Peut-on introduire un canal d’alerte commun à plusieurs entités d’un groupe ?

Réponse courte

Oui, il est possible d’introduire un canal d’alerte commun à plusieurs entités d’un groupe au Luxembourg. La loi du 16 mai 2023 autorise expressément cette mutualisation, à condition que chaque entité dispose formellement de sa propre procédure interne de recueil et de traitement des signalements et respecte individuellement toutes les obligations légales.

Chaque entité reste responsable de la confidentialité, de la protection contre les représailles, du traitement diligent des alertes et du respect des droits des personnes concernées. Le canal commun doit garantir l’égalité de traitement, la traçabilité des signalements et la conformité avec la réglementation sur la protection des données.

Définition

Un canal d’alerte commun à plusieurs entités d’un groupe désigne un dispositif interne unique permettant aux salariés, collaborateurs externes ou parties prenantes de différentes sociétés d’un même groupe, établies au Luxembourg, de signaler des faits relevant du champ de la loi du 16 mai 2023 relative à la protection des personnes qui signalent des violations du droit national. Ce canal mutualisé centralise la réception et le traitement des alertes pour l’ensemble ou une partie des entités concernées.

Ce dispositif vise à rationaliser la gestion des signalements tout en assurant la conformité avec les exigences légales en matière de confidentialité, de protection des lanceurs d’alerte et de respect des droits des personnes concernées.

Conditions d’exercice

La loi du 16 mai 2023, à son article 12, paragraphe 2, autorise expressément la mise en place d’un canal d’alerte commun pour plusieurs entités juridiques d’un même groupe, à condition que chaque entité remplisse individuellement l’obligation de disposer d’une procédure interne de recueil et de traitement des signalements.

Chaque entité demeure responsable du respect des obligations légales, notamment en matière de confidentialité, de protection contre les représailles, de traitement diligent des signalements et de respect des droits des personnes mises en cause. L’égalité de traitement des salariés et la traçabilité des signalements doivent être garanties.

Le recours à un canal commun est obligatoire pour les entités du secteur privé employant au moins 50 salariés, mais il peut également être mis en place sur base volontaire pour les entités de moins de 50 salariés, sous réserve du respect des exigences légales. L’indépendance, l’impartialité et la compétence des personnes chargées du traitement des alertes doivent être assurées.

Modalités pratiques

La mise en place d’un canal d’alerte commun requiert une décision formelle de chaque entité concernée, prise par l’organe compétent (conseil d’administration, gérant, etc.), ainsi que la désignation d’une ou plusieurs personnes ou services habilités à recevoir et traiter les signalements pour le compte du groupe.

Chaque salarié doit être informé individuellement de l’existence du canal commun, de ses modalités d’accès, des garanties offertes et des suites données aux alertes. Le canal commun peut être géré en interne par une entité du groupe ou confié à un prestataire externe, sous réserve du respect des exigences de confidentialité et de protection des données à caractère personnel.

Les procédures internes doivent prévoir :

Un accusé de réception du signalement dans un délai de 7 jours.
Une réponse motivée à l’auteur du signalement dans un délai maximal de 3 mois.
La documentation et la traçabilité des signalements et des mesures prises.

Le traitement des données doit respecter la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et le RGPD.

Pratiques et recommandations

Il est recommandé de formaliser par écrit les modalités de fonctionnement du canal commun, notamment la répartition des responsabilités entre les entités, les mesures de protection du lanceur d’alerte, les procédures d’enquête et de suivi, ainsi que les modalités de coopération avec les représentants du personnel.

Une analyse d’impact relative à la protection des données (DPIA) doit être réalisée avant la mise en œuvre du canal commun, en particulier si le traitement des alertes présente des risques élevés pour les droits et libertés des personnes concernées.

La formation des personnes chargées de la gestion du canal commun est essentielle, tout comme la réalisation d’audits réguliers pour garantir la conformité du dispositif. Il convient de veiller à ce que le canal commun ne constitue pas un obstacle à la possibilité pour les salariés de s’adresser directement à leur propre employeur ou d’utiliser les canaux externes prévus par la loi.

Cadre juridique

Loi du 16 mai 2023 relative à la protection des personnes qui signalent des violations du droit national
- Article 12, paragraphe 2 (canal d’alerte commun au sein d’un groupe)
- Articles 8 à 14 (procédures internes, protection, confidentialité, délais)
- Article 15 (protection contre les représailles)
Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
Règlement (UE) 2016/679 (RGPD)
Code du travail luxembourgeois
- Articles L.414-1 et suivants (consultation et information du personnel)
- Article L.241-1 (égalité de traitement)

Note

La mutualisation d’un canal d’alerte ne doit jamais conduire à une dilution des responsabilités ou à une moindre protection des lanceurs d’alerte. Chaque entité reste pleinement responsable du respect des droits et obligations prévus par la loi, y compris en cas de gestion centralisée. Un encadrement humain et une documentation rigoureuse sont indispensables pour garantir la conformité et la traçabilité du dispositif.