Signalement par le lanceur d’alerte : comment mettre en place un dispositif interne efficace ?

Un an après la publication du décret d’application de la loi Waserman, Proetic fait le point sur les procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte. Avec quelques recommandations pour la mise en place d’un dispositif interne efficace.

Auteur : Sandra Laham, Directrice conseil chez Proetic

Un an après la publication du décret d’application de la loi Waserman, Proetic fait le point sur les procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte. Avec quelques recommandations pour la mise en place d’un dispositif interne efficace.

1.     Quels faits peuvent être signalés par le lanceur d’alerte ?

· Les faits dont le lanceur d’alerte a eu connaissance personnellement (en dehors du cadre professionnel)

· Les faits qui lui ont été rapportés dans le cadre de ses fonctions (apport de la loi Waserman)

--> Et notamment les atteintes à la probité, les crimes, les délits, la menace ou un préjudice pour l’intérêt général, la violation d’une loi ou d’un règlement.

2.     Pour effectuer son signalement, le lanceur d’alerte a le choix

· Signalement interne via la procédure mise en place par l’entreprise (obligatoire pour les entreprises de +50 salariés) ou la voix hiérarchique
· Signalement externe auprès d’une des autorités désignées par les textes (autorités administratives ou judiciaires, AFA, Parquet, Justice, Police, organe européen, Défenseur des droits, etc.)
· Divulgation publique dans des cas spécifiques
     -  Absence de traitement après expiration des délais d’accusé de réception et de traitement ;

     -  Risques de représailles ou si le signalement n’a aucune chance d’aboutir ;

     -  En cas de « danger grave et imminent » ou de « danger imminent ou manifeste pour l'intérêt général » pour les informations obtenues dans un cadre professionnel.

3.     En quoi consiste la procédure de signalement interne ?

La procédure d’alerte interne mise en place par l’entreprise permet au lanceur d’alerte de savoir :

· À qui l’adresser

· Comment l’adresser

· Quelles informations transmettre

· Comment sera traitée son alerte et de quelles protections le lanceur d’alerte pourra bénéficier

Cette procédure interne doit :

· Garantir la protection légale résultant du statut de lanceur d’alerte et l’absence de toute discrimination à son encontre (sanctionnée par 3 ans d’emprisonnement et 45 000 € d’amende)

· Assurer la confidentialité de l’identité du lanceur d’alerte, de la personne mise en cause et des informations recueillies

· Décrire le traitement de l’alerte par un personnel doté de compétences et de moyens suffisants

· Encadrer l’intégrité, la confidentialité et la conservation des données recueillies

· Donner au lanceur d’alerte la chronologie de traitement de son alerte : accusé de réception dans les 7 jours ouvrés et communication sur les mesures prises pour traiter l’alerte dans les 3 mois

4.     Un dispositif efficace : quels bénéfices pour l’entreprise ?

Une meilleure détection des risques :  l’Agence Française Anti-corruption classe l’alerte parmi les moyens de détection des atteintes à la probité
Une plus grande transparence, susceptible d’accroître la confiance de ses collaborateurs, partenaires, investisseurs, agences de notation et autres parties prenantes
Une incitation pour le collaborateur à utiliser le signalement interne plutôt qu’externe : le traitement d’une alerte éthique est une obligation pour l’entreprise qui ne peut pas refuser de la prendre en compte.

Nos recommandations

Pour que le dispositif mis en place puisse être pleinement efficace, nous recommandons qu’il soit :

· Adapté à la structure de l’entreprise
· Promu par l’instance dirigeante
· Générateur de sécurité et donc de confiance pour les collaborateurs
· Accessible et simple d’utilisation
 

Les immanquables :

· Une stricte protection de la confidentialité pendant toutes les phases de traitement de l’alerte

· La conduite de l’enquête interne (si applicable) selon une méthodologie éprouvée et en respectant les principes d’objectivité, d’impartialité et de neutralité.

· La transparence de l’entreprise sur la procédure de traitement des alertes afin de la rendre accessible de manière permanente (affichage, publication, site internet etc.)

· Une communication efficace auprès de toutes les catégories de collaborateurs et en externe

· Ne pas omettre de réaliser une analyse d’impact relative à la protection des données pour assurer que les traitements de données personnelles pour le recueil et l’analyse des alertes éthiques reçues respectent les principes de minimisation et de proportionnalité et qu’il n’ait pas porté une atteinte excessive de ce fait aux droits et libertés des personnes.

En conclusion

Si vous êtes une TPE et PME de moins de 50 employés, vous n’êtes pas concernée par les obligations de la loi Waserman. Toutefois, nous vous recommandons vivement de suivre cette même direction qui oblige à davantage de transparence en interne et permet une meilleure détection des risques. Dans ce cas, votre traitement des données personnelles dans le cadre de l’alerte s’effectuera sur la base légale de l’intérêt légitime de l’entreprise concernée à détecter les atteintes à la probité, les analyser et les sanctionner.

--------------

Textes de référence :

-        Loi « Sapin II » n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique

-        Loi Waserman n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte

-        Décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte

-        Référentiel de la CNIL du 6 juillet 2023