Je dois mettre mon organisation luxembourgeoise en conformité au considérant 30 du Lanceurs d'alerte (UE 2019/1937). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 30 Lanceurs d'alerte

Cadre européenRGPD NIS 2 DORA AI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 30

Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937

(30)

La présente directive ne devrait pas s’appliquer aux cas dans lesquels des personnes qui, après avoir donné leur consentement éclairé, ont été identifiées comme informateurs ou enregistrées comme tels dans des bases de données gérées par des autorités désignées au niveau national, telles que les autorités douanières, et signalent des violations aux services répressifs en échange d’une récompense ou d’une indemnisation. Ces signalements sont effectués conformément à des procédures spécifiques qui visent à garantir l’anonymat de ces personnes afin de protéger leur intégrité physique et qui sont distinctes des canaux de signalement prévus par la présente directive.

Spécificité Luxembourg

loi luxembourgeoise du 16 mai 2023 relative a la protection des lanceurs d'alerte

Au Luxembourg, la loi du 16 mai 2023 relative a la protection des lanceurs d'alerte transpose le considérant 30 en excluant explicitement de son champ les programmes d'informateurs geres par l'Administration des douanes et accises et par l'Administration des contributions directes. Ces signalements suivent une procédure interne propre a chaque administration, distincte du canal OFRS, avec garantie d'anonymat physique.

Pratique Luxgap : dans le canal interne d'une entité assujettie (seuil 50 salariés), prevoyez une mention explicite redirigeant les denonciations fiscales ou douanieres rémunérées vers l'ACD ou l'AED, et tracez cette redirection dans le registre pour démontrer a l'OFRS que vous n'avez pas detourne un signalement protégé.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 30 exclut du champ de la directive les informateurs rémunérés enregistrés dans des bases dediees (douanes, police, autorités repressives). Le piège : croire que toute personne qui denonce une fraude tombe automatiquement sous le regime lanceur d'alerte. En pratique, les organisations confondent les deux statuts et appliquent le mauvais regime de protection, ce qui peut conduire l'OFRS ou la CNPD a sanctionner soit l'absence de canal interne adapte, soit au contraire un traitement de données disproportionne sur des signalements qui auraient du suivre une procédure spécifique.

Distinguer informateur rémunéré et lanceur d'alerte : la grille de qualification

Un signalement relevé de la directive 2019/1937 (et donc de la loi luxembourgeoise du 16 mai 2023) si, et seulement si, l'auteur agit dans un contexte professionnel sans contrepartie financiere directe. Les critères a vérifier dans votre canal interne :

L'auteur a-t-il un lien professionnel avec l'entité (salarié, stagiaire, fournisseur, candidat) ?
Le signalement est-il fait en échange d'une recompense formalisee par une autorité (douanes, fisc, concurrence) ?
L'auteur est-il deja enregistré comme informateur dans une base d'autorité repressive ?
Le signalement vise-t-il une violation du droit de l'Union listee a l'article 2 de la directive ?
L'auteur a-t-il donne un consentement eclaire a un programme d'informateurs anonymes ?

Si la réponse penche vers le programme rémunéré, votre canal interne doit rediriger l'auteur vers l'autorité competente sans collecter ses données, sous peine de compromettre son anonymat physique protégé par les procédures spécifiques.

Comment Luxgap automatise ce risque

Notre Luxgap Whistleblowing Triage Agent transforme votre boite de reception lanceur d'alerte en agent IA qui qualifié chaque signalement en moins de 60 secondes et ferme le risque de confusion entre regime directive 2019/1937 et programme informateur rémunéré. L'outil analyse le contenu du signalement entrant via votre canal interne (formulaire web, ligne telephonique, plateforme dediee) et croise les indices avec la grille de qualification OFRS, CSSF, ITM et CNPD pour router automatiquement vers le bon traitement.

Classifie chaque signalement entrant entre regime lanceur d'alerte, programme informateur rémunéré, réclamation client ou conflit RH, en s'appuyant sur un LLM spécialisé entraine sur la jurisprudence CJUE et la doctrine OFRS.
Detecte automatiquement les signaux de programme rémunéré (mention de recompense, référence a une autorité douaniere ou fiscale, demande d'anonymat physique) et propose la redirection vers l'autorité competente sans collecter les données nominatives.
Genere un accuse de reception conforme article 9 de la directive sous 7 jours, avec horodatage cryptographique et numéro de dossier opposable a l'OFRS en cas de contrôle.
Alerte le référent lanceur d'alerte en temps reel via Teams ou Slack quand un signalement franchit le seuil de gravité (atteinte a l'intégrité physique, corruption, fraude financiere CSSF).
Produit un registre des signalements pseudonymise, conforme article 18 de la directive et article 30 RGPD, exportable en PDF horodate opposable a la CNPD.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur des cas reels anonymises, avec un audit blanc gratuit sous 48h de votre canal interne actuel pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 30

Ils nous font confiance

Avant de discuter