus forte possible à la question que tout lanceur d'alerte se pose implicitement : qui d'autre peut voir ceci ?
Confidentialité dès la conception, pas par promesse
La directive attend que les canaux soient conçus et exploités de sorte que l'identité du lanceur d'alerte soit protégée. Une garantie cryptographique que le fournisseur du canal ne peut pas lire les soumissions est un moyen solide et démontrable de répondre à cette attente de conception — une confidentialité imposée par les mathématiques plutôt que par la confiance dans le bon comportement d'un fournisseur.
Mettre en place un canal conforme — étape par étape
Un canal conforme est un processus, pas seulement un logiciel. L'outil de réception est une composante ; les étapes ci-dessous montrent où il s'insère et ce que l'organisation doit continuer d'assumer autour.
Définir le périmètre et les langues
Décidez quelles violations le canal couvre, quel droit d'État membre s'applique à quelle population de lanceurs d'alerte, et quelles langues votre personnel parle réellement. Prévoyez la réception multilingue dès le départ, pas après coup.
Choisir une réception sécurisée
Sélectionnez un canal de réception qui protège l'identité du lanceur d'alerte dès la conception — idéalement avec un chiffrement de bout en bout pour que le fournisseur ne puisse pas lire les signalements — publié sur une URL stable et accessible et exempt de traceurs tiers.
Publier une politique de signalement claire
Dites aux collaborateurs à quoi sert le canal, comment l'utiliser, quelle confidentialité et (si offert) quel anonymat ils peuvent attendre, et quelle protection contre les représailles s'applique. Liez-la depuis l'intranet, le manuel et l'onboarding.
Former les traitants désignés
Désignez une personne ou un service impartial et formez-les à la confidentialité, aux délais, à la gestion des conflits d'intérêts et à la documentation. Ce sont eux — pas le fournisseur IT — qui sont autorisés à lire les signalements.
Accuser réception sous 7 jours
Construisez un processus qui confirme la réception au lanceur d'alerte sous sept jours, y compris pour les signalements anonymes dotés d'un canal de réponse (par exemple un code de référence que la personne peut consulter).
Enquêter de manière impartiale
Assurez un suivi diligent, gérez les conflits d'intérêts, tenez le lanceur d'alerte informé lorsque c'est possible et impliquez les bonnes fonctions (juridique, RH, audit) sous accès contrôlé.
Donner un retour sous 3 mois
Fournissez au lanceur d'alerte un retour sur les mesures envisagées ou prises dans un délai raisonnable n'excédant pas trois mois à compter de l'accusé de réception.
Documenter et conserver
Consignez les signalements et leur traitement, appliquez un calendrier de conservation conforme à la confidentialité et au RGPD/nLPD, et soyez prêt à démontrer que le canal fonctionne si un régulateur le demande.
Comment Schweizerform s'intègre
Schweizerform est un constructeur de formulaires chiffré de bout en bout à connaissance nulle, hébergé exclusivement en Suisse. Pour un canal de signalement interne, il fournit la couche de réception multilingue sécurisée dont dépendent plusieurs des exigences ci-dessus :
- Formulaires de signalement multilingues en EN / DE / FR / IT — le même canal utilisable par une main-d'œuvre qui ne partage pas une langue unique
- Chiffrement de bout en bout à connaissance nulle sur chaque soumission — les signalements sont chiffrés dans le navigateur du lanceur d'alerte, et Schweizerform ne stocke que du chiffré qu'il ne peut pas lire
- Preuves jointes chiffrées — documents, captures et enregistrements (jusqu'à 25 Mo par fichier) sont chiffrés dans le navigateur avant de quitter l'appareil
- Aucun traceur tiers sur la page du formulaire et analytique de première partie uniquement — la page de réception ne fait pas fuir discrètement l'identité par l'analytique ou l'empreinte de navigateur
- Formulaires protégés par mot de passe et codes d'accès par formulaire, limités aux traitants désignés — le cercle pouvant déchiffrer est strictement restreint
- Hébergement suisse chez Infomaniak, sans fournisseur américain ou européen dans le chemin de données de la charge utile des réponses, aligné sur la nLPD suisse et un traitement conforme au RGPD
Note de périmètre honnête
Schweizerform est la couche de réception sécurisée, pas une suite complète de gestion de cas ou de whistleblowing. Il ne désigne pas votre traitant impartial, ne mène pas votre enquête et ne suit pas à votre place vos délais de 7 jours et de 3 mois. Ces étapes — le processus autour du canal — complètent le tableau de la conformité et restent du ressort de votre organisation. La page de cas d'usage « Formulaires RH & lanceurs d'alerte » du site approfondit ce rôle de réception.
Autrement dit : Schweizerform répond à la part de la directive qui est véritablement un problème technologique — une réception sécurisée, confidentielle et multilingue que le fournisseur ne peut pas lire — et laisse le processus organisationnel là où est sa place : chez vous.
En résumé
La directive (UE) 2019/1937 a fait d'un canal de signalement interne une obligation légale, et les délais de transposition sont derrière nous. Un canal conforme protège l'identité de façon confidentielle, accuse réception sous sept jours, assure un suivi impartial, donne un retour sous trois mois, tient des registres et respecte le droit de la protection des données. Pour une main-d'œuvre internationale ou multilingue, il doit en outre être réellement utilisable dans les langues que parlent les gens — et pour les groupes suisses ayant des activités dans l'UE, il doit satisfaire au droit de l'État membre là où travaillent leurs équipes.
La question technologique au cœur de tout cela est étroite et a une réponse : le canal peut-il garantir que seuls vos traitants désignés — et non le fournisseur de l'outil — peuvent lire ce que soumettent les lanceurs d'alerte ? Un chiffrement de bout en bout à connaissance nulle, une réception multilingue et un hébergement suisse transforment cette question en un oui assuré, et laissent votre processus de conformité faire le reste.
Schweizerform fournit la couche de réception sécurisée, multilingue et chiffrée de bout en bout pour un canal de signalement interne — hébergement suisse, aucun traceur tiers, support complet EN / DE / FR / IT, et aucune carte de crédit requise sur le palier gratuit.
Avertissement : cet article est une information générale et un contenu marketing, et non un conseil juridique ou de conformité. Les références à la directive (UE) 2019/1937, à ses transpositions nationales, au RGPD, à la nLPD suisse et au Code des obligations suisse sont résumées à un niveau conceptuel et sont sujettes à la mise en œuvre nationale, à l'interprétation juridictionnelle et à de futures évolutions législatives — y compris l'obligation ou non d'accepter le signalement anonyme, ainsi que les seuils, délais et sanctions exacts, qui varient selon l'État membre. La responsabilité d'un canal de signalement conforme — désignation d'un traitant impartial, respect des délais d'accusé de réception et de retour, documentation et mesures contre les représailles — incombe à l'organisation. Consultez un conseil européen/national et suisse qualifié ainsi qu'un spécialiste de la protection des données avant toute décision de conformité ou d'achat.