Signalements de lanceurs d'alerte concernant des manquements à NIS 2
La directive (UE) 2019/1937 protège les signalements de violations de la sécurité des réseaux et des systèmes d'information. Le Hinweisgeberschutzgesetz (HinSchG) allemand en est la transposition nationale. Cette page décrit le cadre, et ne constitue pas un conseil juridique pour un cas particulier.
Ce qu'est cette page
Le lancement d'alerte est une voie juridique distincte de la déclaration d'incident NIS 2. Un salarié, un sous-traitant ou un candidat à un emploi qui signale un manquement à la conformité NIS 2 est protégé par la directive (UE) 2019/1937. La directive mentionne expressément la sécurité des réseaux et des systèmes d'information dans son annexe, partie I.B, comme domaine de signalement protégé.
En Allemagne, le Hinweisgeberschutzgesetz (HinSchG, en vigueur depuis le 2 juillet 2023) transpose la directive. Le Bundesamt fuer Justiz héberge le canal externe central. Les entités comptant 50 salariés ou plus sont tenues de maintenir un canal de signalement interne au titre de l'article 12 HinSchG.
Une divulgation d'un lanceur d'alerte à une autorité externe ne remplace pas la propre notification d'incident de l'entité au titre de l'article 23 de NIS 2 (article 32 BSIG en Allemagne). Les deux obligations peuvent être déclenchées par le même événement et chacune court selon son propre calendrier.
Directive (UE) 2019/1937, annexe partie I.B
Network and information systems security, as defined in Article 4, point (1), of Directive (EU) 2016/1148 of the European Parliament and of the Council.
L'annexe énumère les domaines d'action dans lesquels un signalement est protégé. La sécurité des réseaux et des systèmes d'information figure dans la partie I.B aux côtés de la sécurité des transports et de la protection de l'environnement. NIS 2 (directive 2022/2555) remplace la directive 2016/1148, de sorte que les signalements de manquements à la conformité NIS 2 entrent dans ce champ.
Directive (UE) 2019/1937, article 4 (champ d'application personnel)
This Directive shall apply to reporting persons working in the private or public sector who acquired information on breaches in a work-related context.
Le champ d'application personnel couvre les salariés, les travailleurs indépendants, les actionnaires, les membres des organes d'administration, les bénévoles, les stagiaires rémunérés ou non, les contractants, les sous-traitants et les fournisseurs. Les candidats à un emploi et les anciens travailleurs sont également protégés. Les signalements anonymes sont admis par l'article 16, paragraphe 1, du HinSchG, mais le suivi peut être limité.
HinSchG article 12 (canaux de signalement interne)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
Le seuil de 50 salariés correspond à un effectif en règle générale, et non à un chiffre journalier précis. Les entités de moins de 50 salariés peuvent mettre en place un canal interne à titre volontaire ; les entités atteignant ou dépassant 50 salariés y sont tenues. Le Bundesamt fuer Justiz exploite le canal externe.
Ce qui peut être signalé
L'article 2 du HinSchG énumère les objets de signalement protégés. Parmi eux : les violations du droit de l'UE, y compris la sécurité des réseaux et des systèmes d'information. Un signalement portant sur une obligation NIS 2, par exemple le défaut de mise en œuvre des mesures de l'article 21 ou le défaut de dépôt d'une déclaration d'incident au titre de l'article 23, entre dans le champ d'application.
Interne d'abord, externe en parallèle
Canal interne au titre de l'article 12 HinSchG (50 salariés ou plus). Canaux externes au titre de l'article 19 HinSchG : le Bundesamt fuer Justiz comme bureau externe central, plus les autorités sectorielles. La personne à l'origine du signalement peut choisir l'un ou l'autre ; le considérant 33 de la directive exprime une préférence pour la voie interne en premier, mais n'en fait pas une condition préalable.
Obligation de documentation
Article 11 HinSchG : les signalements sont documentés sous une forme durable et consultable. La documentation est supprimée trois ans après la clôture de la procédure ; une conservation plus longue est permise lorsqu'elle est nécessaire à des procédures judiciaires. Les données à caractère personnel suivent les principes du GDPR.
Confidentialité de l'identité
Article 8 HinSchG : l'identité de la personne à l'origine du signalement, des personnes nommées dans le signalement et des tiers mentionnés est tenue confidentielle. La divulgation n'est permise que dans des exceptions étroites, par exemple sur demande écrite d'une autorité de poursuite pénale. Les personnes chargées du traitement des cas doivent être indépendantes et exemptes de conflits d'intérêts.
Interdiction des représailles
L'article 36 HinSchG interdit les représailles à l'encontre de la personne à l'origine du signalement. Cela couvre le licenciement, la rétrogradation, la privation de formation, l'évaluation négative des performances et les mesures analogues. L'article 36, paragraphe 2, renverse la charge de la preuve : si une personne subit un désavantage après un signalement, le désavantage est présumé être une représaille, à moins que l'employeur ne prouve le contraire.
Le BSI comme autorité sectorielle
Le Bundesamt fuer Sicherheit in der Informationstechnik (BSI) est l'autorité compétente pour la supervision de NIS 2 au titre de l'article 61 BSIG. Un signalement de lanceur d'alerte affirmant qu'une entité ne respecte pas les mesures de l'article 21 ou ne s'est pas enregistrée au titre de l'article 27 aboutira généralement au BSI par le routage du canal externe, même s'il est d'abord déposé auprès du Bundesamt fuer Justiz.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
La BfDI est le canal externe sectoriel pour les violations de la protection des données au niveau fédéral. NIS 2 et le GDPR se recoupent lorsqu'un incident implique des données à caractère personnel. Un signalement de lanceur d'alerte peut invoquer les deux bases juridiques ; l'autorité destinataire en oriente les parties vers l'organe compétent.
Le Bundesamt fuer Justiz comme canal externe central
Le Bundesamt fuer Justiz exploite le bureau de signalement externe central au titre de l'article 19 HinSchG. C'est l'adresse externe par défaut si aucun canal sectoriel ne s'applique, et il oriente les signalements vers le superviseur compétent (BSI, BNetzA, BAFin, BfDI) lorsque l'objet relève de celui-ci.
Un signalement de lanceur d'alerte au BSI remplace notre déclaration d'incident au titre de l'article 23.
Il ne la remplace pas. L'article 23 de NIS 2 et l'article 32 BSIG mettent l'obligation de notifier à la charge de l'entité. Un signalement par un tiers ouvre un dossier de supervision distinct. La propre alerte précoce de l'entité ainsi que ses notifications à 24 heures et à 72 heures courent de façon indépendante.
Nous avons 60 salariés, mais personne n'a jamais rien signalé, donc nous n'avons pas besoin de canal.
L'article 12 HinSchG rattache l'obligation à l'effectif, et non au fait que des signalements aient été déposés. L'article 40 HinSchG assortit le défaut d'exploitation d'un canal interne d'une amende administrative pouvant atteindre 20.000 EUR. L'amende s'applique à compter du 1er décembre 2023 pour les entités de 50 à 249 salariés.
Nous pouvons nous séparer de la personne qui a déposé le signalement parce que ses performances ont baissé.
L'article 36 HinSchG présume que la mesure est une représaille dès lors qu'un signalement a été déposé. La charge de la preuve incombe à l'employeur, qui doit démontrer un motif documenté et sans lien. Les décisions concernant la personne à l'origine du signalement prises après un signalement font l'objet d'un examen renforcé.
Deux horloges courent en parallèle après un signalement portant sur un manquement à NIS 2. La première est le calendrier de réponse du HinSchG : accusé de réception dans les sept jours au titre de l'article 17, paragraphe 1, point 1, retour à la personne à l'origine du signalement dans les trois mois au titre de l'article 17, paragraphe 1, point 4. La seconde est l'obligation d'incident NIS 2 que la teneur du signalement déclenche, à savoir la propre obligation de l'entité au titre de l'article 23, et non celle du lanceur d'alerte.
Le schéma le plus propre dans les entités de taille moyenne : un responsable de traitement nommé au sein de la conformité ou des ressources humaines, un suppléant nommé, un formulaire de réception écrit qui capte la teneur sans forcer la divulgation de l'identité, et un journal écrit qui consigne chaque étape avec un horodatage. Le journal est la seule preuve qui subsistera plus tard si un tribunal demande comment le signalement a été traité.
Les signalements de lanceurs d'alerte ne font pas partie du registre des obligations NIS 2 lui-même. Ils constituent une obligation de gouvernance parallèle au titre du HinSchG, avec leur propre canal, leur propre conservation et leur propre règle de non-représailles.
Le registre des obligations répond à la question de savoir quelles mesures NIS 2 l'entité a mises en œuvre et comment cela est documenté. Le canal de lancement d'alerte répond à la question de savoir comment l'entité reçoit et traite les signalements relatifs aux lacunes dans ces mesures. Les deux sont des registres indépendants et tous deux peuvent être demandés par un superviseur.
- Directive (UE) 2019/1937 du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l'Union (JO L 305 du 26.11.2019, p. 17). Annexe partie I.B et article 4.
- Hinweisgeberschutzgesetz (HinSchG) du 31 mai 2023, BGBl. 2023 I Nr. 140. Articles 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Directive (UE) 2022/2555 (NIS 2) du 14 décembre 2022, articles 21, 23, 27.
- BSI-Gesetz (BSIG), articles 32, 33, 61, 65.
- Bundesamt fuer Justiz, bureau de signalement externe au titre de l'article 19 HinSchG.