Flat-Illustration: rote Profil-Silhouette mit Trillerpfeife, umgeben von grauen Silhouetten als Symbolbild für Whistleblower im Mittelstand
Talents & New Work 10.05.2026

Lacune du lanceur d’alerte : premières amendes dans les PME

5 Min. Temps de lecture

La loi sur la protection des lanceurs d’alerte est en vigueur depuis décembre 2023, la deuxième étape pour les entreprises de 50 salariés ou plus depuis décembre 2023, et la période de grâce de deux ans pour une amélioration sans sanction a expiré au printemps 2026. Les premières amendes pouvant aller jusqu’à 50 000 euros concernent les entreprises de taille moyenne qui n’ont jamais mis en place de canal de signalement interne ou l’ont désactivé après une courte phase de conseil. Les dirigeants sont personnellement responsables, l’Office fédéral de la justice vérifie en arrière-plan et le règlement européen sur l’intelligence artificielle (AI Act) ajoute des obligations supplémentaires au même canal de signalement.

10.05.2026

Les points clés en bref

  • Amendes pouvant aller jusqu’à 50 000 euros : Les entreprises de 50 salariés ou plus qui ne disposent pas d’un canal de signalement interne s’exposent à une amende pouvant aller jusqu’à 50 000 euros en vertu du paragraphe 40 de la loi sur la protection des lanceurs d’alerte. Les canaux mal ou superficiellement établis sont traités de la même manière que leur absence totale.
  • Le Bureau fédéral de la justice est l’instance de signalement externe : Les lanceurs d’alerte peuvent utiliser à tout moment le BfJ à Bonn au lieu de choisir le canal interne. Ceux qui rendent le parcours interne peu attrayant verront leurs cas directement traités par l’autorité, y compris toutes les conséquences pour la réputation et la communication de surveillance.
  • Le règlement européen sur l’intelligence artificielle élargit l’instance de signalement : À compter du deuxième trimestre 2026, les systèmes internes de signalement des lanceurs d’alerte devront également prendre en compte les violations des règles d’intelligence artificielle. Ceux qui limitent encore le canal à la corruption et à la discrimination l’ont en fait déjà dépassé.

Articles liés :DORA-TLPT : Les tests de résistance que les banques ne réussissent pas actuellement  /  Faille de sécurité dans la pile Microsoft dans les PME

Ce que la période de grâce de deux ans a vraiment caché

Qu’est-ce qu’un canal de signalement pour la protection des lanceurs d’alerte ? Un canal de signalement pour la protection des lanceurs d’alerte est un moyen interne confidentiel permettant aux employés et à des tiers externes de signaler des violations de la loi sans craindre de représailles. Depuis décembre 2023, la loi sur la protection des lanceurs d’alerte impose aux entreprises de 50 employés ou plus de mettre en place un tel canal et de confirmer les signalements dans un délai de sept jours.

Les deux premières années ont été utilisées par de nombreuses entreprises de taille moyenne pour acheter une plateforme, ajouter un lien vers une boîte de réception pour les signalements sur leur page de carrière et considérer le sujet comme réglé. Ce qui a rarement été fait en dessous était la seconde moitié de l’obligation : formations pour les responsables des lieux de signalement, processus de traitement documentés, séparation réelle des structures de personnel et de ressources humaines et, surtout, l’audit annuel qui prouve que le canal fonctionne. Les autorités de contrôle ont toléré cela pendant la période de grâce. Depuis le printemps 2026, ce n’est plus le cas.

Concrètement, trois voies d’escalade se déroulent en parallèle. Les signalements directs auprès du Bureau fédéral de la justice, qui aboutissent à une procédure de contravention. Les employés qui, après un signalement interne infructueux, suivent la voie judiciaire et obtiennent une indemnisation pour préjudice de représailles devant les tribunaux du travail. Et les autorités de contrôle des Länder, qui dans le cadre de leurs vérifications demandent également des informations sur la conformité des lieux de signalement, par exemple lors d’audits de protection des données, de vérifications de la chaîne d’approvisionnement ou de contrôles fiscaux ciblés.

50.000 €
Montant maximum de l’amende selon l’article 40 de la loi sur la protection des lanceurs d’alerte pour les entreprises qui n’ont pas mis en place de canal de signalement interne. S’y ajoutent 20 000 euros pour l’entrave intentionnelle à un signalement et la responsabilité personnelle de la direction en cas de dommages et intérêts.
Source : article 40 de la loi sur la protection des lanceurs d’alerte, état mai 2026

Qui est maintenant dans le viseur

Trois profils sont actuellement particulièrement visibles dans les cabinets de conseil. Les entreprises familiales de 80 à 250 employés, dont la fonction de conformité est historiquement ancrée dans le service du personnel et ne peut pas assurer une véritable séparation avec le lieu de signalement. Les banques et assurances du secteur des coopératives et des caisses d’épargne, qui sont actuellement occupées à mettre en œuvre la réglementation DORA et ont sous-estimé la protection des lanceurs d’alerte comme un deuxième front de conformité. Et les entreprises de taille moyenne du secteur des technologies de la santé et de la pharmacie, dont les signalements au BfJ en provenance des patients et des contextes d’études ont augmenté.

S’y ajoute une quatrième catégorie qui apparaît rarement dans les livres blancs sur la conformité. Les prestataires de services informatiques et les fournisseurs de SaaS de 50 à 200 employés, dont les clients exigent explicitement la structure du canal de signalement lors de l’audit des fournisseurs. Quiconque sert un grand client dans le secteur public ou dans une industrie réglementée devra de toute façon prouver la conformité du lieu de signalement, sinon il sera exclu du bassin de fournisseurs.

Ce que les quatre profils partagent, c’est l’erreur typique. Une plateforme externe a été achetée, un responsable a été nommé dans le service du personnel, une formation a été dispensée, puis le sujet a continué à passer sous le radar. L’autorité de contrôle vérifie aujourd’hui exactement là où se trouve le lieu de passage de l’achat à l’exploitation et le trouve rarement proprement documenté.

Ce qui doit être fait immédiatement, ce qui peut attendre l’été

Immédiatement

  • Vérifier si le canal de signalement est activement accessible (téléphone, e-mail, plateforme). Les liens morts et les e-mails non délivrés sont les problèmes les plus courants lors des audits.
  • Vérifier les délais de confirmation et de réponse : 7 jours pour l’accusé de réception, 3 mois pour une réponse sur le fond sont prévus par la loi.
  • Consigner par écrit la séparation entre le service de signalement et les décisions disciplinaires et personnelles, et mettre fin au double rôle du responsable des ressources humaines.

D’ici l’été

  • Documenter la formation des responsables de la cellule de signalement et la répéter au moins une fois par an.
  • Inclure explicitement les violations de l’AI Act de l’UE comme motif de signalement et élargir la liste des catégories dans le document interne.
  • Mettre en place un audit annuel qui présente de manière anonymisée le nombre de signalements, les délais de traitement et les escalades.
  • Mettre à jour les questionnaires pour les fournisseurs et préparer les preuves de conformité.

Un plan de 60 jours pour la direction

Celui qui commence à réparer maintenant n’a pas besoin d’un conseil coûteux, mais d’un diagnostic honnête.

Plan de 60 jours : mettre le dispositif de protection des lanceurs d’alerte aux normes d’audit
Semaine 1 à 2
État des lieux. Quel canal existe, quelle boîte de réception reçoit, qui est responsable, existe-t-il un protocole de traitement documenté des 12 derniers mois ? Envoyer un signalement de test de manière anonyme et mesurer le temps de réaction.
Semaine 3 à 5
Réparation structurelle. Séparation écrite entre le personnel et le service de signalement, règlement de remplacement, définition d’un chemin d’escalade vers la direction. Inclure les catégories de l’AI Act.
Semaine 6 à 8
Rafraîchissement de la formation, modèle de documentation, rapport annuel anonymisé à la direction. Préparer les preuves pour les questions des fournisseurs.
à partir du jour 60
Rendez-vous de revue trimestriel, lors duquel les thèmes de conformité liés à l’IA de la comptabilité et de la protection des lanceurs d’alerte sont examinés en parallèle, au lieu d’être traités dans des silos séparés.

Foire aux questions

Les amendes sont-elles appliquées rétroactivement, également pour la période de grâce ?

Non, les autorités de contrôle ne travaillent pas rétroactivement. L’état des lieux est évalué au moment de l’inspection. Quiconque n’a pas de canal fonctionnel en été 2026 risque une amende complète conformément au paragraphe 40 de la loi HinSchG. Quiconque documente et améliore obtient un délai et une condition, c’est la pratique administrative usuelle.

Une plateforme externe suffit-elle ou une personne doit-elle être désignée en interne ?

Les deux sont autorisés, mais même avec une plateforme externe, une personne responsable de la déclaration interne doit être désignée, qui est responsable du traitement, envoie des confirmations et fait le reporting. La plateforme à elle seule est un outil, pas une obligation. Lors de l’audit, la personne est vérifiée, pas l’outil.

Quel rôle joue la loi sur l’IA de l’UE pour la cellule de déclaration à compter du deuxième trimestre 2026 ?

La loi sur l’IA de l’UE élargit la liste des infractions pouvant être signalées pour inclure les incidents liés aux systèmes d’IA à haut risque, aux applications manipulatrices et aux procédures biométriques inadmissibles. Les entreprises qui utilisent l’IA dans le recrutement, l’évaluation de crédit ou la surveillance des employés doivent ouvrir explicitement le canal de déclaration pour de tels cas. Une mise à jour de la liste des catégories dans la directive interne suffit généralement.

La direction est-elle personnellement responsable si le canal échoue ?

En cas de représailles contre les lanceurs d’alerte, la direction peut être tenue personnellement responsable de dommages et intérêts, complété par l’amende infligée à l’entreprise. Dans l’assurance D&O, il s’agit d’un domaine d’exclusion classique si une négligence délibérée est constatée. La responsabilité personnelle est la raison pour laquelle la loi HinSchG atterrit de plus en plus dans les réunions du conseil d’administration au lieu de simplement être traitée dans le département des ressources humaines.

À propos de l’auteure

Angelika Beierlein est directrice générale chez Evernine. Elle connaît les réalités des salles de réunion de plusieurs secteurs et écrit régulièrement sur les endroits où les thèmes de conformité sont vraiment façonnés, au lieu de simplement être cochés. Elle n’aime pas les phrases d’autonomisation et aime les structures qui résistent au stress.

Source de l’image : générée par IA (mai 2026), certificat C2PA intégré à l’image

Aussi disponible en

Un magazine de evernine media GmbH
Le magazine des décideurs pour le Mittelstand DACH DEENFRES
Newsletter