Protection des lanceurs d'alerte • Avis de l'APDP sur le projet de loi n° 987 (Délibération n° 2025‑8 du 9 avril 2025)

Présentation

Saisie pour avis par le Président du Conseil National le 27 mars 2025, conformément à l’article 38 de la Loi n° 1.565 du 3 décembre 2024, la Délibération n° 2025‑8 du 9 avril 2025 (JDM n° 8746 du 9 mai 2025) de l'Autorité de Protection des Données Personnelles (APDP) porte sur le projet de loi n° 987 relatif à la protection des lanceurs d’alerte dans le cadre des relations de travail du 10 décembre 2018.

Le projet de loi n° 987 prévoit d'instituer un cadre général de protection applicable aux salariés du secteur privé, les fonctionnaires, les agents contractuels de l’État et de la Commune, ainsi que les stagiaires, lorsqu’ils signalent de bonne foi des informations dont ils ont eu connaissance à l'occasion de l'exercice de leurs fonctions, relatives à la survenance d'un crime ou d'un délit, ou d'une menace ou d'un préjudice grave pour l'intérêt général dans le domaine sanitaire ou environnemental.

L’avis de l’APDP s’articule autour des axes suivants :

• périmètre des entités employeurs ;
• périmètre des personnes protégées ;
• étendue de l'exonération de responsabilité pénale ;
• conditions et informations exclues du signalement ;
• garanties contre les représailles ;
• mise en œuvre du signalement ;
• information des lanceurs d'alerte ;
• interaction avec des normes étrangères concernant le secteur bancaire et financier ;
• renonciation ou limitation des droits et recours.

* * *

Analyse de l’APDP

PRÉAMBULE

L'APDP rappelle les "dangers inhérents" identifiés par la Commission de Contrôle des Informations Nominatives (CCIN) dans sa Délibération n° 2011-73 du 26 septembre 2011 portant recommandation sur les dispositifs d’alerte professionnelle mis en œuvre sur le lieu de travail :

• "le risque de disproportion entre le dispositif mis en place et les objectifs poursuivis par l’entreprise ou organisme ;"
• "la déloyauté de la collecte et du traitement des données nominatives d’une personne n’ayant pas les moyens de s’y opposer ou de se défendre."

Elle opère ensuite un état des lieux du champ d'application des dispositifs d’alerte professionnelle. En l’absence de cadre législatif à Monaco, la CCIN l'avait tout d'abord restreint au secteur financier. Cette position a toutefois évolué, en réponse notamment aux sollicitations d'établissements bancaires "soumis à des dispositions de whistleblowing dans d’autres pays dans lesquels ils étaient établis", conduisant la CCIN à redélimiter le périmètre de licéité des dispositifs d'alerte dans une Délibération n° 2020-016 du 15 janvier 2020 :

• corruption (article 113‑2 et suivants du Code pénal monégasque) ;
• fraudes (articles 331 et suivants du Code pénal monégasque) ;
• harcèlement et violence au travail (Loi n° 1.457 du 12 décembre 2017) ;
• non-respect de règles d’éthiques professionnelles - protection des clients, régularité des opérations et conflits d’intérêts (Ordonnance Souveraine n° 1.284 du 10 septembre 2007) ;
• non-respect des règles en matière de lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption (Loi n° 1.362 du 3 août 2009 et Ordonnance Souveraine n° 2.318 du 3 août 2009, modifiées) ;
• non-respect des règles en matière de sanctions et d’embargos ;
• non-respect des règles en matière d’intégrité de marché (Loi n° 1.338 du 7 septembre 2007 sur les activités financières) ;
• non-respect des règles relatives à la protection des informations nominatives (Loi n° 1.165 du 23 décembre 1993, modifiée).

Toujours en 2020, dans le cadre de l’examen d’un projet de modification de la Loi n° 1.362 précitée, la CCIN avait attiré l'attention sur la nécessité d'une "assise juridique renforcée en Principauté pour en définir précisément le périmètre, par voie législative ou règlementaire, à savoir l’encadrement des dispositifs d’alertes professionnelles, souvent mis en œuvre par les banques".

I. SUR LE PÉRIMÈTRE DE LA PROTECTION

A) Sur le périmètre de la protection du lanceur d’alerte

→ Champ des entités concernées

Le projet de loi n° 987 vise les employés des personnes physiques ou personnes morales de droit privé ou de droit public à Monaco, ce qui exclut les autorités administratives indépendantes (AAI) qui sont dépourvues à Monaco de personnalité morale à Monaco, contrairement à la France où elles sont couvertes par l’article 3-III du Décret n° 2022‑1284 du 29 septembre 2022 (par exemple, article 23 de la Charte de déontologie de la CNIL sur la protection des lanceurs d'alerte). "L’APDP estime opportun d’intégrer de manière certaine les AAIs au dispositif, du fait de leur indépendance vis-à-vis des Services de l’Administration".

→ Champ des personnes protégées

L'APDP estime "opportun de prévoir l'élargissement de la protection accordée pour des signalements aux intérimaires/aux anciens salariés/aux candidats, prestataires, fournisseurs, (...) à celles qui peuvent subir des représailles "par ricochet" (...) notamment les (...) facilitateurs (...) également des tiers qui sont en lien avec les auteurs de signalement", en s'appuyant sur :

• la Recommandation CM/Rec(2014)7 du Conseil de l’Europe qui couvre "toutes les personnes travaillant soit dans le secteur public, soit dans le secteur privé, indépendamment de la nature de leur relation de travail et du fait qu’elles sont ou non rémunérées", "les personnes dont la relation de travail a pris fin ou, éventuellement, n’a pas encore commencé, si les informations concernant une menace ou un préjudice pour l’intérêt général ont été obtenues durant le processus de recrutement ou à un autre stade de la négociation précontractuelle" ;

• l’article 8-I-A de la Loi française n° 2016‑1691 (Sapin 2) qui inclut notamment les actionnaires, associés, dirigeants, collaborateurs extérieurs, cocontractants, sous-traitants et leurs personnels ;

• l’article 4 de la Directive (UE) 2019/1937 qui permet l'extension de la protection aux facilitateurs et aux tiers qui sont en lien avec les auteurs de signalement et qui risquent des représailles dans un contexte professionnel, tels que des collègues ou des proches.

→ Exonération de responsabilité pénale

Le projet de loi prévoit aux articles 12 et 13, une exonération de responsabilité pénale, respectivement en matière de dénonciation calomnieuse (article 307 du Code pénal) et de violation du secret professionnel (article 308).

L’APDP note que ces dispositions sont subordonnées à la bonne foi du lanceur d’alerte, critère qui figure également au principe 10 de la Recommandation CM/Rec(2014)7 du Conseil de l’Europe.

Puis elle invite à étendre l’irresponsabilité à "tous secrets' afin d'éviter les représailles par le biais d'autres fondements pénaux (comme ceux de la Loi n° 1.565 sur la protection des données personnelles) et aux "facilitateurs", en s’appuyant sur l’article 122‑9 du Code pénal français qui couvre :

• toute atteinte à un secret protégé par la loi, lorsque la divulgation est nécessaire, proportionnée et conforme aux procédures légales,
• les actes de soustraction, détournement ou recel de documents ou tout autre support contenant les informations,
• les complices du lanceur d’alerte.

B) Sur le périmètre matériel de l'alerte

Le projet de loi prévoit comme conditions de recevabilité de l’alerte que :

• la personne agisse de "de bonne foi et de manière désintéressée". L'APDP estime que la condition de "désintéressement" pourrait être ajustée, notamment par substitution avec les termes "sans contrepartie financière directe" comme en droit français depuis la Loi Sapin 2.
• l'information soit relative "à la survenance 1. d'un crime ou d'un délit, 2. d'une menace ou d'un préjudice graves pour l’intérêt général dans le domaine sanitaire ou environnemental." L’APDP préconise de ne peut pas limiter le champ de l'intérêt général afin de couvrir d’autres domaines (tels que la protection des consommateurs, des données personnelles), et d'inclure la "tentative", en s'appuyant sur la Directive (UE) 2019/1937 et la Loi française Sapin 2 de 2022.

C) Sur les informations exclues

Le projet de loi exclut les informations couvertes par le secret de sécurité nationale, le secret médical ou le secret des relations entre un avocat et son client, ainsi que celles dont l’auteur du signalement n’a pas eu personnellement connaissance et celles dont il ne pouvait légitimement considérer qu'elles étaient exactes.

Ces exclusions sont proches de celles prévues à l’article 3 de la Directive (UE) 2019/1937 et à l’article 6, II de la Loi Sapin 2. Toutefois, l’APDP recommande d'envisager des dispositifs spécifiques de signalement pour les domaines exclus (régime plus restrictif sans priver le lanceur d'alerte de protection ou défense), à l’image par exemple de ce que prévoit l’article L. 861‑3 du Code de la sécurité intérieure français en matière de renseignement.

De plus, en exigeant que que le lanceur d'alerte ait eu personnellement connaissance des faits signalés, cela exclut les alertes fondées sur des éléments crédibles mais rapportés.. L'APDP relève que le droit français a supprimé cette exigence depuis la Loi Sapin 2. Selon l'APDP, une telle approche "a des conséquences sur l'incitation à alerter", la Recommandation CM/Rec(2014)7 du Conseil de l’Europe invitant les États à adopter un cadre juridique favorisant les signalements ou révélation d'informations d'intérêt général sans crainte de représailles.

II. SUR LES MODALITÉS DE LA MISE EN OEUVRE DES ALERTES ET DE LA PROTECTION

A) Une procédure qui s'impose à tous les employeurs

L’APDP souligne que le projet de loi impose à tous les employeurs de la Principauté de Monaco la mise en place d’une procédure de signalement, sans condition de seuil (à moins qu'un seuil soit fixé par arrêté ministériel).

Concernant les traitements de données personnelles associés à ces procédures, l'APDP relève qu'ils peuvent se fonder :

• sur le respect d'une obligation légale ;

• ou en cas de seuil, si la procédure est mise en place volontairement, sur la réalisation d'un intérêt légitime.

B) Sur l'article 3 du projet de loi

L’APDP estime la protection du lanceur d'alerte insuffisante : il serait "judicieux" de remplacer la notion de "sanction disciplinaire" par celle plus large de "représailles", se référant à la Directive (UE) 2019/1937 (considérant 44, article 19) et à la Loi Sapin 2 (art. 10‑1) englobant d'autres formes de mesures.

Ensuite, elle relève que la nullité de plein droit des mesures prises en violation de cette protection impliquerait la réintégration immédiate du salarié licencié.

L’APDP recommande également de renforcer la procédure en cas de litige :

• en précisant la juridiction compétente, les délais (en France, le juge statue à bref délai) ;
• en prévoyant des "mécanismes de soutien" telle une provision pour frais ou visant à couvrir les subsides du lanceur d'alerte (Recommandation CM/Rec(2014)7 du Conseil de l’Europe prévoyant des mesures provisoires), ;
• en imposant à l’employeur de "prouver que sa décision est dûment justifiée" (article 10‑1-III de la Loi Sapin 2).

Enfin, l'APDP recommande de garantir la protection du lanceur d’alerte de bonne foi, même en cas d’erreur d’appréciation des faits, s'appuyant sur la Recommandation CM/Rec(2014)7 du Conseil de l’Europe (point 22 "motifs raisonnables de croire en sa véracité").

C) Un régime a étapes obligatoires, des signalements externes et publics limités

L’APDP estime le régime projeté contraignant sur certains points :

• obligation de transmission de tout signalement au "pouvoir judiciaire" dans les 15 jours "quel que soit le résultat de l'enquête interne". L’APDP "s’interroge sur l’effectivité du signalement interne" si la saisine judiciaire est automatique ;

• "absence de signalements externes auprès d'autres autorités administratives indépendantes", se référant à la Recommandation CM/Rec(2014)7 du Conseil de l’Europe (signalement aux organes réglementaires publics, aux autorités de répression et aux organes de contrôle), à la Directive (UE) 2019/1937 et la Loi française Sapin 2 ayant évolué en "permettant d'effectuer un signalement externe avec plus de latitude" (article 8-II, autorité compétente désignée, Défenseur des droits, autorité judiciaire) ;

• l’exigence préalable de danger grave, imminent ou de dommages irréversibles "ne justifie pas d'effectuer un signalement public et ne permet que de saisir l'Autorité judiciaire, pouvant retarder de plus de trois mois l'alerte du public."

• "Il n’y a enfin aucun moyen de passer outre un signalement interne que le lanceur d’alerte estimerait par avance problématique."

D) Sur la mise en œuvre du signalement

Un arrêté ministériel fixera les conditions d'application de la Loi s'agissant des procédures de recueil et de transmission des signalements.

L’APDP recommande d'établir un "lien clair" avec la Loi n° 1.565 sur la protection des données personnelles, rappelant que "le traitement des alertes et enquêtes y afférentes conduit à la collecte de telles données et que les principes de la loi doivent s’appliquer, tel que celui de minimisation des données dans la procédure de traitement de l’alerte, etc. (délai, pertinence, confidentialité, accès, transfert, externalisation)".

Un encadrement des délais de traitement et des modalités d'accusé de réception est également préconisé.

Par ailleurs, si la possibilité d'effectuer des signalements externes directement auprès d'autres Autorités est prévue, "il conviendra de les définir et de prévoir les canaux de communication possibles entre elles." Monaco pourrait ce faisant s'inspirer de la Directive (UE) 2019/1937 (Chapitre III "Signalements externes et suivi").

Enfin, les signalements anonymes ne devraient pas être exclus par principe, mais encadrés.

E) Sur l'information des lanceurs d'alerte

L’APDP recommande de prévoir "l’information des personnes sur les voies pour signaler des faits ou encore pour aiguiller sur les informations susceptibles de rentrer dans le périmètre du texte", et qu’une entité clairement identifiée soit désignée à cette fin, se référant à la Recommandation CM/Rec(2014)7 du Conseil de l’Europe (accès gratuit à des informations et conseils confidentiels) et à la Directive (UE) 2019/1937 (accès clair et public aux informations sur les procédures de signalement, la portée de la protection et les recours disponibles ; conseils impartiaux, confidentiels et gratuits délivrés par des structures identifiées).

L’APDP suggère que le Haut-Commissaire à la Protection des Droits, des Libertés et à la Médiation pourrait remplir ce rôle d'information et d'aiguillage.

F) Sur les interactions entre le projet de loi et les alertes applicables au secteur financier en application du droit français (et, potentiellement, de secteurs concernés par des dispositions spécifiques relatives aux alertes applicables en Principauté)

Dans le contexte de l’Accord monétaire du 29 novembre 2011 entre Monaco et l’Union européenne, certaines dispositions du Code monétaire et financier français sont applicables à Monaco, notamment par le biais de l’Arrêté du 3 novembre 2014 relatif au contrôle interne des établissements financiers.

L’APDP observe que plusieurs établissements bancaires en Principauté appliquent déjà des dispositifs d’alerte inspirés de la législation française (loi Sapin 2). Elle souligne que l’adoption du projet de loi pourrait nécessiter une clarification quant à l’articulation entre ces dispositifs existants et le futur cadre monégasque, en particulier en cas de divergences de périmètre ou de procédure.

L’APDP "s’interroge sur l’applicabilité en Principauté des articles L. 511‑41, L. 634‑1 et 2 du Code Monétaire et Financier (CMF), qui prévoient des modalités d’alerte auprès des régulateurs français. En tout état de cause, l’APDP constate que l’Arrêté français du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution est appliqué par les banques, et il prévoit la mise en œuvre de dispositifs de whistleblowing."

Elle note que les banques monégasques appliquent déjà les principes de la Loi Sapin 2, avec une protection étendue des lanceurs d’alerte. Or, le texte monégasque, plus restrictif, pourrait "conduire (...) à abaisser la portée de la protection accordée en vertu d’un droit étranger." L’APDP invite le législateur à clarifier l’articulation entre ces régimes.

G) Sur l’impossibilité de renoncer ou de limiter les droits et recours relatifs au lanceur d’alerte

L'APDP estime enfin que le projet de loi n° 987 devrait prévoir que les droits des lanceurs d’alerte ne peuvent faire l’objet d’aucune renonciation ou autre limitation, à l'instar de la Directive (UE) 2019/1937 (article 24) transposée par la Loi Sapin 2 (article 12‑1).

* * *