Point de vue
Dispositifs d'alerte : les pièges à éviter
La mise en place d’un dispositif d’alerte est un thème sensible et complexe. Elle ne se limite pas à une solution technique « presse bouton » (portail web, adresse email générique ou hotline téléphonique), et ne repose pas non plus sur une approche standard qui serait valide uniformément pour tout type d’entreprise. Bien au contraire, il s’agit d’un sujet transverse, impliquant la Direction Générale et nécessitant de nombreuses réflexions en amont (modus operandi autour de la réception et du traitement des signalements, protection du lanceur d’alerte, politique en matière de signalements anonymes, etc.). Ces réflexions permettent de définir un dispositif d’alerte cible adapté aux dispositions réglementaires, à la culture et aux réalités opérationnelles de l’organisation. A condition d’éviter certains pièges…
Piège n°1 : s’en tenir à une simple déclinaison de dispositions réglementaires
La Loi Sapin II et la Loi sur le devoir de vigilance permettent à toute personne physique, de signaler, de manière désintéressée et de bonne foi, des faits dont elle a eu personnellement connaissance .
Mais loin de se limiter à une « simple » application de ces réglementations, la conception du dispositif d’alerte doit s’intégrer dans une démarche plus globale de conformité, en lien avec le Code Ethique de l’organisation, et permettre la remontée de signalements sur des thèmes aussi variés que la corruption et la fraude, la lutte contre le blanchiment d’argent et le financement du terrorisme, les conflits d’intérêt, le harcèlement, la santé, l’environnement, les pratiques anti-concurrentielles, les données à caractère personnel, la confidentialité, les délits d’initié, etc.
Ce large périmètre soulève deux questions majeures :
- d’une part celle de la qualification des signalements remontés et donc des réponses à y apporter, juridiques ou non en fonction de la nature des allégations ;
- d’autre part, celle du respect du Droit de la protection des données à caractère personnel vis-à-vis des dispositions prévues par la Commission Nationale de l’Informatique et des Libertés (« CNIL »). Jusqu’au 25 mai 2018, entrée en vigueur du Règlement général sur la protection des données à caractère personnel, les dispositifs d’alerte sont soumis à autorisation préalable de la CNIL. Cette autorisation peut prendre la forme d’une procédure d’autorisation simplifiée (engagement de conformité AU-004) pour les dispositifs d’alerte conformes aux dispositions de la Loi Sapin II ou d’une autorisation spécifique pour les dispositifs d’alerte dont les traitements n’entrent pas dans le champ d’application de l’AU-004.
Piège n°2 : recueillir un signalement et ne pas le traiter
Le dispositif d’alerte ne doit pas être pensé dans une démarche d’approche par les risques. Il doit permettre la remontée et le traitement de tout type de signalement, quel que soit le risque y afférent, et offrir également aux utilisateurs une possibilité de consultation auprès du référent désigné par l’organisation. Il se fonde sur des principes stricts et robustes, tels que la confidentialité (signature de clauses de confidentialité) et la sécurité des données à tout moment (chiffrement des données dès la collecte, et ce jusqu’à la destruction), qui permettent de garantir l’intégrité et l’exhaustivité du processus de traitement des signalements.
Piège n°3 : oublier de communiquer !
Afin de garantir son bon fonctionnement et son efficacité, le déploiement du dispositif d’alerte doit s’accompagner d’actions de communication et de sensibilisation en interne, auprès de salariés comme en externe, auprès de tiers soumis aux dispositions de la Loi Sapin II et de la Loi sur le devoir de vigilance. Le Code Ethique, des formations éthiques, la mise à jour de la page intranet, des newsletters, etc. seront des moyens efficaces de communiquer. Un engagement fort de la Direction Générale est également essentiel, chaque salarié doit bien comprendre que le dispositif est soutenu au plus haut niveau. Ces actions permettent notamment de communiquer sur l’existence du dispositif, sa robustesse en matière de confidentialité et de sécurité et sur des sujets majeurs tels que la protection du lanceur d’alerte et la politique en matière de signalements anonymes. Elles sont garantes de la confiance accordée au dispositif dans son ensemble.
L’expérience montre qu’un dispositif d’alerte adapté est finalement la mesure la plus efficace pour détecter et traiter des manquements à la fois aux obligations réglementaires et aux principes définis en interne. Mais malheureusement, encore trop de dispositifs ne sont pas efficaces ni compris par les parties prenantes, en raison d’approches trop « techniques », ne traitant qu’un sujet et déconnectées des autres fonctions de gouvernance, mal « vendues » et perçues au mieux comme une contrainte.
Article écrit avec la participation d'Alexandra Schmoll, Senior Manager Forensic, Financial Advisory.
[1] Articles 6 à 16 et/ou article 17 de la Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (« Loi Sapin II »)
[2] Loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre (« Loi sur le devoir de vigilance »)
[3] Ces faits peuvent caractériser :
- un crime ou un délit ;
- une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié, de la loi ou du règlement ;
- une menace ou un préjudice graves pour l’intérêt général ;
- tout manquement aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
- l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence ;
- toute atteinte grave envers les droits humains et libertés fondamentales, la santé et la sécurité des personnes ou l’environnement, résultant des activités de la société et de celles des sociétés qu'elle contrôle au sens du II de l'article L. 233-16, directement ou indirectement, ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation.
Sur le même sujet
General Data Protection Regulation (GDPR)
Le challenge des entreprises
Les grands enjeux de la Cybersécurité
Smart cyber