Je dois mettre mon organisation luxembourgeoise en conformité au considérant 53 du Lanceurs d'alerte (UE 2019/1937). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 53 Lanceurs d'alerte

Cadre européenRGPD NIS 2 DORA AI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 53

Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937

(53)

Pour autant que la confidentialité de l’identité de l’auteur de signalement soit garantie, il appartient à chaque entité juridique du secteur privé et du secteur public de définir le type de canaux de signalement à établir. Plus précisément, les canaux de signalement devraient permettre aux personnes d’effectuer des signalements par écrit et de transmettre les signalements par courrier, via une ou des boîtes à suggestions physiques ou via une plateforme en ligne, qu’il s’agisse d’une plateforme intranet ou internet, ou d’effectuer des signalements oralement, via une permanence téléphonique ou un autre système de messagerie vocale, ou les deux. À la demande de l’auteur de signalement, ces canaux devraient aussi permettre d’effectuer des signalements par le biais de rencontres en personne, dans un délai raisonnable.

Spécificité Luxembourg

loi luxembourgeoise du 16 mai 2023 relative a la protection des personnes signalant des violations du droit

Au Luxembourg, la loi du 16 mai 2023 relative a la protection des lanceurs d'alerte impose le dispositif à partir de 50 salariés dans le secteur privé (sans seuil pour le secteur public) et confie le rôle d'autorité externe transversale a l'Office des rapports de signalement (OFRS). La violation de la confidentialité de l'identité du lanceur d'alerte est sanctionnée penalement par une amende de 1 250 a 25 000 EUR, doublee en cas de recidive, et engage la responsabilité civile de l'organisation.

Pratique Luxgap : hebergez votre canal interne sur infrastructure souveraine luxembourgeoise (eBRC, LuxConnect, POST Cloud) et documentez la chaîne de confidentialité dans un registre opposable a l'OFRS et a la CNPD lors d'un contrôle conjoint.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 53 laisse aux entités la liberté du format du canal (ecrit, oral, rencontre physique) mais impose une obligation absolue : la confidentialité de l'identité de l'auteur. En pratique, l'OFRS et la CNPD sanctionnent les organisations qui ont coche la case 'canal interne' avec une simple boite mail RH partagée, un formulaire web sans chiffrement, ou un numéro de téléphone qui s'affiche dans le journal du standard. La liberté de format ne dispense pas de la garantie technique de confidentialité, et c'est la que tombent 80% des dispositifs improvises au Luxembourg.

Les trois canaux a couvrir simultanement

Le considérant 53 n'oblige pas a tout mettre en place, mais il oblige a permettre tout type de signalement a la demande du lanceur d'alerte. Concretement, votre dispositif doit pouvoir absorber :

Ecrit asynchrone : plateforme en ligne avec chiffrement de bout en bout, ou courrier postal a une adresse dediee ouverte uniquement par la personne désignée.
Oral asynchrone : ligne telephonique dediee ou messagerie vocale avec transcription, sans identification de l'appelant dans les logs telecom.
Rencontre physique : sur demande, dans un délai raisonnable (en pratique, 7 a 14 jours ouvres), dans un lieu garantissant la discretion.

Le piège le plus frequent : confier le canal a une boite mail Outlook partagée entre 3 personnes RH. Cela viole simultanement le considérant 53 (confidentialité non garantie) et l'article 16 de la directive (limitation d'accès aux personnes habilitees).

Comment Luxgap automatise ce risque

Notre Luxgap Whistleblowing Vault elimine le risque de fuite d'identité en separant cryptographiquement le contenu du signalement de toute metadonnee identifiante, et ce avant que le message n'atteigne le destinataire interne. La plateforme combine un portail web chiffre, une ligne telephonique avec vocoder anonymisant (la voix est transcrite par un modèle de speech-to-text local hébergé chez LuxConnect, jamais stockee), et un module de prise de rendez-vous physique avec selection d'un lieu neutre.

Genere une adresse postale dediee (BP au Luxembourg) ouverte uniquement par la personne désignée, avec scan chiffre et destruction des originaux après 30 jours.
Hébergé la plateforme web sur infrastructure souveraine luxembourgeoise (eBRC ou LuxConnect), avec chiffrement client-side garantissant que ni Luxgap ni l'employeur ne peut lire un signalement sans la clé du destinataire désigné.
Anonymise les appels entrants via une passerelle SIP qui supprime le CLI avant transmission, et propose une transcription automatique pour eviter l'écoute par un tiers.
Orchestre la demande de rencontre physique avec un agenda dedie hors-SI employeur, et propose 3 lieux neutres au Luxembourg si le lanceur d'alerte refuse les locaux internes.
Produit un journal cryptographiquement scelle de chaque signalement (horodatage qualifié eIDAS), opposable a l'OFRS en cas de contrôle, sans jamais révéler l'identité source.
Detecte automatiquement les tentatives d'identification indirecte (correlation d'adresse IP, de fuseau horaire, de style d'ecriture) et alerte le DPO.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre dispositif actuel, avec un audit blanc gratuit sous 48h pour mesurer l'exposition de votre canal interne avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 53

Ils nous font confiance

Avant de discuter