Whistleblower Systems - Assessment & Drafting

举报者系统 - 评估与起草

Overview

概述

This Guide can help you (a) assess the compliance of an existing whistleblower system or (b) draft a reporting policy based on a provided template.

本指南可帮助您：(a) 评估现有举报者系统的合规性，或(b) 根据提供的模板起草举报政策。

Legal Framework Covered

涵盖的法律框架

EU Directive 2019/1937
Amended Sapin II Law (Waserman Law 2022)
Decree No. 2022-1284
CNIL Professional Alerts Framework

EU Directive 2019/1937
修订后的萨班二号法案（Waserman 2022法案）
2022-1284号法令
CNIL专业举报框架

Two Modes of Use

两种使用模式

Mode	Description	Output
A. Compliance Assessment	Audit an existing system	Assessment report + action plan
B. Policy Drafting	Create a system based on referenced sources	Policy based on template

模式	描述	输出
A. 合规评估	审计现有系统	评估报告 + 行动计划
B. 政策起草	基于参考文件创建系统	基于模板生成的政策

What This Skill Does / Does Not Do

本技能的适用/不适用范围

What this skill does	What it does not do
Assesses compliance of an existing system	Provide definitive legal conclusions
Drafts a reporting policy based on the provided template	Guarantee enforceability

Scope: Internal reporting systems subject to the amended Sapin II Law and Decree No. 2022-1284.

Variation Callouts:

Public Sector: Coordination with Art. 40 CPP

Duty of Vigilance: Companies with ≥ 5,000 / 10,000 employees

本技能可实现的功能	本技能不提供的服务
评估现有系统的合规性	提供明确的法律结论
根据提供的模板起草举报政策	保证政策可执行性

适用范围：受修订后的萨班二号法案及2022-1284号法令约束的内部举报系统。

特殊情况说明:

公共部门：需与《刑事诉讼法典》第40条协调

尽职调查义务：员工数≥5000/10000的企业

目录结构

/
├── SKILL.md
├── LICENSE.txt
├── README.md
├── assets/
    ├── Template_Politique_Lanceur_Alerte.docx ← Template for Mode B
    ├── [PDF sources]
└── references/
    ├── TEXTES_LEGAUX.md      ← Verbatim legal article citations
    ├── DECRET_PROCEDURE.md   ← Mandatory elements (Decree 2022-1284)
    ├── RGPD_CNIL.md          ← GDPR compliance and CNIL framework
    ├── FONCTION_PUBLIQUE.md  ← Public sector specifics + Art. 40 CPP
    └── VIGILANCE.md          ← Duty of vigilance coordination

/
├── SKILL.md
├── LICENSE.txt
├── README.md
├── assets/
    ├── Template_Politique_Lanceur_Alerte.docx ← 模式B使用的模板
    ├── [PDF参考文件]
└── references/
    ├── TEXTES_LEGAUX.md      ← 法律条文原文引用
    ├── DECRET_PROCEDURE.md   ← 强制要求内容（2022-1284号法令）
    ├── RGPD_CNIL.md          ← GDPR合规及CNIL框架
    ├── FONCTION_PUBLIQUE.md  ← 公共部门细则 + 《刑事诉讼法典》第40条
    └── VIGILANCE.md          ← 尽职调查义务协调

DISCLAIMER

免责声明

THIS IS NOT LEGAL ADVICE. This skill is provided for informational and educational purposes only. Laws vary by jurisdiction and individual circumstances, and only a qualified lawyer can provide advice tailored to your specific situation. This does not constitute legal advice or opinion—it is a Claude skill intended for legal professionals. All outputs from this skill must be reviewed by a qualified legal professional before any legal use.

本内容不构成法律建议。 本技能仅用于信息和教育目的。不同司法管辖区的法律及具体情况存在差异，只有合格律师才能针对您的特定情况提供建议。本内容不构成法律建议或意见——它是为法律专业人士设计的Claude技能。本技能的所有输出在用于法律场景前，必须经过合格法律专业人士的审核。

Choosing the Mode of Use

选择使用模式

Mode A: Compliance Assessment

模式A：合规评估

When to use: The client already has a system and wants to verify its compliance.

→ Go to Section 3 (Inputs) then Section 5 (Assessment Workflow)

适用场景：客户已有系统，希望验证其合规性。

→ 前往第3节（输入信息），然后第5节（评估工作流）

Mode B: Policy Drafting

模式B：政策起草

When to use: The client does not have a system or wants to create a new one.

→ Go to Section 3 (Inputs) then Section 13 (Policy Drafting)

Template	Format	Usage
`Template_Politique_Lanceur_Alerte.docx`	Word	Internal reporting policy template

IMPORTANT: The template must be used EXACTLY as provided. Only variable elements should be adapted.

适用场景：客户暂无系统，或希望创建新系统。

→ 前往第3节（输入信息），然后第13节（政策起草）

模板	格式	用途
`Template_Politique_Lanceur_Alerte.docx`	Word	内部举报政策模板

重要提示：模板必须严格按照提供的格式使用。仅可调整可变内容。

Inputs to Collect (request before assessing)

需收集的输入信息（评估前需获取）

A. Organizational Context (mandatory)

A. 组织背景（必填）

Legal form and headcount (threshold ≥ 50 employees/agents?)
Business sector and status (private/public/mixed)
Group structure (pooling possible?)
Existing system: implementation date, post-Waserman update?

法律形式及员工数（是否达到≥50名员工/公职人员的门槛？）
业务领域及属性（私营/公共/混合）
集团架构（是否可共享系统？）
现有系统：实施日期，是否已根据Waserman法案更新？

B. Documentation to Request

B. 需索取的文件

Internal reporting procedure
Employee communication materials
Templates used (acknowledgment, feedback, closure)
Job description / designated officer appointment
GDPR register / DPIA if existing

内部举报流程
员工沟通材料
使用的模板（确认函、反馈函、结案函）
岗位职责说明 / 指定负责人任命文件
GDPR登记册 / 若已存在则提供DPIA文档

C. Practical Constraints (recommended)

C. 实际约束条件（建议收集）

Pooling with other entities considered?
Outsourcing of reception channel?
Coordination with other systems (duty of vigilance)?

是否考虑与其他实体共享系统？
是否外包举报接收渠道？
是否与其他系统（如尽职调查义务系统）协调？

Deliverables - Mode A: Assessment

交付成果 - 模式A：评估

Quick Start (default output)

快速启动（默认输出）

ALWAYS produce:

Executive Summary (1 page)
Phase-by-Phase Assessment Table (8 phases)
Recommended Action Plan

必须生成以下内容：

执行摘要（1页）
分阶段评估表（8个阶段）
建议行动计划

A. Executive Summary

A. 执行摘要

Overall compliance: Compliant / Partially Compliant / Non-Compliant
Top 5 gaps identified (ranked by priority)
Recommendation: "Compliant" / "Correct before deployment" / "Escalate"

整体合规性：合规 / 部分合规 / 不合规
识别出的Top5差距（按优先级排序）
建议：“合规” / “部署前整改” / “升级处理”

B. Detailed Assessment Table

B. 详细评估表

Phase	Checkpoint	Compliant	Gap Identified	Priority	Recommendation
1. Applicability
1.1	Headcount threshold met (≥ 50)
1.2	Entity type identified (private/public/mixed)
1.3	Pooling compliant if applicable (< 250, concurrent decision)
2. Reception Channel
2.1	Written OR oral channel provided (entity's choice)
2.2	If oral provided: telephone or voicemail mentioned
2.3	If oral provided: video/in-person meeting on request (20 business days)
2.4	Ability to transmit any type of document
2.5	Written acknowledgment within 7 business days
3. Designated Persons
3.1	Formal designation for receipt
3.2	Formal designation for processing
3.3	Sufficient competence
3.4	Sufficient authority
3.5	Sufficient resources
3.6	Impartiality safeguards in place
3.7	If outsourced: third-party obligations compliant
4. Verification / Processing
4.1	Admissibility criteria defined (Art. 6 + Art. 8 I.A.)
4.2	Reporter informed if inadmissible
4.3	Follow-up for non-compliant reports specified
4.4	Follow-up for anonymous reports specified
4.5	Written feedback within 3 months
4.6	Feedback content compliant (measures + reasons)
4.7	Reasoned closure provided
4.8	Written closure notification to reporter
5. Confidentiality
5.1	Information integrity guaranteed
5.2	Reporter identity confidentiality
5.3	Persons concerned confidentiality
5.4	Third parties mentioned confidentiality
5.5	Access restricted to authorized persons
5.6	Prompt transmission to designated persons
5.7	If oral: recording procedures defined
5.8	Reporter's right to verify/approve
5.9	Retention period limited
6. Dissemination / Information
6.1	Procedure disseminated with sufficient publicity
6.2	Permanently accessible to eligible persons
6.3	Whistleblower status conditions
6.4	Categories of eligible persons
6.5	Reporting procedures (form, channels)
6.6	Processing timelines (7-day acknowledgment, 3-month feedback)
6.7	Confidentiality guarantees
6.8	Protections granted
6.9	Information on external channels
6.10	GDPR information
7. GDPR Compliance (CNIL Ref. 06/07/2023)
7.1	Legal basis identified (legal obligation or legitimate interest)
7.2	Purposes defined with no incompatible reuse
7.3	Data minimization respected (by phase: collection, investigation, post-decision)
7.4	Anonymous reports possible, no re-identification
7.5	Authorized users documented, access logged
7.6	Disclosure rules followed (reporter: consent / subject: after substantiation)
7.7	Retention periods defined by phase and communicated
7.8	Data subject notification compliant (reporter at acknowledgment, subject within 1 month)
7.9	Data subject rights guaranteed (access, objection, rectification, restriction)
7.10	Security measures compliant (17 CNIL categories)
7.11	Processing register updated
7.12	DPIA completed (recommended)
8. Sector-Specific Requirements
8.1	Public sector: Art. 40 CPP coordination documented
8.2	Public sector: Designated officer informed of Art. 40 obligations
8.3	Vigilance: Consultation with representative unions
8.4	Vigilance: Extended scope (subsidiaries, subcontractors)
8.5	Vigilance: External stakeholders eligible
8.6	Regulated sectors: Sector-specific obligations coordinated

阶段	检查项	合规	发现差距	优先级	建议
1. 适用性
1.1	达到员工数门槛（≥50）
1.2	明确实体类型（私营/公共/混合）
1.3	若适用，共享系统合规（员工数<250，需共同决策）
2. 接收渠道
2.1	提供书面或口头渠道（由实体选择）
2.2	若提供口头渠道：提及电话或语音信箱
2.3	若提供口头渠道：可应要求安排视频/面对面会议（20个工作日内）
2.4	可传输任何类型的文件
2.5	7个工作日内发送书面确认函
3. 指定负责人
3.1	正式指定接收负责人
3.2	正式指定处理负责人
3.3	具备足够的专业能力
3.4	具备足够的权限
3.5	具备足够的资源
3.6	已落实公正性保障措施
3.7	若外包：第三方义务合规
4. 核查/处理
4.1	定义可受理标准（第6条 + 第8条I.A.款）
4.2	若举报不可受理，需告知举报人
4.3	明确不合规举报的跟进方式
4.4	明确匿名举报的跟进方式
4.5	3个月内提供书面反馈
4.6	反馈内容合规（包含措施及理由）
4.7	提供有依据的结案说明
4.8	向举报人发送书面结案通知
5. 保密性
5.1	保证信息完整性
5.2	保护举报人身份机密
5.3	保护相关人员身份机密
5.4	保护提及的第三方身份机密
5.5	限制授权人员访问
5.6	及时传输给指定负责人
5.7	若为口头举报：定义录音流程
5.8	举报人有权核查/确认
5.9	限制数据保留期限
6. 传播/信息告知
6.1	流程已充分公开传播
6.2	符合条件的人员可永久访问
6.3	明确举报人身分的条件
6.4	明确符合条件的人员类别
6.5	举报流程（表单、渠道）
6.6	处理时限（7天确认、3个月反馈）
6.7	保密性保障措施
6.8	提供的保护措施
6.9	外部渠道信息
6.10	GDPR相关信息
7. GDPR合规（CNIL 2023年7月6日参考框架）
7.1	明确法律依据（法定义务或合法利益）
7.2	定义用途，无不相容的重复使用
7.3	遵循数据最小化原则（按阶段：收集、调查、决策后）
7.4	支持匿名举报，不得重新识别身份
7.5	记录授权用户，日志化访问行为
7.6	遵循披露规则（举报人：需同意 / 相关方：核实后）
7.7	按阶段定义并告知数据保留期限
7.8	合规通知数据主体（举报人在确认时，相关方在1个月内）
7.9	保障数据主体权利（访问、异议、更正、限制）
7.10	安全措施合规（CNIL的17个类别）
7.11	更新处理登记册
7.12	完成DPIA（建议）
8. 特定行业要求
8.1	公共部门：记录与《刑事诉讼法典》第40条的协调情况
8.2	公共部门：告知指定负责人《刑事诉讼法典》第40条的义务
8.3	尽职调查：与代表工会协商
8.4	尽职调查：扩展范围（子公司、分包商）
8.5	尽职调查：外部利益相关者符合条件
8.6	受监管行业：协调特定行业义务

Assessment Workflow (Mode A)

评估工作流（模式A）

Step 1 — Verify Applicability

步骤1 — 验证适用性

IS THE ORGANIZATION SUBJECT TO THE OBLIGATION?

Private legal entity ≥ 50 employees → YES
Public legal entity ≥ 50 agents → YES
Municipality ≥ 10,000 inhabitants → YES
State administration → YES
Other → CHECK sector-specific regulations

Pooling possible (< 250 employees/agents): See Art. 8 I. B. and C. of the amended Sapin II Law + Art. 7 II of the Decree

该组织是否受相关义务约束？

私营法人实体≥50名员工 → 是
公共法人实体≥50名公职人员 → 是
居民≥10000人的市政当局 → 是
国家行政机关 → 是
其他 → 核查特定行业法规

可共享系统（员工数<250）：参见修订后的萨班二号法案第8条I.B.和C.款 + 法令第7条II款

Step 2 — Assess Compliance (use references)

步骤2 — 评估合规性（使用参考文件）

IMPORTANT - MANDATORY READING: Before any assessment, read IN FULL the file
assets/Decret_2022_1284.pdf
(Articles 1 to 8 + annex). Do not rely solely on summaries—the exact decree text is authoritative.

Assess the system systematically using the references:

Reference	What it covers
`assets/Decret_2022_1284.pdf`	ALWAYS READ FIRST - Full decree text
DECRET_PROCEDURE.md	Summary of mandatory elements (Art. 4-8 decree)
RGPD_CNIL.md	GDPR compliance and CNIL framework
FONCTION_PUBLIQUE.md	Public sector specifics + Art. 40 CPP
VIGILANCE.md	Duty of vigilance coordination (if applicable)
TEXTES_LEGAUX.md	Verbatim citations for verification

Assessment method:

Read Decree 2022-1284 in full before starting the assessment
Verify that all mandatory elements are present (completeness)
Verify that each clause is compliant with the legal and regulatory framework (no contradictions)
Use the Section 6 checklist to structure the assessment by phase
When in doubt, always return to the exact text of the decree

重要提示 - 必读：在进行任何评估前，完整阅读文件
assets/Decret_2022_1284.pdf
（第1至8条 + 附件）。不要仅依赖摘要——法令原文具有权威性。

使用参考文件系统地评估系统：

参考文件	涵盖内容
`assets/Decret_2022_1284.pdf`	必须首先阅读 - 完整法令文本
DECRET_PROCEDURE.md	强制要求内容摘要（法令第4-8条）
RGPD_CNIL.md	GDPR合规及CNIL框架
FONCTION_PUBLIQUE.md	公共部门细则 + 《刑事诉讼法典》第40条
VIGILANCE.md	尽职调查义务协调（如适用）
TEXTES_LEGAUX.md	用于核实的原文引用

评估方法:

完整阅读2022-1284号法令后再开始评估
验证所有强制要求内容是否齐全（完整性）
验证每个条款是否符合法律和监管框架（无矛盾）
使用第6节的检查表按阶段构建评估内容
如有疑问，始终参考法令原文

Step 3 — Draft the Report

步骤3 — 起草报告

REPORT STRUCTURE:
1. Executive summary (overall compliance, strengths, priority areas)
2. Context and scope (organization, regulatory framework, documents analyzed)
3. Detailed results (cover all 8 checklist phases)
4. Gap summary table
5. Recommended action plan
6. Annexes (completed checklist, applicable texts)

报告结构:
1. 执行摘要（整体合规性、优势、优先改进领域）
2. 背景和范围（组织、监管框架、分析的文件）
3. 详细结果（覆盖所有8个检查阶段）
4. 差距汇总表
5. 建议行动计划
6. 附件（已完成的检查表、适用文本）

Step 4 — Prioritize Recommendations

步骤4 — 优先级排序建议

Priority	Criterion	Example
CRITICAL	Absence of system, non-compliance with legal deadlines, confidentiality failure	No acknowledgment of receipt
IMPORTANT	Insufficient information, unidentified designated officer, GDPR non-compliance	Impartiality risk with processing officer
IMPROVEMENT	Procedure needs refinement, incomplete documentation, training to strengthen	Communication materials to complete

优先级	标准	示例
关键	无系统、不符合法定期限、保密性失效	未发送接收确认函
重要	信息不足、未指定负责人、GDPR不合规	处理负责人存在公正性风险
改进	流程需优化、文件不完整、需加强培训	补充沟通材料

Assessment Checklist (8 phases)

评估检查表（8个阶段）

Phase 1: Applicability

阶段1：适用性

See Art. 8 I. B. amended Sapin II Law + Art. 1 and 2 of the Decree

Organization subject to obligation (threshold met)
Entity type identified (private/public/mixed)
Pooling compliant if applicable (< 250, concurrent decision)

参见修订后的萨班二号法案第8条I.B.款 + 法令第1和2条

组织受义务约束（达到门槛）
明确实体类型（私营/公共/混合）
若适用，共享系统合规（员工数<250，共同决策）

Phase 2: Reception Channel

阶段2：接收渠道

→ Detailed reference: DECRET_PROCEDURE.md - Section 1

Written OR oral channel provided (entity's choice - Art. 4 I decree)
If oral provided: telephone or voicemail mentioned
If oral provided: video/in-person meeting on request (20 business days)
Ability to transmit any type of document
Written acknowledgment within 7 business days provided

→ 详细参考：DECRET_PROCEDURE.md - 第1节

提供书面或口头渠道（由实体选择 - 法令第4条I款）
若提供口头渠道：提及电话或语音信箱
若提供口头渠道：可应要求安排视频/面对面会议（20个工作日内）
可传输任何类型的文件
提供7个工作日内的书面确认函

Phase 3: Designated Persons

阶段3：指定负责人

→ Detailed reference: DECRET_PROCEDURE.md - Section 3

Formal designation in procedure (receipt AND processing)
Sufficient competence, authority, and resources
Impartiality safeguards in place
If pooling (< 250 employees): Art. 7 II conditions met
If outsourced: third-party obligations compliant with Art. 7 I

→ 详细参考：DECRET_PROCEDURE.md - 第3节

流程中正式指定（接收和处理）负责人
具备足够的专业能力、权限和资源
已落实公正性保障措施
若共享系统（员工数<250）：符合第7条II款条件
若外包：第三方义务符合第7条I款要求

Phase 4: Verification and Processing

阶段4：核查与处理

→ Detailed reference: DECRET_PROCEDURE.md - Section 2

VERIFICATION:

Admissibility criteria defined (Art. 6 and Art. 8 I.A.)
Reporter notification in case of inadmissibility provided
Follow-up for non-compliant reports specified
Follow-up for anonymous reports specified

PROCESSING:

Written feedback within 3 months maximum provided
Feedback content compliant (measures considered/taken + reasons)
Reasoned closure provided (unfounded or moot allegations)
Written closure notification to reporter provided

→ 详细参考：DECRET_PROCEDURE.md - 第2节

核查:

定义可受理标准（第6条和第8条I.A.款）
若举报不可受理，需告知举报人
明确不合规举报的跟进方式
明确匿名举报的跟进方式

处理:

提供最长3个月内的书面反馈
反馈内容合规（包含考虑/采取的措施及理由）
提供有依据的结案说明（指控无根据或已失效）
向举报人发送书面结案通知

Phase 5: Confidentiality

阶段5：保密性

→ Detailed reference: DECRET_PROCEDURE.md - Section 4

Information integrity and confidentiality guaranteed
Identity protection: reporter, persons concerned, third parties mentioned
Access prohibited to unauthorized persons
Prompt transmission to designated persons provided
If oral: recording procedures defined
Retention period limited to strict necessity

→ 详细参考：DECRET_PROCEDURE.md - 第4节

保证信息完整性和保密性
身份保护：举报人、相关人员、提及的第三方
禁止未授权人员访问
及时传输给指定负责人
若为口头举报：定义录音流程
保留期限限制为严格必要的时长

Phase 6: Dissemination and Information

阶段6：传播与信息告知

→ Detailed reference: DECRET_PROCEDURE.md - Section 6

Procedure disseminated with sufficient publicity
Permanently accessible to eligible persons
Complete information content (see Section 7 of decree)
Information on external channels available

→ 详细参考：DECRET_PROCEDURE.md - 第6节

流程已充分公开传播
符合条件的人员可永久访问
信息内容完整（参见法令第7节）
提供外部渠道信息

Phase 7: GDPR Compliance (CNIL Framework 06/07/2023)

阶段7：GDPR合规（CNIL 2023年框架）

Phase 8: Sector-Specific Requirements

阶段8：特定行业要求

→ Public sector → FONCTION_PUBLIQUE.md

Coordination with Art. 40 CPP documented
Designated officer informed of Art. 40 obligations

→ Duty of vigilance → VIGILANCE.md

Mechanism established in consultation with representative unions
Extended scope (subsidiaries, subcontractors, suppliers)
External stakeholders eligible

→ Regulated sectors (financial, healthcare, etc.)

Coordination with sector-specific obligations documented

→ 公共部门 → FONCTION_PUBLIQUE.md

记录与《刑事诉讼法典》第40条的协调情况
告知指定负责人《刑事诉讼法典》第40条的义务

→ 尽职调查 → VIGILANCE.md

与代表工会协商建立机制
扩展范围（子公司、分包商、供应商）
外部利益相关者符合条件

→ 受监管行业（金融、医疗等）

记录与特定行业义务的协调情况

The Three Reporting Channels (Art. 8 Sapin II Law)

三种举报渠道（萨班二号法案第8条）

┌──────────────────────────────────────────────────────────────────────────────┐
│  CHANNEL 1: INTERNAL REPORTING (Art. 8 I)                                    │
│  ────────────────────────────────────────                                    │
│  WHEN: Can be used directly, without prior condition                         │
│                                                                              │
│  ELIGIBLE PERSONS (Art. 8 I.A. 1° to 5°):                                    │
│  → Staff members (current or former)                                         │
│  → Job applicants                                                            │
│  → Shareholders, partners, voting rights holders                             │
│  → Members of administrative, management, supervisory bodies                 │
│  → External and occasional collaborators                                     │
│  → Contractors, subcontractors and their bodies/staff                        │
├──────────────────────────────────────────────────────────────────────────────┤
│  CHANNEL 2: EXTERNAL REPORTING (Art. 8 II)                                   │
│  ─────────────────────────────────────────                                   │
│  WHEN: Can be used in two ways                                               │
│    ✓ EITHER after making an internal report                                  │
│    ✓ OR directly (without going through internal)                            │
│                                                                              │
│  POSSIBLE RECIPIENTS:                                                        │
│  1° Competent authority (list in annex to Decree No. 2022-1284)              │
│  2° Defender of Rights                                                       │
│  3° Judicial authority (Public Prosecutor)                                   │
│  4° Competent EU institution, body or agency                                 │
├──────────────────────────────────────────────────────────────────────────────┤
│  CHANNEL 3: PUBLIC DISCLOSURE (Art. 8 III)                                   │
│  ─────────────────────────────────────────                                   │
│  WHEN: Protection granted only in the following cases                        │
│                                                                              │
│  CASE 1 (Art. 8 III 1°) - Ineffective reports:                               │
│    → After external report (preceded or not by internal)                     │
│    → AND no appropriate measure taken at deadline expiry                     │
│                                                                              │
│  CASE 2 (Art. 8 III 2°) - Serious and imminent danger                        │
│                                                                              │
│  CASE 3 (Art. 8 III 3°) - Risks related to external reporting:               │
│    → Risk of retaliation                                                     │
│    → OR impossibility of effective remedy                                    │
│                                                                              │
│  DEROGATORY CASE (Art. 8 III penultimate paragraph):                         │
│    → IMMINENT or MANIFEST danger to the public interest                      │
│                                                                              │
│  ⚠️ EXCLUSION: Cases 2°, 3° and derogatory do NOT apply if                   │
│     disclosure harms national defense/security                               │
└──────────────────────────────────────────────────────────────────────────────┘

NOTE: Since the Waserman Law (2022), whistleblowers can freely choose between internal and external channels. They are no longer required to go through internal channels first.

┌──────────────────────────────────────────────────────────────────────────────┐
│  渠道1：内部举报（第8条I款）                                    │
│  ────────────────────────────────────────                                    │
│  适用场景：可直接使用，无前置条件                         │
│                                                                              │
│  符合条件的人员（第8条I.A.第1至5项）：                                    │
│  → 员工（现任或前任）                                         │
│  → 求职者                                                            │
│  → 股东、合伙人、表决权持有人                             │
│  → 行政、管理、监督机构成员                 │
│  → 外部及临时合作者                                     │
│  → 承包商、分包商及其机构/员工                        │
├──────────────────────────────────────────────────────────────────────────────┤
│  渠道2：外部举报（第8条II款）                                   │
│  ─────────────────────────────────────────                                   │
│  适用场景：两种方式均可使用                                               │
│    ✓ 要么先进行内部举报                                  │
│    ✓ 要么直接进行（无需经过内部渠道）                            │
│                                                                              │
│  可能的接收方：                                                        │
│  1° 主管当局（列表见2022-1284号法令附件）              │
│  2° 权利捍卫者                                                       │
│  3° 司法当局（检察官）                                   │
│  4° 欧盟主管机构、机关或代理                                 │
├──────────────────────────────────────────────────────────────────────────────┤
│  渠道3：公开披露（第8条III款）                                   │
│  ─────────────────────────────────────────                                   │
│  适用场景：仅在以下情况下提供保护                        │
│                                                                              │
│  情况1（第8条III第1项） - 举报无效：                               │
│    → 进行外部举报后（无论是否先进行内部举报）                     │
│    → 且截止日期到期后未采取适当措施                     │
│                                                                              │
│  情况2（第8条III第2项） - 严重且紧迫的危险                        │
│                                                                              │
│  情况3（第8条III第3项） - 与外部举报相关的风险：               │
│    → 报复风险                                                     │
│    → 或无法获得有效救济                                    │
│                                                                              │
│  例外情况（第8条III倒数第二段）：                         │
│    → 对公共利益构成**紧迫或明显**的危险                      │
│                                                                              │
│  ⚠️ 排除情况：情况2°、3°和例外情况不适用于以下场景                   │
│     披露损害国防/安全                               │
└──────────────────────────────────────────────────────────────────────────────┘

注意：自Waserman法案（2022年）实施以来，举报者可自由选择内部或外部渠道。不再要求必须先通过内部渠道。

Whistleblower Definition (Art. 6 Sapin II Law)

举报者定义（萨班二号法案第6条）

WHISTLEBLOWER = Natural person who:

Reports or discloses WITHOUT DIRECT FINANCIAL CONSIDERATION
In GOOD FAITH
Information concerning:
- A crime or offense
- A threat or harm to the public interest
- A violation OR an attempt to conceal a violation of:
  - an international commitment
  - European Union law
  - a law or regulation

Exclusions (Art. 6 II): National defense secrets, medical confidentiality, judicial deliberation secrecy, investigation/inquiry secrecy, attorney-client privilege.

Facilitators (Art. 6-1): Natural or legal person under private non-profit law who assists the whistleblower.

举报者 = 满足以下条件的自然人：

举报或披露无直接经济报酬
出于善意
信息涉及：
- 犯罪或违法行为
- 对公共利益的威胁或损害
- 违反或试图隐瞒以下内容的行为：
  - 国际承诺
  - 欧盟法律
  - 法律或法规

排除情况（第6条II款）：国防机密、医疗保密、司法审议保密、调查/问询保密、律师-客户特权。

协助者（第6-1条）：根据私人非营利法成立的自然人或法人，为举报者提供协助。

Whistleblower Protections

举报者保护

→ Detailed reference: TEXTES_LEGAUX.md - Article 10-1

Civil and criminal immunity (Art. 10-1 I) if reasonable grounds to believe the report was necessary.

Prohibited retaliation measures (Art. 10-1 II): suspension, dismissal, demotion, transfer of duties, discrimination, harassment, blacklisting, etc.

Reversal of burden of proof (Art. 10-1 III): the employer must prove their decision was justified.

Automatic nullity of any act taken in breach of these protections.

→ 详细参考：TEXTES_LEGAUX.md - 第10-1条

民事和刑事豁免（第10-1条I款）：若有合理理由认为举报是必要的。

禁止的报复措施（第10-1条II款）：停职、解雇、降职、调岗、歧视、骚扰、列入黑名单等。

举证责任倒置（第10-1条III款）：雇主必须证明其决定是合理的。

违反保护措施的行为自动无效。

Common Errors

常见错误

Error	Risk	Correction
System not updated since 2022	Waserman non-compliance	Complete revision
Requiring internal channel first	Contrary to free channel choice	Remove this requirement
No automatic acknowledgment of receipt	Non-compliance with 7-day deadline	Automate sending
Confidentiality not technically guaranteed	Compromise risk	Encryption, partitioning
Designated officer = member of senior management	Potential conflict of interest	Appoint independent officer
No information on external channels	Legal obligation	Complete the information
Unlimited data retention	GDPR non-compliance	Apply CNIL retention periods
No oral reporting option	Decree 2022-1284 requirement	Provide oral channel

错误	风险	整改措施
系统自2022年以来未更新	不符合Waserman法案要求	全面修订
要求必须先通过内部渠道	违反渠道自由选择原则	删除该要求
未自动发送接收确认函	不符合7天期限要求	自动化发送
未从技术上保证保密性	存在泄露风险	加密、分区存储
指定负责人为高级管理人员	存在潜在利益冲突	任命独立负责人
未提供外部渠道信息	违反法定义务	补充相关信息
无限制的数据保留	不符合GDPR要求	遵循CNIL保留期限
未提供口头举报选项	违反2022-1284号法令要求	提供口头渠道

Penalties and Risks

处罚与风险

Offense	Penalty	Legal Basis
Obstructing reporting	1 year prison + €15,000 fine	Art. 13 Sapin II Law
Retaliation	3 years prison + €45,000 fine	Art. 225-1 and 225-2 Criminal Code
Disclosing whistleblower identity	2 years prison + €30,000 fine	Art. 9 Sapin II Law
Abusive reporting	5 years prison + €45,000 fine	Art. 226-10 Criminal Code

违规行为	处罚	法律依据
阻碍举报	1年监禁 + 15000欧元罚款	萨班二号法案第13条
报复行为	3年监禁 + 45000欧元罚款	《刑法典》第225-1和225-2条
披露举报者身份	2年监禁 + 30000欧元罚款	萨班二号法案第9条
滥用举报	5年监禁 + 45000欧元罚款	《刑法典》第226-10条

Reference Texts

参考文本

Text	Date	File
EU Directive 2019/1937	10/23/2019	`assets/Directive_2019_1937.pdf`
Law No. 2016-1691 (Sapin II)	12/09/2016	`assets/Loi_Sapin_II_consolidee.pdf`
Law No. 2022-401 (Waserman)	03/21/2022	`assets/Loi_Waserman_2022.pdf`
Decree No. 2022-1284	10/03/2022	`assets/Decret_2022_1284.pdf`
CNIL Framework	07/24/2023	`assets/Referentiel_CNIL_alertes_professionnelles.pdf`
Public Sector Circular	06/26/2024	`assets/Circulaire_26_juin_2024.pdf`
DREETS Summary	02/17/2025	`assets/DREETS_synthese_2025.pdf`
Law No. 2017-399 (Vigilance)	03/27/2017	`assets/L225-102-1.pdf` and `assets/L225-102-2.pdf`
EU Directive 2024/1760 (CS3D)	06/13/2024	`assets/Directive_CS3D_2024_1760.pdf`

文本	日期	文件
EU Directive 2019/1937	2019年10月23日	`assets/Directive_2019_1937.pdf`
第2016-1691号法律（萨班二号）	2016年12月9日	`assets/Loi_Sapin_II_consolidee.pdf`
第2022-401号法律（Waserman）	2022年3月21日	`assets/Loi_Waserman_2022.pdf`
2022-1284号法令	2022年10月3日	`assets/Decret_2022_1284.pdf`
CNIL框架	2023年7月24日	`assets/Referentiel_CNIL_alertes_professionnelles.pdf`
公共部门通告	2024年6月26日	`assets/Circulaire_26_juin_2024.pdf`
DREETS摘要	2025年2月17日	`assets/DREETS_synthese_2025.pdf`
第2017-399号法律（尽职调查）	2017年3月27日	`assets/L225-102-1.pdf` 和 `assets/L225-102-2.pdf`
EU Directive 2024/1760 (CS3D)	2024年6月13日	`assets/Directive_CS3D_2024_1760.pdf`

Policy Drafting (Mode B)

政策起草（模式B）

Provided Template

提供的模板

Template	Format	Usage
`Template_Politique_Lanceur_Alerte.docx`	Word	Internal reporting policy template

IMPORTANT: The template must be used EXACTLY as provided. Only variable elements should be adapted to the client's situation. Do not rephrase, delete, or reorganize template clauses.

模板	格式	用途
`Template_Politique_Lanceur_Alerte.docx`	Word	内部举报政策模板

重要提示：模板必须严格按照提供的格式使用。仅可根据客户情况调整可变内容。不得改写、删除或重新组织模板条款。

Drafting Workflow

起草工作流

STEP 1 — Collect Client Information

Legal form and headcount
Channels chosen (written, oral, both)
Identity of designated officer(s)
Reporting channel contact details
Scope of eligible persons
Coordination with other systems (duty of vigilance)

STEP 2 — Adapt the Template

Open Template_Politique_Lanceur_Alerte.docx
Complete ONLY the variable elements
Do NOT rephrase existing clauses
Do NOT delete sections
Add the mandatory clause on external channels

Example wording to insert in the policy:

Independently of this system, any person may submit an external report
directly to the Defender of Rights, the judicial authority, or the
competent authority according to the relevant domain. The list of
external authorities is set by the annex to Decree No. 2022-1284 of
October 3, 2022, available at:
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000046357368

STEP 3 — Verify Compliance → Use DECRET_PROCEDURE.md and TEXTES_LEGAUX.md to verify mandatory elements → Use RGPD_CNIL.md to verify GDPR compliance

STEP 4 — Add External Channel Information (Legal obligation - Art. 8 para. 3 of Decree No. 2022-1284)

步骤1 — 收集客户信息

法律形式及员工数
选择的渠道（书面、口头、两者皆有）
指定负责人身份
举报渠道联系方式
符合条件的人员范围
与其他系统（如尽职调查义务系统）的协调情况

步骤2 — 调整模板

打开Template_Politique_Lanceur_Alerte.docx
仅填写可变内容
不得改写现有条款
不得删除章节
添加关于外部渠道的强制条款

政策中需插入的示例措辞:

除本系统外，任何人可直接向权利捍卫者、司法当局或相关领域的主管当局提交外部举报。外部当局列表见2022年10月3日发布的2022-1284号法令附件，链接：
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000046357368

步骤3 — 验证合规性 → 使用DECRET_PROCEDURE.md和TEXTES_LEGAUX.md验证强制要求内容 → 使用RGPD_CNIL.md验证GDPR合规性

步骤4 — 添加外部渠道信息 （法定义务 - 2022-1284号法令第8条第3款）

Finalization

最终定稿

STEP 5 — Validation

Have management review
Consult the works council if applicable (≥ 50 employees)
If duty of vigilance: consultation with representative unions

STEP 6 — Dissemination

Choose dissemination channels (see Section 6 - Phase 6)
Ensure permanent accessibility
Train designated officers

步骤5 — 验证

提交管理层审核
若适用（员工数≥50），咨询工会
若涉及尽职调查义务：与代表工会协商

步骤6 — 传播

选择传播渠道（参见第6节 - 阶段6）
确保永久可访问
培训指定负责人

whistleblower-policy-malik-taiar

Original

Translation