• frFrance | FR
Nos bureaux Nos bureaux
Retour

Directive Lanceurs d’alerte : Conseils pour les entreprises françaises

Bien intégrer la Directive Européenne sur la protection des lanceurs d’alerte dans son dispositif d’alerte interne.

Linda Couturier Sadgui Linda Couturier Sadgui

    Le 17 décembre, la Directive Européenne sur la protection des lanceurs d’alerte entrera en vigueur. L’occasion pour EQS Group France de faire le point sur la transposition et la mise en application de la directive avec Nicolas Guillaume, associé du cabinet de conseil Grant Thornton, et Stéphane de Navacelle, associé au sein du cabinet Navacelle, dans le cadre d’un webinaire organisé le 23 mars et animé par Amine Gharby, Co-Managing Director d’EQS Group France. Le replay de ce webinaire est accessible depuis le lien ici.

    Les apports de la Directive Européenne par rapport à la loi Sapin 2

    Les deux textes présentent des similitudes avec l’interdiction de représailles et l’immunité dont bénéficient le lanceur d’alerte en cas de divulgation de secret des affaires et d’infraction au droit d’auteur. Mais, différence notable, la directive permet au lanceur d’alerte beaucoup plus de « flexibilité » dans son signalement. A compter du 17 décembre 2021, les salariés à l’origine d’alertes auprès des médias et des réseaux sociaux bénéficieront des mêmes mesures de protection que les lanceurs d’alerte. De plus, le champ d’application de la protection des lanceurs d’alerte est élargi aux intérêts financiers de l’Union Européenne. « Il faut s’ouvrir à l’idée que le système de conformité va au-delà des simples salariés » souligne Stéphane de Navacelle. La directive inclut ainsi tous les travailleurs, y compris en amont de la relation de travail (facilitateurs, entités juridiques). Concernant le renforcement de la mise en œuvre des procédures d’alerte, les personnes morales du secteur privé comptant au minimum 50 salariés sont intégrées. Au-dessous de 50 salariés, le besoin de mettre en place un système d’alerte est déterminé après une évaluation des risques selon la nature des activités et le niveau de risque. Enfin, toutes les personnes morales de droit public sont concernées. « Par rapport à Sapin 2, les ajouts ne sont pas révolutionnaires. Une chose est sûre, il n’y aura pas de retour en arrière mais une génération sera sans doute nécessaire pour que les entreprises françaises rejoignent la vague de la conformité » résume l’avocat. « Avec ce nouveau texte, on améliore et on peaufine. Cependant, cela prendra du temps pour arriver à maturité. » abonde Nicolas Guillaume de Grant Thornton.

    French Breakout Session

    Replay | La Directive sur la protection des lanceurs d’alerte – Conseils pour les entreprises françaises

    Regardez maintenant

    Les bonnes pratiques en matière de traitement d’une alerte

    La crédibilité de l’entreprise, c’est d’abord le respect des étapes de la directive. Et cela passe notamment par l’accompagnement du lanceur d’alerte. Il est donc essentiel de gagner sa confiance en mettant en place un système fiable et sécurisé. Cela passe notamment par un accusé réception de l’alerte du salarié dans les 7 jours, et puis il y a la deadline des 3 mois pour lui faire un retour sur le traitement de sa démarche. De même, si l’entreprise décide de ne pas enquêter, par exemple car cela ne rentrerait pas dans le périmètre défini, il est nécessaire de communiquer clairement sur cette décision et de détruire les informations. Le récipiendaire de l’alerte – garant de cette fiabilité et de cette sécurité – doit chercher les bons interlocuteurs dans l’entreprise afin de garantir la préservation des preuves. « S’il commence à avancer à tâtons, il risque de donner l’alarme sur l’alerte et de voir des éléments s’évaporer. La concertation entre les personnes impliquées est tout aussi dramatique car on crée des témoins », rappelle l’avocat. L’entreprise doit garantir la confidentialité de l’identité du lanceur d’alerte et de tout tiers mentionné et empêcher l’accès au personnel non autorisé. Elle est tenue de démontrer qu’elle a mis en place tous les process nécessaires et éviter une mise en cause personnelle ou bien de la personne morale. Proposer des plateformes digitales permet d’assurer que les fonctions sont bien remplies et que les risques personnels sont évités. « Quand vous mettez en place un système d’alerte et que vous n’êtes pas bien préparé, vous courez un risque humain (erreur, sentiment de panique, etc.) » explique Stéphane de Navacelle.

    Vérifier une alerte, c’est procéder à une enquête interne, qui n’est pas forcément longue et lourde à effectuer. « Faire l’autruche est en tout cas la pire des erreurs » prévient l’avocat. Il faut faire un plan d’enquête pour expliquer le processus et protéger celui qui mène l’enquête et assurer la traçabilité en donnant les faits tels qu’on les connaît au début. Mais aussi définir le périmètre de l’examen (pays, services, personne, etc.) et identifier les parties prenantes et les rôles de chacun. La préservation des données et de leur collecte est obligatoire. « Face à une autorité de poursuite, si vous n’avez pas assuré la traçabilité des éléments, on vous reprochera d’avoir dissimulé des preuves » met en garde Stéphane de Navacelle.

    A cet égard, le management a un rôle essentiel à remplir car on a parfois trop tendance à penser qu’une solution technologique ou une procédure de 20 pages constituent la panacée. Or, le réflexe d’un certain nombre de lanceurs d’alerte, c’est de se tourner vers son management plutôt que d’utiliser la plateforme sécurisée dédiée. Il faut que le management sache comment réagir en cas d’alerte pour ne pas se précipiter afin d’avoir les bons réflexes. « En matière d’investigation interne, tout se joue au début. La formation et la sensibilisation du management sont donc essentielles pour une prise en charge efficace du lanceur d’alerte », recommande Nicolas Guillaume.

    EQS Group encourage les sociétés à avoir un regard opérationnel sur leurs collaborateurs et à choisir le canal d’alerte (plateforme digitale, e-mail, etc.) selon les spécificités de leurs secteurs d’activité afin d’atteindre les objectifs fixés en termes de systèmes d’alerte. Différentes solutions sont possibles : digitale pour les individus derrière des ordinateurs, lignes téléphoniques dédiées pour le personnel en usines ou dans les mines, par exemple. La technologie permet beaucoup de flexibilité, le but étant de faciliter le lancement d’alertes en cas de problématiques éthiques, manquements à la probité, harcèlements, etc.

    Etude 2019 sur les alertes professionnelles

    Une étude complète sur les pratiques des entreprises européennes en matière de dispositif d’alerte interne

    Téléchargez gratuitement

    Un usage de l’e-mail à éviter ?

    Cette pratique peut poser des difficultés opérationnelles car les e-mails sont parfois filtrés par une assistante, gérés par des administrateurs de systèmes d’information, voire des prestataires extérieurs, avec un risque de dilution de la confidentialité. La diffusion des e-mails peut aussi être trop rapide ou trop large. Donc, ce n’est pas forcément ce qui est le plus recommandé en termes de sécurité de l’information et de traçabilité. L’objectif d’un système d’alerte, c’est qu’il fonctionne et qu’il y ait des alertes, mais pas n’importe lesquelles et pas n’importe comment. La réaction humaine est souvent d’aller se confier à un collègue, un proche collaborateur, peut-être un proche de la personne mise en cause. « On court ainsi le risque de s’exposer à des fuites et de violer des obligations vis-à-vis d’une personne mise en cause, du lanceur d’alerte, du fait désigné, avec un risque de disparition de la preuve, ce qui est tout à fait intolérable pour une autorité à laquelle vous pourriez avoir affaire ensuite » soutient l’avocat. Un des risques encourus est également de se mettre en défaut vis-à-vis du référentiel de la CNIL sur les alertes professionnelles qui n’interdit pas les e-mails, mais exige que le poste de travail et les locaux soient sécurisés avec une authentification forte. Très souvent, les alertes graves ne passent pas par le système d’alerte. Pour éviter les problèmes RH de turnover, il est important d’intégrer ces alertes dans le système. Pour l’avocat, le mieux est que tout soit dans un endroit totalement sécurisé, la multiplication d’intervenants aggravant le risque. Dans une entreprise, les salariés peuvent partir, l’historique se perd. « Si vous avez tout dans un seul système et que l’information vient par un autre biais, vous pouvez l’y intégrer » conseille-t-il.

    Face aux risques de cybersécurité et de pillage de données, l’utilisation d’une solution cryptée, externe au système informatique de l’entreprise pour préserver ces données critiques s’avère souvent très utile. « Ce sont des actifs très attractifs car ils associent l’entreprise à un certain nombre de délits potentiels. Il est donc essentiel qu’elles soient protégées et sécurisées. » confirme Nicolas Guillaume. « Aujourd’hui, les problèmes sont désormais nichés dans nos portables avec Signal, Telegram et WhatsApp. Cela peut disparaître très rapidement alors que ce sont souvent des appareils de l’entreprise auxquels elle peut avoir accès de même que les autorités de poursuite et la police » met en garde l’avocat.

    Alertes anonymes : on accepte ou pas ?

    L’alerte anonyme est autorisée. C’est l’information apportée par le lanceur d’alerte, qu’il soit anonyme ou pas, qui compte et non son identité. Pour Nicolas Guillaume, il faut être pragmatique. « Si vous avez l’information nécessaire pour traiter l’alerte, il faut le faire, que ce soit anonyme ou pas. Si le fait que ce soit anonyme pénalise le traitement de l’alerte, alors on peut solliciter le lanceur d’alerte pour lui demander des éléments complémentaires qui seraient utiles à l’alerte ». Beaucoup d’entreprises se disent qu’elles vont avoir dès l’ouverture d’un système d’alerte un déferlement infernal. Or, ce n’est pas le cas dans la majorité des cas. Le système de lanceurs d’alerte est la solution la plus efficace pour détecter des situations de fraudes au sein des entreprises et éviter qu’elles ne prospèrent et se développent. « L’intérêt pour l’entreprise, c’est d’avoir l’alerte et de connaître l’événement le plus tôt possible pour pouvoir le traiter et éviter que le problème s’étende ou s’aggrave. » complète Stéphane Navacelle.

    Dispositif d’alerte : l’e-mail encore largement utilisé derrière la plateforme digitale

    Les personnes inscrites au webinaire ont été invitées à répondre à 3 questions : la première sur le degré de connaissance de la directive. Un peu plus de 70% a déclaré déjà connaître la directive et les deux tiers a déclaré avoir mis en place un dispositif d’alerte interne, tandis qu’environ 10% déclare ne pas avoir cette information. Cela peut arriver qu’une filiale au sein d’un groupe ayant mis en place un système n’ait pas forcément une vision globale du dispositif. Cela traduit donc un problème de connaissance et de diffusion de l’information. La dernière question portait sur le type de dispositif d’alerte mis en place. Plus de 40% ont évoqué l’existence de plateformes digitales dédiées au recueil et à la gestion des alertes. En deuxième position, on retrouve l’e-mail avec 34%, puis des numéros de téléphone internes ou externes (10% chacun) et enfin une pratique plus restreinte avec des médiateurs pour 3% des inscrits au webinaire. Aucun n’a déclaré de système de courrier papier pour recevoir les alertes, ce qui ne constitue pas une bonne pratique.

    Les experts
    Nicolas Guillaume | Associé, Grant Thornton
    Nicolas Guillaume | Associé, Grant Thornton

    Après un parcours en entreprise en tant que responsable de l’audit interne et risk manager, Nicolas Guillaume a rejoint le monde du conseil en 2001 pour créer l’entité de conseil en gestion des risques du groupe Thuillier. Après un rapprochement avec Grant Thornton en 2015, il est en charge des activités de conseil en gestion des risques compliance et forensic et intervient auprès de clients de toutes tailles et dans des secteurs d’activité très variés en matière de lutte contre la corruption. Nicolas fait partie des experts intervenant auprès de l’Agence Française anticorruption (AFA).

    Stéphane de Navacelle | Associé, NAVACELLE
    Stéphane de Navacelle | Associé, NAVACELLE

    Stéphane de Navacelle est avocat aux barreaux de New York et de Paris. Il a exercé le droit pénal des affaires à New York, Londres et Paris, chez Engel Mccarney et Debevoise & Plimpton LLP avant de fonder en 2010 son propre cabinet Navacelle et exerce, accompagné de sept avocats et collaborateurs, la compagnie de ses avocats collaborateurs dans six langues sur quatre continents. Stéphane a une expérience de 15 ans dans le cadre d’enquêtes internes en France et à l’étranger, menées en partie par des autorités françaises ou internationales. Il a développé un savoir-faire assez rare en France en ce qui concerne des méthodes permettant la détermination de faits complexes dans le cadre d’organisations composites. Il conseille aujourd’hui des entreprises dans la mise en place et l’audit de leurs programmes éthique, conformité et compliance. A ce titre, il a été nommé moniteur indépendant en matière de conformité sur le fondement d’un accord de règlement négocié par un groupe européen avec la Banque mondiale en 2018. Il fait partie des conseils distingués par la Chambers & Partners Legal 500 France et fait partie aussi des 500 meilleurs cabinets du Who’s Who Legal.

    Amine Gharby | Co-Managing Director, EQS Group France
    Amine Gharby | Co-Managing Director, EQS Group France

    Amine possède une expérience de plus 10 ans dans le développement commercial. Avant de prendre les rênes de l’entité française d’EQS Group, Amine a occupé différentes fonctions commerciales au sein d’EQS Group ainsi que dans des entreprises comme Barclays ou Natixis. Amine est diplômé d’un Master II en finance à l’INSEEC.

    Découvrez EQS Integrity Line notre plateforme digitale d’alertes professionnelles conforme à la loi Sapin 2

    Linda Couturier Sadgui
    Linda Couturier Sadgui

    Head of Marketing Communications – EQS Group | Linda possède 20 ans d’expérience en marketing et communication B2B dans le secteur des services financiers et de l’information dont 14 ans au niveau paneuropéen. Avant de rejoindre EQS Group en mars 2018, Linda a occupé les fonctions de Head of Marketing Communications Strategy EMEA chez Euronext, Thomson Reuters puis Nasdaq. Linda est diplômée d’un Master en Marketing de PSB Paris School of Business (Ex ESG Management School).

    Contactez-moi