Alors que les institutions de l’UE ont l'obligation, depuis janvier 2014, d’établir des règles internes relatives à l’alerte éthique, la Médiatrice européenne, Emily O'Reilly, a constaté que sept des neuf institutions (Commission, Parlement, Conseil, Cour de justice, Cour des comptes, Service européen pour l'action extérieure, Comité économique et social, Comité des régions et Contrôleur européen de la protection des données) interrogées par ses services n’ont pas encore rempli cette obligation. Alors que la Commission et la Cour des comptes ont déjà adopté leurs règles, le SEAE indique qu’il souhaite mettre en application les règles de la Commission. Le Conseil de l’UE, la Cour de justice, le Comité économique et social et le Comité des régions ont quant à eux fait savoir qu’ils ont préparé des ébauches de règles. Le Contrôleur européen de la protection des données signale qu’il vient d’adopter un nouveau code de conduite et a déjà fait un premier pas dans l’adoption des règles éthiques alors que le Parlement a repoussé sa réponse jusqu’à ce que le Comité interinstitutionnel ait fini de débattre sur le sujet.
Dans un communiqué publié sur son site, Emily O'Reilly se dit "déçue que sept institutions clés n’aient pas encore adopté de telles règles" et "félicite la Commission et la Cour des comptes d’avoir agi". Elle rappelle également qu’il relève du "devoir" de chaque employé de l’administration de l’UE de "dénoncer toute irrégularité grave dont il prend connaissance au cours de son travail" et réitère l’importance des dénonciations pour la lutte contre la corruption dans les institutions. "Le public a besoin de savoir que les institutions de l'UE sont ouvertes aux alertes éthiques et qu’elles protègent les lanceurs d'alerte contre des représailles éventuelles, afin de s’assurer que les fautes graves et l’abus sont rapportés", a encore déclaré la Médiatrice.
Par ailleurs, la Médiatrice a publié, le 20 février 2015, une "Décision sur des règles internes en matière de divulgation dans l’intérêt général ('alerte éthique')", et ce, sur la base de consultations de son personnel.
Ces règles rappellent notamment que "l’intégrité est un principe essentiel de la fonction publique européenne" et que "les lanceurs d'alerte jouent un rôle essentiel (…) dans la lutte contre les violations du principe d’intégrité". Elles indiquent qu’un "service de conseils et d’accompagnement confidentiels" sera mis en place, afin "d’orienter" les lanceurs d’alerte et de leur "apporter un soutien". De plus, l’identité des lanceurs d’alerte pourra demeurer confidentielle, si ces derniers le souhaitent. Les lanceurs d’alerte qui estimeraient que leur identité n’a pas été correctement protégée pourront alors saisir le Contrôleur européen de la protection des données.
Concernant la protection des lanceurs d’alerte, les règles indiquent que "la Médiatrice protège, dans toute la mesure du possible, un lanceur d'alerte contre d’éventuels actes de vengeance ou de représailles, de traitement désavantageux ou de discrimination sur le lieu de travail liés à l'alerte éthique ou qui en découleraient". Les règles interdisent également toute forme de représailles à l’encontre d’un lanceur d'alerte.
Enfin, le texte encourage les lanceurs d’alerte externes. "Toute personne liée par un contrat avec le bureau du Médiateur est informée de la possibilité de signaler des fautes ou des actes répréhensibles graves affectant le bureau du Médiateur et du fait que le recours à cette possibilité n’entraînera ni représailles ni sanctions ou autres mesures négatives de la part du bureau du Médiateur à son encontre", peut-on encore lire.
Dans son communiqué, la Médiatrice indique également qu’un comité interinstitutionnel ("Preparatory Committee for Matters relating to the Staff Regulations" en anglais), composé de représentants des institutions, discute actuellement "pour déterminer si les institutions peuvent adopter une approche commune concernant leurs obligations en la matière". La Médiatrice fait savoir qu’elle encourage le comité à conclure ses travaux au plus vite.
En juillet 2014, la Médiatrice avait ouvert une enquête d'initiative en envoyant une liste de questions aux neuf institutions (Commission, le Parlement, le Conseil, la Cour de justice, la Cour des comptes, le Service européen pour l'action extérieure, le Comité économique et social, le Comité des régions et le Contrôleur européen de la protection des données). Parmi les questions, la Médiatrice demandait aux institutions comment elles protégeaient les lanceurs d'alerte et comment elles encourageaient ceux qui sont externes à l’administration de l’UE de lancer l’alerte. Celles-ci étaient censées informer la Médiatrice d'ici au 31 octobre 2014 des règles qu'elles avaient mises en place ou qu'elles avaient l'intention d'introduire.