Dispositif d’alerte professionnelle : se conformer à la Loi Sapin 2

Conseils pour le développement d'une culture d'entreprise éthique
Linda Couturier Sadgui
En bref

La loi Sapin 2, modifiée par la loi Waserman en 2022, impose un certain nombre d’exigences en matière de sécurité et de confidentialité des procédures de recueil des signalements qui doivent être mises en place. Si l’e-mail est aujourd’hui l’un des moyens les plus utilisés en France, la solution digitale s’avère beaucoup plus adaptée à ces impératifs.

Quelles entreprises sont concernées par le dispositif d’alerte professionnelle ?

Depuis le 1er janvier 2018, les entreprises de plus de 50 salariés ont l’obligation d’avoir un dispositif d’alerte en conformité avec la loi Sapin 2.

Si la procédure était graduée, prévoyant que l’alerte doit être d’abord lancée en interne avant de pouvoir avoir recours à l’alerte externe, cela n’est plus le cas depuis 2022 avec la loi Waserman. Le lanceur d’alerte peut à présent choisir dès son premier signalement, entre une alerte lancée en interne (à son supérieur hiérarchique, aux référents éthiques ou bien via un système d’alerte autre) et une alerte externe (à l’une des 45 autorités compétentes ou bien au défenseur des droits).

Une non-conformité vous exposera à des amendes

En cas de non-conformité, la loi prévoit des dispositions pénales pouvant aller d’un an d’emprisonnement et de 15 000€ d’amende, à de deux ans d’emprisonnement et de 30 000€ d’amende. D’une manière générale, si une infraction est commise quel qu’en soit le domaine, l’absence de conformité de l’entreprise sera une circonstance aggravante. Cela va sans compter sur les conséquences indirectes notamment d’atteinte à la réputation de l’entreprise qui peut représenter jusqu’à 25 % de sa valeur.

Le référent éthique : la pierre angulaire du dispositif

Dans ce dispositif, le référent éthique – interne ou externe – a une position centrale. Il a la responsabilité de contrôler formellement l’alerte en vérifiant qu’elle émane d’une personne physique agissant de bonne foi et sans contrepartie financière. Il est par ailleurs le garant de la confidentialité et doit gérer la procédure. De fait, il doit accuser réception de l’alerte dans les 7 jours, s’assurer qu’elle est étayée par toutes les informations nécessaires et donner au lanceur un délai raisonnable et prévisible, n’excédant pas les trois mois, de traitement de son alerte. Enfin, après avoir transmis les informations aux enquêteurs, il aura la responsabilité de clore l’enquête et d’archiver la procédure. Sa charge est lourde car sa responsabilité pénale (personnelle) et sa responsabilité physique et disciplinaire (professionnelle) sont engagées. Dès lors, il convient de l’intégrer à la fois dans le dispositif de délégation de pouvoir et dans l’assurance de Responsabilité civile des mandataires sociaux (RCMS).

La sécurité et la confidentialité des procédures sont essentielles

Dans une démarche de mise en conformité, l’entreprise doit donc s’acquitter de certaines obligations. Dans le cas d’un dispositif déjà existant, elle devra ainsi le revoir au regard de la loi Sapin 2. De façon empirique, les écueils à éviter portent le plus souvent sur la sécurité et la confidentialité de la procédure. À l’inverse, certaines recommandations s’avèrent essentielles. À commencer par la formation du référent éthique afin qu’il appréhende au mieux ces questions. Il faudra également mettre en place un dispositif visant à informer les potentiels lanceurs d’alerte (collaborateurs, y compris extérieurs et occasionnels, les actionnaires, les membres des organes d’administration ainsi que les cocontractants et leurs sous-traitants) non seulement sur la procédure d’alerte en interne mais également sur la possibilité de lancer l’alerte en externe.

Le digital, une solution “clé en main”

Véritable clé de voûte de la loi Sapin 2, la confidentialité n’est pas sans soulever certaines questions. En effet, quel moyen technique, quel dispositif est aujourd’hui matériellement en mesure de garantir l’anonymat du lanceur d’alerte ainsi que de ses proches et de ceux l’ayant aidé lors de son signalement ? Au-delà du simple courrier, l’e-mail – l’un des outils les plus utilisés, en France notamment – ou encore une hotline dédiée ne sont pas en mesure de répondre aux exigences en matière de confidentialité.

Pour répondre à cet impératif, la solution digitale (via une plateforme en ligne externe sécurisée) apparaît aujourd’hui comme l’alternative la plus crédible. Elle offre en effet un niveau de sécurité conforme aux exigences de la loi notamment concernant la communication et la traçabilité des échanges avec le lanceur d’alerte, mais aussi s’agissant la confidentialité et l’anonymat du lanceur d’alerte, de ses proches et de ceux l’ayant assisté lors de son signalement. En termes de délais, elle permet, en outre, de traiter plus rapidement et plus facilement les alertes grâce à une ergonomie dédiée aux traitements des signalements et enquêtes de façon confidentielle.

Il est temps d’agir : Conformez votre entreprise à la Loi Sapin 2

Plus généralement, la solution digitale répond aux dispositions recensées par un questionnaire de l’AFA sur la mise en place d’un dispositif d’alerte professionnelle. Celui-ci souligne la nécessité d’un certain nombre de facteurs auxquels les entreprises doivent se conformer. À commencer par l’adoption d’un dispositif technique particulier pour recueillir les alertes. À défaut, l’entreprise doit présenter ses propres solutions en conformité avec la loi. Elle doit aussi être en mesure d’archiver les alertes et préciser les modalités d’archivage. L’entreprise doit également garantir la stricte confidentialité de l’identité du lanceur d’alerte, de ses proches ainsi que celles de des “facilitateurs“ (personnes physique ou morale ayant assisté l’auteur d’un signalement) et mettre à disposition un circuit identifié lui permettant de fournir en toute sécurité les informations et justificatifs nécessaires pour étayer la véracité de son témoignage. Enfin, l’entreprise doit être en mesure de présenter les dispositions prises pour détruire les données sensibles du dossier dans l’outil de gestion, sur les serveurs d’hébergement et sur les serveurs du backup dans le cas d’absence de suite donnée à l’alerte.

Plus généralement, la solution digitale répond aux dispositions recensées par un questionnaire de l’AFA sur la mise en place d’un dispositif d’alerte professionnelle. Celui-ci souligne la nécessité d’un certain nombre de facteurs auxquels les entreprises doivent se conformer. À commencer par l’adoption d’un dispositif technique particulier pour recueillir les alertes. À défaut, l’entreprise doit présenter ses propres solutions en conformité avec la loi. Elle doit aussi être en mesure d’archiver les alertes et préciser les modalités d’archivage. La société doit également garantir la stricte confidentialité du lanceur d’alerte et mettre à disposition un circuit identifié lui permettant de fournir en toute sécurité les informations et justificatifs nécessaires pour étayer la véracité de son témoignage. Enfin, l’entreprise doit être en mesure de présenter les dispositions prises pour détruire les données sensibles du dossier dans l’outil de gestion, sur les serveurs d’hébergement et sur les serveurs du backup dans le cas d’absence de suite donnée à l’alerte.

Transposition de la directive européenne sur la protection des lanceurs d’alerte en droit français

Télécharger gratuitement le livre blanc en collaboration avec KPMG Avocats.

Partagez cet article sur:

Linda Couturier Sadgui contact image | integrityline.com
Linda Couturier Sadgui
Head of Marketing Communications | EQS Group
Linda possède 20 ans d’expérience en marketing et communication B2B dans le secteur des services financiers et de l’information dont 14 ans au niveau paneuropéen. Avant de rejoindre EQS Group en mars 2018, Linda a occupé les fonctions de Head of Marketing Communications Strategy EMEA chez Euronext, Thomson Reuters puis Nasdaq. Linda est diplômée d’un Master en Marketing de PSB Paris School of Business (Ex ESG Management School).