De nombreuses organisations ont déjà mis en place leur canal interne de signalement conformément à la Loi 2/2023. Elles ont approuvé la procédure, déployé l’outil et communiqué en interne son existence.

Cependant, une obligation formelle reste encore en suspens dans de nombreux cas : la notification du Responsable Interne du Système d’Information auprès de l’autorité compétente.

Le fait d’avoir un canal actif ne signifie pas que l’organisation est pleinement conforme à la réglementation.

Que prévoit exactement la Loi?

La Loi 2/2023 établit trois obligations structurelles :

• Mettre en place un Système Interne d’Information.

• Désigner formellement un Responsable du Système.

• Communiquer cette désignation à l’autorité compétente.

Au niveau national, la supervision relève de
l’Autorité Indépendante de Protection du Lanceur d’Alerte, organisme chargé de garantir la bonne application du cadre de protection des lanceurs d’alerte.

La communication doit être effectuée via son siège électronique :

https://sede.proteccioninformante.gob.es/procedimientos/index/categoria/1

La date limite actuellement fixée pour effectuer cette communication est le 20 avril.

Qui est concerné?

Parmi les entités concernées :

• Les entreprises privées comptant 50 salariés ou plus.

• Les entités du secteur public.

• Les groupes d’entreprises ayant opté pour un système commun.

• Les organisations soumises à une réglementation sectorielle spécifique, même si elles n’atteignent pas ce seuil d’effectif.

L’erreur la plus fréquente: conformité technique sans conformité formelle

Dans la pratique, nous constatons une situation récurrente :

Des organisations disposent d’un canal opérationnel, mais n’ont pas formalisé la notification du responsable auprès de l’autorité.

D’un point de vue compliance, cela constitue une conformité seulement partielle.

Cette notification fait partie du modèle de gouvernance du système, garantit la traçabilité du responsable désigné et peut faire l’objet de contrôles ou de demandes d’information de la part de l’autorité de supervision.

Quels risques en cas de non-communication?

Le non-respect peut entraîner :

• Des demandes formelles de mise en conformité.

• L’ouverture de procédures sanctionnatrices.

• Un affaiblissement du dispositif de conformité lors d’inspections.

• Une exposition réputationnelle en cas de contrôle réglementaire.

Dans des environnements réglementaires de plus en plus exigeants, ce sont précisément ces « détails formels » qui déterminent la solidité réelle du système.

Recommandation pratique

Il est recommandé de vérifier en interne :

• Que le Responsable du Système a été formellement désigné (par décision de l’organe compétent).

• Que la communication à l’autorité a été correctement réalisée.

• Que les informations sont à jour en cas de changement de responsable.

Si votre organisation dispose déjà d’un canal de signalement, c’est un bon moment pour vérifier que la conformité est complète et non partielle.