Je dois mettre mon organisation luxembourgeoise en conformité au considérant 55 du Lanceurs d'alerte (UE 2019/1937). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 55 Lanceurs d'alerte

Cadre européenRGPD NIS 2 DORA AI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 55

Directive sur la protection des personnes qui signalent des violations du droit de l'Union · UE 2019/1937

(55)

Les procédures de signalement interne devraient permettre aux entités juridiques du secteur privé de recevoir des signalements et d’enquêter, en toute confidentialité, sur les signalements effectués par des travailleurs de l’entité, de ses filiales ou de sociétés affiliées (ci-après dénommées «groupe»), mais aussi, dans la mesure du possible, par des agents et des fournisseurs du groupe et par toutes les personnes qui obtiennent des informations dans le cadre de leurs activités professionnelles avec l’entité et le groupe.

Spécificité Luxembourg

loi luxembourgeoise du 16 mai 2023 relative à la protection des lanceurs d'alerte

Au Luxembourg, la loi du 16 mai 2023 relative à la protection des lanceurs d'alerte transpose le considérant 55 en imposant aux entités privées de 50 salariés et plus de mettre en place un canal interne ouvert aux salariés, anciens salariés, candidats, intérimaires, stagiaires, indépendants, actionnaires, membres d'organes et personnes travaillant sous l'autorité de fournisseurs ou sous-traitants. L'OFRS contrôle cette ouverture et peut prononcer des sanctions pénales de 1 250 à 25 000 EUR, doublées en cas de récidive, en cas d'entrave ou de canal incomplet.

Pratique Luxgap : nous cartographions systématiquement vos filiales SOPARFI, vos succursales UE et vos fournisseurs RCS pour démontrer la couverture exhaustive du périmètre groupe exigée par la loi LU.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 55 élargit le périmètre du canal interne bien au-delà des salariés : il visé aussi les filiales, sociétés affiliées, agents et fournisseurs du groupe. En pratique, la plupart des entreprises luxembourgeoises déploient un canal Whistleblower limité aux employés CDI et oublient les intérimaires, stagiaires, prestataires Odoo, consultants externes et fournisseurs. L'OFRS et l'ITM contrôlent justement cette ouverture du canal lors des inspections, et une restriction trop étroite suffit à invalider tout le dispositif et à exposer l'organisation aux sanctions pénales de 1 250 à 25 000 EUR de la loi du 16 mai 2023.

Qui doit pouvoir signaler dans votre canal interne

Salariés directs de l'entité (CDI, CDD, intérimaires, apprentis, stagiaires)
Salariés des filiales et sociétés affiliées du groupe (périmètre consolidé)
Agents commerciaux et représentants agissant pour le compte du groupe
Fournisseurs et sous-traitants ainsi que leurs propres salariés intervenant chez vous
Anciens salariés ayant obtenu l'information pendant leur activité
Candidats ayant eu connaissance lors du processus de recrutement
Actionnaires, membres d'organes de direction et de surveillance
Bénévoles, travailleurs détachés et toute personne en lien professionnel avec l'entité

Le piège du périmètre groupe

Les groupes luxembourgeois (holdings SOPARFI avec filiales opérationnelles, groupes bancaires avec succursales UE, groupes industriels avec entités logistiques) tombent souvent dans le piège du canal silotté par entité juridique. Le considérant 55 impose au contraire une logique groupe : un fournisseur du groupe doit pouvoir signaler via n'importe quel canal du groupe. Mais attention, la jurisprudence EDPB et les guidances OFRS imposent que la gestion et l'enquête restent au plus près de l'entité concernée pour préserver la confidentialité RGPD.

Comment Luxgap automatise ce risque

Notre Luxgap Whistleblower Reach Mapper garantit que votre canal interne couvre l'intégralité du périmètre exigé par le considérant 55, sans laisser un seul fournisseur ou agent dans l'angle mort. L'outil croise automatiquement votre registre commercial (RCS), votre ERP (Odoo, SAP, Sage BOB 50), votre annuaire Active Directory et votre registre fournisseurs pour reconstituer la cartographie complète des personnes qui doivent pouvoir vous signaler une alerte.

Détecte automatiquement chaque nouvelle filiale, succursale ou société affiliée via une connexion au RCS luxembourgeois et aux registres équivalents UE, et étend le périmètre du canal sans intervention manuelle.
Classifie chaque population éligible (salariés directs, intérimaires via ITM, fournisseurs Odoo, agents commerciaux, anciens salariés via SI RH) et génère la liste exhaustive des canaux d'information à activer.
Génère automatiquement les notices d'information multilingues FR/EN/DE/PT/LU adaptées à chaque population, intégrables dans les contrats fournisseurs, les onboardings RH et les portails extranet.
Publie un portail de signalement unique sécurisé (chiffrement bout-en-bout, hébergement eBRC ou LuxConnect Tier IV) accessible aux salariés ET aux tiers, avec ségrégation des accès par entité juridique pour préserver la confidentialité intra-groupe.
Alerte instantanément via Teams ou Outlook le référent désigné dès qu'un signalement entre, avec horodatage cryptographique opposable à l'OFRS.
Produit un rapport PDF scellé démontrant l'exhaustivité de la couverture du périmètre exigé par le considérant 55, opposable lors d'un contrôle ITM ou OFRS.

Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmètre réel, avec un audit blanc gratuit sous 48h pour mesurer les angles morts de votre canal actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 55

Ils nous font confiance

Avant de discuter