Depuis juillet 2023, les entreprises de 50 salariés ou plus doivent exploiter un canal de signalement interne. Nous expliquons les exigences techniques de la HinSchG, le cadre de protection des données et comparons les solutions logicielles courantes.
Le signalement par application : ce que la loi allemande sur la protection des lanceurs d'alerte exige sur le plan technique
Une infraction au droit de la conformité dans la comptabilité, un soupçon de corruption dans les achats ou la suspicion d'une violation de la protection des données -- quiconque met au jour de tels dysfonctionnements a besoin de protection. C'est précisément cette protection que la loi sur la protection des lanceurs d'alerte (Hinweisgeberschutzgesetz -- HinSchG) entend garantir, entrée en vigueur le 2 juillet 2023. Mais au-delà du cadre juridique, la loi impose également des exigences techniques concrètes aux entreprises : qui doit mettre en place un canal de signalement ? Quels canaux sont admissibles ? Et comment choisir la solution logicielle adaptée ? Cet article offre un aperçu orienté vers la pratique.
Contexte : de la directive européenne à la loi allemande
La HinSchG transpose la directive européenne 2019/1937 sur les lanceurs d'alerte en droit allemand. L'Allemagne n'a pas été pionnière en la matière : la directive aurait dû être transposée avant le 17 décembre 2021. Ce n'est qu'après une procédure de conciliation entre le Bundestag et le Bundesrat et une procédure d'infraction de la Commission européenne que la loi est finalement entrée en vigueur mi-2023. En mars 2025, la CJUE a condamné l'Allemagne à une amende de 34 millions d'euros pour la transposition tardive. Le texte intégral de la loi est disponible sur gesetze-im-internet.de.
Qui doit mettre en place un canal de signalement interne ?
Le seuil de 50 salariés (§ 12 HinSchG)
En vertu du § 12 HinSchG, les employeurs comptant en règle générale au moins 50 salariés sont tenus de mettre en place et d'exploiter un bureau de signalement interne. Des règles particulières s'appliquent :
- Les travailleurs intérimaires sont pris en compte s'ils sont employés régulièrement
- Des solutions de groupe sont possibles : une société du groupe peut exploiter le bureau de signalement interne pour toutes les filiales (§ 14, al. 1 HinSchG)
- Les communes de moins de 10 000 habitants peuvent mettre en place un bureau de signalement commun
Calendrier
L'obligation s'applique aux entreprises de 250 salariés ou plus depuis le 2 juillet 2023. Les entreprises de 50 à 249 salariés devaient se conformer avant le 17 décembre 2023.
Exigences techniques pour le canal de signalement (§ 16 HinSchG)
Canaux obligatoires : oral, écrit et en personne
Le § 16 HinSchG prescrit que le bureau de signalement interne doit pouvoir recevoir des signalements sous forme orale ou sous forme textuelle. Concrètement, cela signifie :
- Forme textuelle (écrite) : un système de signalement numérique, une boîte aux lettres ou une adresse e-mail dédiée. Toutefois, une simple adresse e-mail est considérée comme insuffisante selon l'opinion dominante, car la confidentialité ne peut être garantie de manière adéquate.
- Oral : par téléphone ou par un autre moyen de transmission vocale (par ex. message vocal via un système numérique).
- En personne : à la demande du lanceur d'alerte, une rencontre en personne doit être organisée dans un délai raisonnable.
Obligation de confidentialité (§ 8 HinSchG)
La loi exige que l'identité de la personne signalante et des personnes faisant l'objet d'un signalement soit traitée de manière confidentielle. Sur le plan technique, cela signifie :
- Restriction d'accès : seules les personnes chargées du traitement peuvent accéder aux signalements entrants (§ 16, al. 2 HinSchG)
- Chiffrement : la transmission et le stockage des données doivent être chiffrés de bout en bout
- Journalisation : les accès au système doivent être documentés de manière infalsifiable
- Séparation organisationnelle : le bureau de signalement doit être séparé organisationnellement des autres services de l'entreprise
Anonymat : recommandé mais pas obligatoire
La HinSchG n'impose pas de possibilité de signalement anonyme. Toutefois, le § 16, al. 1, phrase 5 prévoit que les bureaux de signalement internes doivent également traiter les signalements reçus de manière anonyme. En pratique, les canaux anonymes augmentent considérablement la propension à signaler.
Cadre de protection des données
La conformité au RGPD comme condition fondamentale
L'exploitation d'un système de signalement implique nécessairement le traitement de données à caractère personnel. Le Règlement général sur la protection des données (RGPD) constitue donc le cadre supérieur.
Base juridique du traitement des données
Les bases juridiques suivantes sont particulièrement pertinentes :
- Article 6, par. 1, point c) du RGPD (obligation légale) : pour les entreprises de 50 salariés ou plus qui sont légalement tenues de mettre en place un système
- Article 6, par. 1, point f) du RGPD (intérêt légitime) : pour les entreprises en dessous du seuil qui exploitent volontairement un système
Obligations essentielles en matière de protection des données
Selon la FAQ du Délégué à la protection des données du Bade-Wurtemberg, les entreprises doivent notamment respecter les exigences suivantes :
- Analyse d'impact relative à la protection des données (AIPD) : généralement requise en raison du risque élevé pour les personnes concernées
- Obligations d'information : les salariés et les lanceurs d'alerte externes doivent être informés conformément aux articles 13 et 14 du RGPD
- Délais de suppression : les signalements et la documentation associée doivent être supprimés au plus tard trois ans après la clôture de la procédure (§ 11, al. 5 HinSchG)
- Contrat de sous-traitance : en cas de recours à un prestataire externe, un contrat de sous-traitance au sens de l'article 28 du RGPD doit être conclu
- Minimisation des données : seules les données nécessaires au traitement du signalement peuvent être collectées (article 5, par. 1, point c) du RGPD)
Comparaison des solutions logicielles
Aperçu du marché
Le marché des logiciels pour lanceurs d'alerte s'est considérablement développé ces dernières années. Les trois solutions suivantes se sont particulièrement imposées dans l'espace germanophone :
Système BKMS (EQS Group)
Le système BKMS est une solution destinée aux grands groupes et aux institutions publiques, offrant :
- Anonymat hautement sécurisé grâce à un système de boîte aux lettres spécial sans suivi IP
- Certification ISO 27001 et SOC 2
- Support multilingue dans plus de 80 langues
- Particulièrement adapté pour : les grandes entreprises et les administrations publiques
Hintbox
Hintbox se positionne comme une solution conviviale axée sur les PME allemandes :
- Chiffrement de bout en bout et authentification à deux facteurs
- Hébergement certifié ISO 27001 en Allemagne
- Journalisation infalsifiable de toutes les opérations
- Particulièrement adapté pour : les PME de 50 à 1 000 salariés
LegalTegrity
LegalTegrity se présente comme un partenaire compliance pour les PME et propose des options d'externalisation :
- OmbuTegrity : externalisation complète de la fonction de bureau de signalement
- Automatisation intelligente des flux de travail pour la gestion des cas
- Plus de 2 500 organisations utilisent déjà la solution
- Particulièrement adapté pour : les entreprises souhaitant externaliser le bureau de signalement
Une comparaison complète est disponible sur OMR Reviews.
Le bureau de signalement externe auprès du BfJ
Outre le canal de signalement interne, les lanceurs d'alerte peuvent également s'adresser au bureau de signalement externe de la Fédération auprès de l'Office fédéral de la justice (BfJ). Les lanceurs d'alerte disposent d'un libre choix entre le canal interne et externe.
Guide de mise en oeuvre : cinq étapes vers un système de signalement
Étape 1 : état des lieux et planification
- Déterminer le nombre de salariés et vérifier l'obligation
- Définir le champ d'application matériel
- Décider si le bureau de signalement sera exploité en interne ou en externe
Étape 2 : organisation du bureau de signalement
- Désigner les responsables du bureau de signalement (internes ou externes)
- Garantir l'expertise et l'indépendance (§ 15 HinSchG)
- Obtenir des engagements écrits de confidentialité
Étape 3 : mise en oeuvre technique
- Sélectionner et implémenter la solution logicielle
- Mettre en place les canaux de signalement (numérique, téléphonique, en personne)
- Réaliser une analyse d'impact relative à la protection des données
- Conclure un contrat de sous-traitance avec le fournisseur de logiciel
Étape 4 : documentation et processus
- Rédiger un règlement de procédure pour le bureau de signalement
- Définir les délais de traitement : accusé de réception sous 7 jours, retour d'information sous 3 mois (§ 17 HinSchG)
- Établir des procédures d'escalade pour les violations graves
Étape 5 : communication et formation
- Informer tous les salariés du bureau de signalement et des canaux disponibles
- Former les responsables aux techniques d'entretien et à la gestion des cas
- Publier les informations sur le site web de l'entreprise et l'intranet
Sanctions en cas de non-conformité (§ 40 HinSchG)
Les entreprises qui ne respectent pas leurs obligations s'exposent à des amendes significatives :
- Jusqu'à 50 000 euros pour le défaut de mise en place d'un canal de signalement interne
- Jusqu'à 50 000 euros pour des mesures de représailles contre les lanceurs d'alerte
- Jusqu'à 20 000 euros pour la violation de l'obligation de confidentialité
En pratique, les représailles représentent un risque de responsabilité particulièrement élevé, car les personnes concernées peuvent également réclamer des dommages-intérêts (§ 37 HinSchG).
Conclusion
La loi sur la protection des lanceurs d'alerte pose aux entreprises un double défi : elles doivent non seulement respecter le cadre juridique, mais aussi mettre en oeuvre une solution techniquement robuste et conforme à la protection des données. La bonne nouvelle : le marché offre désormais des solutions logicielles matures pour toutes les tailles d'entreprise. L'essentiel est de ne pas considérer la mise en oeuvre comme une contrainte, mais comme une opportunité de promouvoir une culture de conformité ouverte. Un système de signalement bien implémenté ne protège pas seulement les lanceurs d'alerte -- il protège l'ensemble de l'entreprise.
Chez compleneo, nous vous accompagnons dans la mise en oeuvre juridiquement sûre de votre système de signalement -- du choix du logiciel adapté à la documentation en matière de protection des données, en passant par la formation de vos responsables. Contactez-nous.
