La dénonciation et la loi européenne sur l'IA

11 août, 2025

Cette page vise à fournir une vue d'ensemble de la directive de l'UE sur la dénonciation (2019) et de son lien avec la loi de l'UE sur l'IA, ainsi qu'à fournir des ressources utiles pour les dénonciateurs potentiels.

Cette ressource a été élaborée par Santeri Koivulachercheur à l'Institut pour le futur de la vie, et Karl Kochfondateur de l'AI Whistleblower Initiative.

Résumé

  • La directive de l'UE sur la dénonciation (2019) protège les dénonciateurs qui signalent des violations du droit de l'UE en exigeant des canaux de signalement clairs et en protégeant les dénonciateurs contre les représailles.
  • Les protections s'appliquent à un large éventail de personnes dans un contexte professionnel, y compris les employés, les contractants, les fournisseurs, les candidats à l'emploi et les anciens travailleurs.
  • Les rapports peuvent être faits en interne au sein d'une organisation, en externe auprès des autorités nationales, ou publiquement dans certaines situations où il existe un intérêt public urgent ou un risque de représailles.
  • À partir du 2 août 2026, les protections en matière de dénonciation couvrent explicitement les violations de la loi de l'UE sur l'IA, bien que certaines questions liées à l'IA puissent déjà relever des protections existantes.
  • Diverses institutions et organisations offrent un soutien juridique, psychologique et technique gratuit aux dénonciateurs. Une prise de contact précoce peut contribuer à assurer la meilleure protection possible.

À venir dans ce billet :

La dénonciation joue un rôle important dans l'identification des violations de la loi dans les entreprises qui, autrement, resteraient cachées. C'est particulièrement vrai dans le cas de l'intelligence artificielle, où le développement rapide de la technologie rend la réglementation difficile à suivre. Par conséquent, les décideurs politiques travaillent souvent avec des informations limitées. La dénonciation peut contribuer à combler ce manque d'information, car les initiés des entreprises sont particulièrement bien placés pour détecter les problèmes qui ne sont pas facilement observables de l'extérieur. Dans une étude récente, la protection des dénonciateurs a été citée comme l'une des interventions les plus efficaces pour atténuer les risques liés à l'IA. L'efficacité de la dénonciation a été démontrée dans d'autres secteurs. Aux États-Unis, le programme de dénonciation de la Securities and Exchange Commission a permis de récupérer plus de 6,3 milliards de dollars de sanctions pécuniaires depuis son lancement en 2010.

Pour protéger les lanceurs d'alerte des conséquences négatives liées à leur prise de parole, l'Union européenne a adopté en 2019 la directive sur la dénonciation, qui charge les États membres de mettre en œuvre des lois strictes interdisant les représailles à l'encontre des lanceurs d'alerte. Elle exige des entreprises qu'elles mettent en place des canaux de signalement internes et des États membres qu'ils mettent en place des canaux de signalement externes par l'intermédiaire des autorités publiques désignées. La directive autorise également les dénonciateurs, dans certains cas, à s'adresser directement aux médias ou au public. Cette option a toutefois été transposée différemment dans chaque État membre, souvent avec des restrictions qui en font une option de dernier recours.

Ce billet donne un aperçu de la directive sur la dénonciation et de la manière dont ses dispositions sont liées à la loi européenne sur l'IA. Il donne également des conseils pratiques aux dénonciateurs potentiels, notamment sur les canaux de signalement appropriés.

À partir du 2 août 2026, la directive européenne sur la dénonciation couvrira explicitement le signalement des violations de la loi européenne sur l'IA. Cela signifie que si vous entretenez une relation professionnelle avec une entreprise couverte par la loi européenne sur l'IA et que cette relation est régie par le droit de l'UE, vous êtes protégé lorsque vous signalez des violations. Par exemple, un employé d'un fournisseur d'IA à usage général (GPAI) pourrait signaler en toute sécurité qu'un modèle GPAI présentant un risque systémique a une protection inadéquate en matière de cybersécurité, ce qui constituerait une violation de l'article 55 de la loi. 

Toutefois, comme la directive sur la dénonciation ne couvre pas actuellement les violations spécifiques à la loi sur l'IA, il subsiste une incertitude quant à la portée exacte des problèmes liés à l'IA qui doivent être signalés aujourd'hui. En outre, certaines questions resteront floues une fois que les violations de la loi sur l'IA seront couvertes. En particulier, il n'est pas certain que les risques découlant uniquement d'un déploiement interne puissent bénéficier d'une protection.

Néanmoins, même avant le 2 août 2026, les lanceurs d'alerte peuvent déjà bénéficier de protections s'ils signalent des préoccupations liées à l'IA dans d'autres catégories telles que la sécurité des produits, la protection des consommateurs ou la protection des données, qui entrent déjà dans le champ d'application de la directive.

La directive européenne sur l'alerte professionnelle a été adoptée pour établir des protections complètes pour les lanceurs d'alerte dans tous les États membres de l'UE. Initialement approuvée en 2019, elle exige que tous les États membres transposent ses dispositions en droit national avant décembre 2021. En juillet 2025, tous les États membres avaient adopté la loi sur papier. Toutefois, la Commission européenne n'a pas encore examiné et confirmé que ces lois nationales sont pleinement conformes aux normes de la directive. Jusqu'à cette confirmation, l'incertitude juridique demeure quant à la mesure dans laquelle les protections de la directive sont applicables dans certains États membres.

En effet, des problèmes de mise en œuvre subsistent. Un rapport de la Commission européenne datant de 2024 indique que la transposition dans plusieurs États membres doit être améliorée dans des domaines tels que le champ d'application matériel et les mesures de protection contre les représailles. Compte tenu de cette incertitude juridique, les personnes qui envisagent de rédiger un rapport peuvent avoir intérêt à demander des conseils, car les dispositions de la directive ne sont pas respectées dans tous les États membres. Plusieurs organisations, dont la liste figure à la fin de ce billet, offrent un soutien et des conseils juridiques.

La directive sur la dénonciation établit des canaux de signalement clairs et des protections pour la dénonciation des fautes professionnelles. Elle s'applique à un large éventail de domaines tels que les marchés publics, les services financiers, la protection de l'environnement et, à partir d'août 2026, les violations liées à la loi européenne sur l'IA, bien qu'il puisse y avoir un décalage dans la mise en œuvre dans les différents États membres. La directive protège les lanceurs d'alerte dans le cadre de différents types de relations professionnelles, y compris les employés, les travailleurs à temps partiel, les contractants et les fournisseurs.

La directive repose sur un principe simple : une protection contre les représailles est accordée aux personnes couvertes qui signalent des violations de la législation de l'UE par les voies appropriées. Nous développons ci-dessous ces protections en détail.

La directive interdit toute action déclenchée par un rapport qui cause un préjudice injustifié au dénonciateur. Cela comprend le licenciement, la suspension, la rétrogradation, le refus de promotion, le transfert de fonctions, le changement de lieu de travail, la réduction des salaires, les mesures disciplinaires, la coercition, l'intimidation, le harcèlement, la discrimination et l'atteinte à la réputation.

Il est essentiel que la charge de la preuve incombe à l'employeur, qui doit démontrer que toute mesure défavorable n'est pas liée à la dénonciation. Si des représailles sont constatées, les mesures correctives comprennent la réintégration et le versement d'un arriéré de salaire complet, certains pays offrant des dommages-intérêts supplémentaires.

La protection s'applique à toute personne ayant obtenu des informations dans un contexte professionnel. Il s'agit au moins des personnes suivantes

  • Les employés des secteurs public et privé,
  • Travailleurs indépendants,
  • Les actionnaires et les personnes appartenant aux organes d'administration ou de gestion,
  • Bénévoles et stagiaires,
  • Candidats à l'emploi,
  • les sous-traitants et les fournisseurs, et ;
  • Les personnes qui signalent des infractions après la fin de leur relation de travail.

La protection s'étend également aux facilitateurs qui assistent le dénonciateur dans la procédure de signalement, ainsi qu'aux tierces personnes liées au dénonciateur, telles que les collègues et les parents, qui pourraient faire l'objet de représailles. Toutefois, seules les personnes physiques peuvent être considérées comme des facilitateurs, ce qui signifie que les organisations de soutien elles-mêmes ne sont pas couvertes.

La relation professionnelle doit être régie par le droit communautaire. Cela signifie que si vous êtes basé dans l'UE mais que vous avez un contrat non européen, vous êtes toujours couvert lorsque vous signalez des violations du droit européen. De même, si vous êtes basé en dehors de l'UE mais que vous avez un contrat de travail européen, vous êtes également couvert. La citoyenneté n'a pas d'incidence sur le statut de protection.

À partir d'août 2026, toute violation présumée de la loi européenne sur l'IA sera couverte par la directive sur la dénonciation. Actuellement, la directive couvre les violations dans des domaines tels que les marchés publics, les services financiers, la prévention du blanchiment de capitaux et du financement du terrorisme, la sécurité des produits, la sécurité des transports, la protection de l'environnement, la sûreté nucléaire, la sécurité des denrées alimentaires et des aliments pour animaux, la santé publique, la protection des consommateurs, la protection de la vie privée et des données personnelles, et la sécurité des réseaux et des systèmes d'information. Par conséquent, certaines activités liées à l'IA peuvent déjà relever de son champ d'application, notamment en ce qui concerne la sécurité des produits, la protection des consommateurs, la protection de la vie privée et des données à caractère personnel, et la sécurité de l'information.

Il est important de noter que les protections accordées aux dénonciateurs ne dépendent pas du fait que l'enquête qui en résulte confirme ou non une violation effective de la loi. Au contraire, les dénonciateurs sont protégés s'ils avaient des motifs raisonnables de croire que l'information était vraie au moment de la dénonciation et constituait une violation couverte par la directive. L'"esprit de la loi" est également couvert, ce qui signifie que les tentatives de contourner la lettre de la loi sont également des violations à signaler.

Certaines exceptions s'appliquent à ce qui peut être signalé en vertu de la directive. Les questions de sécurité nationale sont exclues, en particulier les rapports sur les violations impliquant des marchés publics de défense ou de sécurité couverts par l'article 346 du TFUE, qui fait l'objet d'une interprétation stricte selon la jurisprudence de l'UE. Les secrets d'affaires ne peuvent être divulgués que si cela est nécessaire pour révéler une violation et si cela sert l'intérêt public. En outre, la directive ne supplante pas les protections de la confidentialité, telles que les communications confidentielles entre un avocat et son client. 

En vertu de la directive sur la dénonciation, les personnes peuvent choisir librement entre les voies de signalement internes à leur organisation, les voies de signalement externes gérées par les autorités publiques, ou les deux en parallèle. Il n'est pas nécessaire d'attendre la fin d'un processus interne pour se tourner vers un rapport externe. Dans certaines circonstances, les dénonciateurs peuvent également divulguer directement leurs informations au public.

Les canaux de signalement internes sont mis en place directement par les entreprises et sont obligatoires pour les organisations comptant 50 employés ou plus. Ces canaux doivent désigner des personnes ou des services impartiaux pour traiter les rapports, accuser réception des rapports dans les sept jours, assurer un suivi diligent et donner un retour d'information au dénonciateur dans les trois mois. La confidentialité de l'auteur du signalement et de la personne dénoncée doit être préservée.

Les rapports externes sont adressés aux autorités compétentes désignées par les États membres. Ces autorités doivent assurer un suivi diligent des rapports et maintenir la confidentialité, bien que toutes n'autorisent pas les rapports anonymes. Les autorités doivent répondre dans un délai de trois mois, faute de quoi le dénonciateur peut rendre l'information publique. Dans certains cas exceptionnels, le délai peut être de six mois en raison de la nature et de la complexité du sujet du rapport.

La divulgation publique fait référence au partage d'informations en dehors des canaux officiels de communication interne ou externe, par exemple en informant directement les médias ou en rendant les informations accessibles au public. Les dénonciateurs qui divulguent des informations publiquement ne sont protégés par la directive sur la dénonciation que dans certaines conditions. La protection s'applique si le dénonciateur a déjà fait un signalement interne ou externe, mais que la violation reste sans réponse, ce qui signifie que les canaux internes ou les autorités n'ont pas réagi de manière appropriée dans un délai de trois mois, ont mené une enquête inadéquate ou n'ont pas pris de mesures suffisantes. Les lanceurs d'alerte peuvent également divulguer des informations publiquement sans rapport interne ou externe préalable s'ils pensent raisonnablement qu'il existe un danger imminent pour l'intérêt public, tel qu'un risque de dommage irréversible ou de préjudice physique, ou s'il existe des motifs raisonnables de soupçonner des représailles en cas de rapport externe, ou une collusion entre les autorités et les personnes responsables de la violation. Dans ces circonstances, les personnes qui choisissent de divulguer des informations au public conservent en principe toutes les protections juridiques prévues par la directive. Cependant, la divulgation de l'information est souvent considérée comme un dernier recours, et cette option a été mise en œuvre différemment dans chaque État membre.

En ce qui concerne les violations de la loi sur l'IA, les responsabilités en matière d'application sont réparties entre les organes de l'UE et les autorités nationales. Étant donné que les États membres doivent encore intégrer la loi européenne sur l'IA dans leur mise en œuvre de la directive sur les lanceurs d'alerte, nous ne savons pas encore avec certitude comment seront structurés les canaux de signalement en cas de violation présumée de la loi sur l'IA. S'il est vraisemblablement possible de s'adresser directement aux autorités de l'UE, les protections les plus fortes proviendront probablement d'un signalement par l'intermédiaire des autorités nationales, qui pourront ensuite renvoyer les cas aux organes européens si nécessaire. À l'avenir, ce canal direct vers les autorités de l'UE pourrait être renforcé ; une déclaration des présidents et vice-présidents du code de bonnes pratiques de l'UE recommande la création d'un canal de signalement spécifique pour l'Office européen de l'IA.

Recommandations pratiques pour les dénonciateurs

Lorsque vous envisagez de faire une dénonciation, une préparation adéquate peut contribuer à vous protéger et à préserver l'intégrité de votre dénonciation. Nous présentons ci-dessous quelques éléments à prendre en compte (pour plus d'informations, vous pouvez consulter, par exemple, "A Tech Workers Guide To Whistleblowing, Ireland Edition" par The Signals Network) :

Documenter les preuves

Lorsque vous recueillez des preuves d'infractions potentielles, pensez à votre sécurité numérique :

  • Votre employeur peut surveiller les courriels et les appareils utilisés au travail. Utilisez des appareils et des canaux de communication personnels lorsque vous étudiez les options qui s'offrent à vous.
  • Si vous devez conserver des preuves provenant de systèmes professionnels, il est généralement plus sûr de prendre des photos avec un appareil personnel (dont le Wi-Fi est éteint) que de faire des captures d'écran sur un équipement professionnel, qui pourraient être détectées.
  • Veillez à ne pas supprimer ou effacer des fichiers de manière inappropriée, car cela pourrait compromettre votre protection ou vous exposer à d'autres problèmes juridiques.

Communication sécurisée

  • Utilisez des outils de communication cryptés tels que Signal ou ProtonMail (avec une adresse électronique et un numéro de téléphone non professionnels) lorsque vous discutez de vos préoccupations avec des conseillers juridiques ou des organisations de soutien.
  • Prévoyez la possibilité que votre accès aux systèmes de travail soit brusquement interrompu si votre employeur apprend que vous avez fait un signalement.
  • Utiliser des formulaires d'admission sécurisés s'ils sont fournis par des organisations de soutien aux dénonciateurs.

Avant de faire votre déclaration

  • Créez une chronologie claire des événements et documentez les dates de l'acte présumé répréhensible et toutes les tentatives faites pour résoudre le problème en interne.
  • Concentrez-vous sur des informations factuelles plutôt que sur des opinions ou des interprétations. Précisez les règles ou les règlements que vous estimez être enfreints.
  • Demandez un avis juridique avant de divulguer quoi que ce soit. Cela permet de s'assurer que vos actions restent protégées par les lois sur les dénonciations.
  • Reconnaissez le poids personnel que la dénonciation peut avoir sur vous et votre famille. De nombreuses organisations de soutien proposent des services supplémentaires, notamment un soutien psychosocial et professionnel.
  • Réfléchissez bien au canal de signalement le plus approprié à votre situation spécifique.

Infrastructure de soutien

Les dénonciateurs ont tout intérêt à savoir où faire part de leurs préoccupations et où chercher de l'aide. Nous présentons ci-dessous les principales institutions et organisations de certains États membres de l'UE, ainsi que les efforts déployés au niveau international.

International

  • L'AI Whistleblower Initiative (AIWI) aide à mettre en relation les initiés de l'IA avec des organisations de soutien spécialisées et offre un soutien spécialisé aux initiés des entreprises pionnières de l'IA en complétant les organisations existantes de soutien aux dénonciateurs par une expertise en matière d'IA.
    Elle propose également un "troisième avis" - un service de "pré-dénonciation" permettant aux initiés de soumettre anonymement des questions sur leurs préoccupations, sans divulguer d'informations confidentielles. L'AIWI réunit ensuite des groupes d'experts sur mesure avec l'initié pour clarifier s'il y a lieu de s'inquiéter par le biais d'une série de questions-réponses anonymes. 
  • Psst est un "coffre-fort" numérique sécurisé où les personnes peuvent partager en privé des informations non publiques et demander un soutien juridique, médiatique ou autre. Les utilisateurs peuvent déposer des informations cryptées, demander des conseils juridiques gratuits ou choisir de n'être contactés que si d'autres personnes font part de préoccupations similaires. Psst est une alternative aux dénonciations formelles, dont les enjeux sont moindres. Il engage les individus plus tôt dans le processus, avant qu'ils ne commettent des erreurs irréparables, en les aidant à évaluer les informations et à guider les étapes suivantes, tout en leur permettant de rester anonymes s'ils le souhaitent.
  • Le réseau international de dénonciation relie plusieurs organisations de la société civile qui protègent les dénonciateurs. Il propose une série de ressources sur la législation et les pratiques en matière de dénonciation, ainsi que d'autres services.
  • SUSA (Speak-Up Self-Assessment) est un outil destiné à aider les employés à déterminer si la politique de dénonciation de leur entreprise est conforme à la directive européenne sur la dénonciation.

Belgique

  • Le Médiateur fédéral est l'autorité chargée de recevoir les rapports des dénonciateurs. Il garantit une stricte confidentialité et ne divulgue jamais l'identité du dénonciateur. Les rapports peuvent être soumis par le biais de son formulaire en ligne, par courrier électronique ou en prenant rendez-vous avec son Centre pour l'intégrité. 
  • Les dénonciateurs ont droit à un soutien complet de la part de l'Institut fédéral des droits de l'homme (FIRM/IFDH), une institution publique indépendante qui fournit un soutien psychologique, social, technique et médiatique, une assistance juridique dans les procédures et une aide financière pour les frais de justice.

France

  • Le Défenseur des droits est une autorité indépendante qui apporte un soutien complet aux lanceurs d'alerte. Ses services comprennent, entre autres, l'examen des plaintes, la médiation des conflits et la conduite d'enquêtes. Si une plainte ne relève pas de ses cinq domaines de mission, il la redirige vers les autorités compétentes.
  • La Maison des Lanceurs d'Alerte est une coalition de 30 organisations de la société civile qui se concentre spécifiquement sur le soutien aux lanceurs d'alerte. Elle fournit une assistance complète, notamment juridique, psychologique, technique, financière, médiatique et sociale, adaptée aux besoins de chacun.

Allemagne

  • Whistleblower Netzwerk E.V (WBN) est la plus grande organisation de soutien aux dénonciateurs en Allemagne. Cette organisation à but non lucratif fournit des conseils juridiques et un soutien psychologique aux dénonciateurs, avec une expertise particulière dans les cas de mauvaise conduite des entreprises. Elle collabore avec d'autres organisations telles que Whistleblowing International Network (WIN) et peut aider à mettre les dénonciateurs en contact avec des acteurs internationaux si nécessaire.
  • Le Bundesamt für Justiz (Office fédéral de la justice) héberge le Bureau fédéral de signalement externe pour les dénonciateurs. Il peut transmettre des informations aux autorités responsables. Le bureau accepte les rapports en ligne via son portail sécurisé et fournit des informations détaillées sur la procédure de rapport sur son site web. Avant de faire un rapport, les dénonciateurs peuvent également recevoir des conseils sur la protection contre les représailles.

Irlande

  • Le Bureau du commissaire aux divulgations protégées (OPDC) sert de canal de signalement externe pour les dénonciateurs. Les rapports peuvent être soumis à l'OPDC en utilisant le formulaire téléchargeable, par courriel ou par téléphone. Avant de faire un rapport, les dénonciateurs peuvent utiliser la procédure de pré-engagement de l'OPDC pour comprendre si leur divulgation peut bénéficier d'une protection. Les dénonciateurs ont également la possibilité de s'adresser à des "personnes prescrites", c'est-à-dire des organismes de service public et des régulateurs désignés qui peuvent recevoir des dénonciations directement liées à leur domaine de responsabilité. Toutefois, aucune personne prescrite n'a encore été désignée pour l'IA.
  • Transparency International Irlande est la seule ONG irlandaise spécialisée dans le soutien aux dénonciateurs. Elle gère la ligne d'assistance Speak Up, qui fournit gratuitement des informations et des conseils confidentiels aux dénonciateurs. Elle a créé le Transparency Legal Advice Centre (TLAC), le seul centre juridique indépendant d'Irlande qui offre des conseils juridiques gratuits aux dénonciateurs.
Cet article a été publié le 11 août 2025

Articles connexes

Aperçu des lignes directrices pour les modèles GPAI

30 juillet 2025

Le 18 juillet 2025, la Commission européenne a publié un projet de lignes directrices clarifiant les principales dispositions de la loi européenne sur l'IA applicables aux modèles d'IA à usage général (GPAI). Les lignes directrices fournissent des conseils d'interprétation sur la définition et le champ d'application des modèles GPAI, le cycle de vie...

Vue d'ensemble du code de pratique

30 juillet 2025

Le code de pratique offre un cadre clair pour aider les développeurs de modèles d'IA à usage général (GPAI) à répondre aux exigences de la loi européenne sur l'IA. Si les fournisseurs peuvent choisir de suivre le code, ils sont également libres de démontrer leur conformité par d'autres méthodes appropriées....

Pourquoi rejoindre le groupe scientifique de l'UE sur l'IA ?

16 juin, 2025

La Commission européenne a publié un appel à candidatures pour un groupe scientifique d'experts indépendants. Le groupe se concentre sur les modèles et systèmes d'IA à usage général (GPAI). Il a notamment pour mission de conseiller l'Office de l'IA de l'UE et les autorités nationales sur les risques systémiques,...