Retour aux articles

Lanceurs d'alerte ONG | Conformité Sapin II et bailleurs | Abvius

5 juin 2026
16 min de lecture
abvius

Une enveloppe sous la porte. Un mail anonyme adressé au DAF. Un appel furtif d'un coordinateur terrain qui soupçonne une surfacturation chez un partenaire local. Dans une ONG, le signalement d'un manquement éthique ou financier ne tombe presque jamais au bon moment : il survient en pleine clôture, à la veille d'un audit ECHO ou pendant la négociation d'une nouvelle convention bailleur. Sans procédure claire, l'organisation se retrouve à improviser, exposée à la fois à la perte d'un témoin précieux et au risque réputationnel.

Mettre en place un dispositif de protection des lanceurs d'alerte n'est plus une option pour les ONG françaises et européennes : c'est une obligation légale, un attendu fort des bailleurs et un pilier du contrôle interne. Cet article décrypte le cadre juridique applicable aux associations, les obligations concrètes à respecter et la méthode pour bâtir un canal de signalement crédible. Nous verrons aussi comment un ERP comme Abvius peut sécuriser la piste d'audit des alertes financières et opérationnelles, sans transformer chaque suspicion en crise.

Lanceurs d'alerte ONG : conformité, gouvernance et confiance bailleur

Temps de lecture : ~14 min

  1. Pourquoi les lanceurs d'alerte sont un sujet stratégique pour les ONG
  2. Le cadre juridique : Sapin II, loi Waserman et directive 2019/1937
  3. Les obligations concrètes pour votre ONG
  4. Les risques d'une procédure défaillante
  5. Construire un dispositif de signalement : 5 étapes
  6. Comparatif des canaux de signalement
  7. Abvius : sécuriser la piste d'audit des alertes
  8. Mini FAQ

Pourquoi les lanceurs d'alerte ONG sont un sujet stratégique

Les ONG et OSC opèrent dans des environnements où les risques de fraude, de détournement, de conflit d'intérêts ou de manquement à la sauvegarde (PSEAH) sont structurellement élevés : équipes très décentralisées, paiements en espèces sur le terrain, partenaires locaux multiples, rotation forte des expatriés, contrôles internes parfois déclinés à la baisse en contexte d'urgence. C'est précisément dans ces conditions que les bailleurs (Union européenne, AFD, ECHO, USAID, FCDO, agences ONU) attendent un dispositif robuste de remontée d'alerte.

Au-delà de la simple obligation légale, la question des lanceurs d'alerte ONG touche trois enjeux qui se renforcent mutuellement :

  • La conformité bailleurs. Les conventions de subvention de la Commission européenne, du Foreign, Commonwealth and Development Office britannique ou de l'AFD imposent explicitement l'existence d'un canal interne de signalement, parfois doublé d'un hotline bailleur. L'absence d'un tel dispositif est désormais un point bloquant en pillar assessment ou en due diligence préalable.
  • La protection des équipes et des bénéficiaires. Un canal de signalement bien conçu protège à la fois les témoins de représailles et les populations affectées contre les abus, en cohérence avec les standards CHS (Core Humanitarian Standard) et AAP (Accountability to Affected Populations).
  • La maîtrise du risque réputationnel. Une affaire de fraude ou de harcèlement révélée par la presse avant l'organisation détruit en quelques jours des années de travail. Un dispositif crédible permet de détecter, qualifier et traiter en interne avant l'éclatement public.

Selon les retours de terrain, plus de 60 % des fraudes détectées dans le secteur ONG le sont via une alerte interne ou un témoignage anonyme : c'est de loin le premier canal de détection, devant les audits programmés. Ne pas se doter d'un dispositif structuré revient à se priver du principal mécanisme de contrôle dont on dispose.

Le cadre juridique applicable aux associations

Le cadre s'est sensiblement renforcé depuis 2016 et il continue d'évoluer. Pour une ONG française, trois textes structurent les obligations.

La loi Sapin II du 9 décembre 2016

La loi Sapin II a posé les premières bases d'un statut protecteur du lanceur d'alerte en France. Son article 8 impose à toute personne morale de droit public ou de droit privé d'au moins 50 salariés de mettre en place une procédure interne de recueil des signalements. Les associations et fondations entrent pleinement dans le champ dès qu'elles atteignent ce seuil sur douze mois, consécutifs ou non, au cours des trois dernières années.

La directive européenne 2019/1937

Adoptée le 23 octobre 2019, la directive (UE) 2019/1937 a fixé des standards minimums communs aux États membres : périmètre élargi des signalements protégés (droit de l'Union, marchés publics, services financiers, blanchiment, environnement, protection des consommateurs, etc.), interdiction des représailles, possibilité de saisir un canal externe ou de procéder à une divulgation publique, suppression de la stricte hiérarchie entre canaux internes et externes.

La loi Waserman du 21 mars 2022

La loi du 21 mars 2022, dite loi Waserman, transpose la directive en droit français et renforce sensiblement la loi Sapin II. Pour une ONG, les évolutions les plus structurantes sont les suivantes :

  • extension de la définition du lanceur d'alerte à toute personne physique qui signale ou divulgue, de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l'intérêt général, une violation du droit international, du droit de l'Union, de la loi ou du règlement ;
  • extension de la protection aux facilitateurs, aux collègues et aux proches du lanceur d'alerte ;
  • fin de la priorité absolue du canal interne : le lanceur d'alerte peut désormais saisir directement une autorité externe (Défenseur des droits, ARS, ACPR, AMF, parquet, etc.) ;
  • renforcement des sanctions en cas de représailles ou d'obstruction au signalement (jusqu'à trois ans d'emprisonnement et 45 000 € d'amende pour les personnes physiques).

Le décret d'application du 3 octobre 2022 précise les modalités de recueil et de traitement des signalements internes. À noter qu'un nouveau cycle réglementaire, parfois évoqué sous l'appellation « Sapin III », continue de pousser le sujet sur le devant de la scène en 2026, avec un alignement progressif des autorités sectorielles, dont une mise à jour de la procédure de l'AMF effective au 22 janvier 2026.

Les obligations concrètes pour votre ONG

Concrètement, qu'attend-on d'une association internationale ou d'une OSC qui veut être en règle vis-à-vis de Sapin II, de la loi Waserman et des exigences bailleurs ? Cinq obligations clés se dégagent.

Un canal de signalement interne accessible

L'organisation doit mettre à disposition un canal écrit, oral ou en présentiel permettant de recueillir un signalement de manière confidentielle. Ce canal doit être ouvert non seulement aux salariés, mais aussi aux anciens salariés, aux candidats, aux stagiaires, aux bénévoles, aux travailleurs indépendants, aux prestataires, sous-traitants et à leurs équipes, ainsi qu'aux membres et associés de l'organisation.

La confidentialité et la protection des données

L'identité du lanceur d'alerte, des personnes mises en cause et de tout tiers mentionné doit être strictement protégée. Le traitement des données suit les exigences du RGPD : finalité limitée, accès restreint, durée de conservation maîtrisée, information des personnes concernées. Pour une ONG opérant à l'international, la question du transfert des données hors UE doit être tranchée.

Des délais de traitement encadrés

Le décret du 3 octobre 2022 impose un accusé de réception du signalement dans un délai de 7 jours ouvrés et un retour d'information au lanceur d'alerte dans un délai raisonnable, qui ne peut excéder trois mois à compter de l'accusé de réception. Ces délais sont des engagements contractuels de fait vis-à-vis des bailleurs.

La protection contre les représailles

Le lanceur d'alerte de bonne foi ne peut faire l'objet de mesures de représailles : licenciement, sanction, mutation, refus de promotion, intimidation, atteinte à la réputation, etc. La charge de la preuve est inversée : c'est à l'employeur de démontrer que la mesure n'a pas de lien avec le signalement. Les statuts de l'association et le règlement intérieur doivent intégrer ce principe.

La documentation et la piste d'audit

Chaque signalement doit être tracé : date de réception, qualification, instruction, décisions prises, suites données. Cette piste d'audit est un attendu standard des auditeurs bailleurs lors d'un contrôle ECHO, AFD ou EuropeAid. C'est aussi ce qui permet, en cas de mise en cause publique, de démontrer la diligence de l'organisation.

Les risques d'une procédure défaillante

Une procédure de signalement absente, mal conçue ou jamais utilisée constitue un faisceau de risques convergents. Trois familles méritent une attention particulière.

Risques juridiques et sanctions

L'absence de canal interne est sanctionnable pénalement et civilement. Au-delà des amendes, les juridictions retiennent désormais l'absence de dispositif comme un indice de négligence dans la gestion. En matière de PSEAH ou de harcèlement, le défaut de procédure peut engager directement la responsabilité de la direction et des administrateurs.

Risques bailleurs et coupes de financement

Les principaux bailleurs institutionnels intègrent désormais l'existence d'un dispositif de signalement parmi les critères du pillar assessment (UE), des due diligence approfondies (AFD, FCDO) ou des questionnaires « partner capacity assessment » des agences ONU. Une procédure absente ou défaillante peut entraîner un déclassement, une mise sous condition d'un financement, voire un retrait. Plusieurs ONG ont vu, ces dernières années, des conventions suspendues à la suite d'une enquête révélant l'absence de canal de signalement fonctionnel.

Risques réputationnels et perte de confiance

Une affaire révélée par la presse sans qu'aucune alerte n'ait été tracée en interne envoie un signal dévastateur aux donateurs, aux bénévoles et aux partenaires. À l'inverse, démontrer qu'une alerte a été reçue, qualifiée et traitée dans les règles est un puissant facteur de résilience réputationnelle. Le sujet rejoint celui de la transparence financière des ONG et de la confiance accordée à l'aide au développement.

Construire un dispositif de signalement : 5 étapes

Au-delà du cadre légal, l'objectif d'une ONG est d'installer un dispositif réellement utilisé, et non un canal cosmétique destiné à rassurer un auditeur. Voici une trame éprouvée, applicable aussi bien à une ONG de 60 salariés qu'à une fédération internationale.

Étape 1 : cartographier les risques et le périmètre

Partez de votre cartographie des risques existante. Identifiez les zones où les signalements sont les plus probables : achats, paiements terrain, sous-subventions, ressources humaines, sauvegarde, sécurité, fraude documentaire. Précisez les périmètres géographiques (siège, bureaux pays, partenaires) et les catégories de personnes pouvant signaler. Cette cartographie nourrit ensuite la communication et le calibrage du dispositif.

Étape 2 : définir la gouvernance et les rôles

Désignez un référent alerte indépendant, doté d'une délégation claire du conseil d'administration. Pour une ONG de taille moyenne, le rôle est souvent porté par le directeur de la conformité, le responsable de l'audit interne ou le déontologue. Au-delà d'une certaine taille, un comité d'alerte pluridisciplinaire (juridique, RH, finance, programmes) qualifie les signalements et propose les suites à donner. Le schéma de délégation et les conflits d'intérêts potentiels doivent être documentés.

Étape 3 : déployer canaux et procédure

Combinez plusieurs canaux complémentaires : adresse email dédiée, plateforme en ligne sécurisée, courrier papier, entretien physique. La procédure écrite doit préciser les modalités d'accusé de réception (7 jours), de traitement (3 mois maximum), d'archivage et de retour au lanceur d'alerte. Elle est diffusée en plusieurs langues, adaptée à la réalité du terrain (connectivité limitée, illettrisme, langues locales).

Étape 4 : former les équipes et communiquer

Un dispositif n'a de valeur que s'il est connu. Intégrez le sujet dans l'onboarding, les revues annuelles, les briefings de mission. Affichez la procédure dans les bureaux, sur l'intranet, sur le site public. Formez spécifiquement les managers à ne pas étouffer les remontées et à protéger les témoins. Le code de conduite et le règlement intérieur doivent renvoyer explicitement au dispositif.

Étape 5 : mesurer, auditer, améliorer

Suivez des indicateurs clés : nombre de signalements reçus, délai moyen d'accusé de réception, délai moyen de traitement, taux de signalements qualifiés comme fondés, taux de représailles déclarées. Ces données alimentent un rapport annuel au conseil d'administration et nourrissent le dialogue avec les bailleurs. Un audit interne du dispositif tous les deux à trois ans permet d'en valider l'efficacité réelle.

Comparatif des canaux de signalement

Toutes les ONG ne disposent pas des mêmes moyens. Voici comment se positionnent les principales options de canal de signalement, du plus rudimentaire au plus structurant.

Critère Email générique Plateforme externe spécialisée Canal intégré à votre ERP (Abvius)
Confidentialité Faible : accès large à la boîte, traces dans les serveurs internes. Forte : hébergement dédié, accès restreint, audit log. Forte : rôles et permissions ERP, journalisation automatique.
Traçabilité des délais À la main, dans un tableur. Workflow dédié avec SLA configurables. Workflow connecté aux dossiers financiers et opérationnels concernés.
Lien avec les pièces comptables Aucun, tout est à reconstituer manuellement. Indirect : exports à rapprocher. Direct : alerte rattachée au paiement, au contrat, au partenaire.
Accessibilité terrain Limitée par la connexion et la confiance en la boîte interne. Bonne via mobile, multilingue. Bonne, intégrée à l'outil déjà utilisé par les équipes pays.
Coût total Faible apparent, élevé en risque réel. Abonnement spécialisé, parfois redondant. Intégré au socle ERP existant, sans surcoût d'outils tiers.
Conformité bailleurs Insuffisante en audit ECHO ou AFD approfondi. Conforme si paramétrage et politique adaptés. Conforme et auditable de bout en bout.

Pour les petites OSC, une plateforme externe reste un point d'entrée pertinent. Mais dès qu'une ONG gère plusieurs subventions, plusieurs pays et plusieurs partenaires, l'intégration du dispositif au socle ERP devient un levier de cohérence majeur.

Abvius : sécuriser la piste d'audit des alertes

Chez Abvius, nous pensons qu'un dispositif de signalement n'a de portée réelle que s'il est connecté aux opérations qu'il est censé contrôler. Notre ERP Finance, Opérations et MEAL pour les ONG, OSC et organisations de solidarité internationale est conçu pour faire converger conformité légale, exigences bailleurs et réalité du terrain.

Concrètement, Abvius apporte sur la chaîne du signalement plusieurs briques utiles :

  • Suivi budgétaire en temps réel. Les alertes financières sont rattachées aux lignes budgétaires, aux contrats et aux paiements concernés. Le référent alerte travaille sur des chiffres à jour, pas sur un export Excel obsolète.
  • Piste d'audit complète. Toute action sensible (validation d'une dépense, modification d'un contrat partenaire, paiement d'une facture) est journalisée. En cas de signalement, la chaîne de décisions est reconstituable au clic, conformément aux attentes des auditeurs ECHO, AFD ou EuropeAid.
  • Workflows de validation paramétrables. Les schémas de délégation, les seuils d'autorisation et la séparation des fonctions sont configurés dans l'outil. Le contournement de procédure devient lui-même un signal détectable.
  • Signature électronique conforme. Les engagements, contrats et validations sensibles sont signés électroniquement avec une valeur probante alignée sur le règlement eIDAS 2.0, ce qui sécurise la chaîne de preuve.
  • Centralisation siège-terrain. Les bureaux pays accèdent au même référentiel que le siège, avec une gestion fine des droits. Un signalement émis sur le terrain n'est plus perdu dans une boîte mail locale.
  • Reporting bailleur automatique. Les indicateurs de contrôle interne, dont ceux du dispositif d'alerte, peuvent être consolidés dans les rapports bailleurs sans ressaisie.

Abvius ne se substitue pas à la décision humaine : le référent alerte, le comité d'éthique, la direction et le conseil d'administration restent maîtres des qualifications et des suites à donner. Mais nos clients ONG constatent qu'en plaçant la piste d'audit au cœur du système, ils réduisent à la fois le risque opérationnel et la charge de preuve en audit. Pour approfondir, vous pouvez consulter notre site abvius.org.

Mini FAQ

Le seuil de 50 salariés s'applique-t-il à toutes les ONG ?

Le seuil de 50 salariés est apprécié au niveau de chaque entité juridique française. Une fédération qui regroupe plusieurs associations doit examiner la situation entité par entité, sauf accord pour mutualiser le dispositif au niveau du groupe, sous conditions strictes. En pratique, même en-dessous du seuil légal, la plupart des bailleurs attendent un dispositif équivalent : l'argument « nous sommes trop petits » ne tient plus.

Faut-il accepter les signalements anonymes ?

La loi Waserman n'oblige pas à recueillir les signalements anonymes, mais elle n'interdit pas non plus de les traiter. Beaucoup d'ONG choisissent de les accepter et de les qualifier au cas par cas, car les signalements anonymes représentent souvent une part significative des remontées utiles, notamment depuis le terrain. La protection légale du lanceur d'alerte joue alors si son identité est révélée ultérieurement.

Quelle articulation avec les dispositifs PSEAH ?

Les dispositifs PSEAH (protection contre l'exploitation, les abus et le harcèlement sexuels) et les dispositifs de signalement Sapin II poursuivent des objectifs proches mais distincts. Le plus pertinent est d'avoir une porte d'entrée unique pour le signalant, avec un tri en interne entre les canaux spécialisés. Notre article sur la politique PSEAH des ONG détaille les exigences bailleurs sur ce volet.

Les bailleurs non européens imposent-ils les mêmes exigences ?

Les bailleurs anglo-saxons (FCDO, USAID, fondations privées) imposent des exigences souvent plus précises : code de conduite signé, hotline indépendante, reporting régulier des cas. Les bailleurs européens et l'AFD convergent rapidement vers ces standards. Un dispositif aligné sur Sapin II et la directive 2019/1937 couvre l'essentiel des attentes internationales, à condition de documenter sérieusement sa mise en œuvre.

Synthèse

La protection des lanceurs d'alerte n'est plus un sujet de conformité de second rang pour les ONG. Cadre Sapin II durci par la loi Waserman, exigences renforcées des bailleurs européens et internationaux, attentes croissantes des donateurs : le dispositif de signalement est devenu un pilier du contrôle interne, au même titre que la séparation des fonctions ou la cartographie des risques. Bâtir un canal accessible, confidentiel, tracé et réellement utilisé est à la portée de toute organisation qui accepte d'investir dans la méthode, la gouvernance et les outils. Le bénéfice est triple : sécurisation juridique, crédibilité bailleurs et résilience réputationnelle.

Pour aller plus loin, vous pouvez consulter nos articles connexes sur la mise en place d'un contrôle interne ONG, la préparation d'un audit bailleur et la piste d'audit numérique. Pour échanger sur votre projet de dispositif de signalement et la place qu'un ERP peut y jouer, notre équipe est joignable via la page de contact d'abvius.org.

Voir tous les articles