Conseils pour les entreprises françaises sur la directive sur la protection des lanceurs d’alerte

La Directive sur la protection des lanceurs d’alerte – Conseils pour les entreprises françaises

***

En décembre 2021, la Directive Européenne du 23 octobre 2019 sur la protection des lanceurs d’alerte entrera en vigueur impactant ainsi toutes les entreprises de plus de 50 employés.

Lors de l’Atelier France du Webinaire organisé par EQS, dédié au dispositif d’alerte interne, dans une édition spéciale “Europe du Sud”, Amine Gharby s’est entretenu avec deux experts en matière d’investigations internes, Stéphane de Navacelle, associé NAVACELLE, et Nicolas Guillaume, associé Grand Thornton France, au sujet de la Directive européenne sur les lanceurs d’alerte dont la transposition par les Etats membres dans leur législation interne est attendue avant le 17 décembre 2021.

Les apports de la Directive européenne par rapport à la loi Sapin II

Pour commencer, Stéphane de Navacelle revient sur les apports de la Directive européenne en France, et sur la manière d’intégrer cette directive dans son système de conformité et de traiter l’alerte en pratique.
Il existe des similitudes entre la Directive européenne et Sapin II. Pour l’essentiel, c’est l’interdiction des représailles et l’immunité dont bénéficie le lanceur d’alerte en cas de divulgation de secret des affaires, violation de droit d’auteur, etc… L’idée est une protection large, qu’on retrouve en droit positif français dans le Code pénal, le Code du travail, le Code monétaire et financier.
Il y a ensuite un élargissement du champ d’application de la protection des lanceurs d’alerte [qui] porte pour l’essentiel sur les intérêts financiers de l’Union (…), les problématiques de marchés publics, des services financiers, de protection de l’environnement, de sûreté nucléaire, de santé publique, entre autres.
Enfin, l’étendue porte sur la personne même du lanceur d’alerte. Dans la directive, on parle de tous les travailleurs, avec une notion très large de “travailleur”, c’est-à-dire que cela peut être aussi
[bien] en amont de la relation de travail. C’est aussi tous les facilitateurs et entités juridiques à proprement parler. On voit qu’on a un prisme beaucoup plus large et qu’il faut vraiment s’ouvrir dans l’évolution de la mise en place de votre système de conformité au-delà de vos simples salariés.
Sur ce qui constitue une alerte (…), de simples soupçons concernant des violations ou des tentatives de dissimulation de violations, dès lors qu’ils sont raisonnables, sont suffisants pour mettre en œuvre cette protection.
La Directive apporte un renforcement de la mise en œuvre des procédures d’alerte : il s’agit là-encore d’aller plus en amont que ce qu’on pourrait avoir en droit français positif. Sont concernées les personnes morales du secteur privé qui comptent au minimum 50 salariés, (…) et même si vous êtes moins de 50 salariés, après une évaluation des risques selon la nature des activités et le niveau de risque notamment pour ce qui est de l’environnement et la santé publique, alors vous pouvez déterminer le besoin de mettre en place un système d’alerte.
Cela s’applique à toutes les personnes morales de droit public et ces canaux et procédures de signalement (…) doivent garantir la confidentialité à la fois du lanceur d’alerte, des personnes visées par l’alerte, et évidemment des informations.
Ce qui est peut-être le plus étonnant dans le changement du processus, c’est que sous le régime encore applicable jusqu’au 17 décembre, on avait une hiérarchie (…) en trois étapes pour dénoncer, pour le lanceur d’alerte : en interne, mais avec certaines parties choisies (supérieur hiérarchique, employeur) et ensuite seulement, en l’absence d’action, en externe (autorité judiciaire ou administrative, représentants du personnel), puis au public.
Ici, le lanceur d’alerte peut lancer son alerte de la façon qu’il souhaite. Cela confirme l’importance de gagner la confiance du lanceur d’alerte (…) en mettant en place un système où il se sent capable de faire prospérer ses préoccupations de façon honnête. Cela permet à l’entreprise de garder un contrôle sur le processus.

Comment intégrer la Directive dans son système de conformité ?

Sur l’intégration dans le système de conformité, il faut le faire évoluer [depuis] la réception du signalement qui doit être faite de façon sécurisée. Il y a une offre très utile qui est celle de proposer (…) une plateforme qui va permettre d’assurer à l’entreprise, et surtout au récipiendaire directement en charge de l’alerte, qu’il ou elle remplisse bien ses fonctions et évite le risque personnel. On est dans une situation de renversement de charge de la preuve. Il faut démontrer que vous avez mis en place tous les process qu’il fallait, et alors vous pourrez éviter une mise en cause, soit personnelle, soit de la personne morale.
Il faut évidemment garantir la confidentialité de l’identité du lanceur d’alerte et de tout tiers mentionné et évidemment empêcher l’accès au personnel non autorisé. C’est une situation clé : quand vous mettez en place un système d’alerte et que vous n’êtes pas bien câblé, vous encourez un risque humain naturel de l’erreur, d’un sentiment de panique, de l’e-mail forwardé trop vite à trop de personnes, etc.
Il faut donc anticiper et il faut le faire avec les bons outils.
Ensuite, un suivi impartial et compétent est nécessaire. On maintient la communication avec le lanceur d’alerte. C’est un élément essentiel parce que le lanceur d’alerte peut partir très rapidement vers l’extérieur, et à ce moment-là vous perdrez le contrôle de l’information. La procédure peut être gérée soit en interne avec des garde-fous nécessaires, soit en s’appuyant sur un professionnel compétent, spécialiste externe.
Un accusé de réception doit être délivré. C’est toujours accompagner le lanceur d’alerte, ne pas le mettre dans une situation difficile, ce qui poserait un certain nombre de problèmes (…) sur la crédibilité de l’information, du lanceur d’alerte. Il faut lui revenir dans les 7 jours et il faut, dans un délai raisonnable, lui faire un retour d’information (3 mois au maximum).
Enfin, il faut prévoir une information claire et facilement accessible concernant les procédures de signalement externes aux organismes compétents ou de l’Union européenne et je souligne là encore l’importance d’accompagner le lanceur d’alerte.

Comment traiter l’alerte ?

C’est un sujet sur lequel on pourrait rester pendant des heures, parce qu’en réalité chaque alerte est différente. Elle peut être différente quant à la nature de l’alerte, quant à sa gravité, quant à la personne mise en cause, quant au contenu de l’information elle-même. C’est important d’avoir les bonnes méthodes et d’agir avec bonne intelligence et traçabilité.
Evidemment, il s’agit de répondre aux obligations liées au RGPD. J’aime à dire que ce n’est pas parce que vous avez une alerte qu’il faut nécessairement déclencher l’infanterie lourde.
[Faire] une recherche sur un moteur de recherche, c’est faire une enquête interne, c’est vérifier une alerte. Si on vous dit que tel salarié fournit des fausses notes de frais, vous prenez les notes de frais, vous cherchez sur un moteur de recherche, par exemple, l’adresse du loueur de voitures, et si en réalité à cette adresse-là vous avez un maraicher et pas un loueur de voitures, vous avez fait une enquête interne. Ce n’est pas nécessairement quelque chose de très lourd.
La pire chose à faire, c’est la politique de l’autruche : c’est de s’enfermer et de se dire que ça va passer, parce que lors d’un contrôle, vous allez être mis en très grande difficulté et vous
[serez] tout à fait en dehors des clous du cadre réglementaire.
Pour ce qui est des principales étapes (…), il faut faire un plan d’enquête pour expliquer le processus, protéger celui qui mène l’enquête (souvent, c’est le récipiendaire de l’alerte) (…) et la traçabilité. On dit les faits tels qu’on les connaît au début, parce que si on découvre un fait nouveau ou qu’on a oublié de regarder un sujet, au moins on a pu expliquer d’où on venait et que ce n’est pas une volonté de se cacher d’un élément particulier, mais que cela coule bien de ce qu’on avait reçu comme faits. Il faut définir le prisme de ce qu’on va regarder (quel pays, quel service, quelles personnes). Il faut identifier les parties prenantes, (…) les rôles de chacun. On peut imaginer aussi un sachant dans un domaine particulier, qui a une connaissance d’une zone ou un département ; on peut décider qu’on a besoin d’avoir recours à un huissier de justice pour telle ou telle raison (la préservation des preuves, par exemple). Identifier les parties prenantes, c’est aussi pour s’assurer que si l’enquête évolue vers une situation plus problématique, on puisse l’encadrer et expliquer pourquoi on a fait ce qu’on a fait.

La préservation et la collecte des données est absolument essentielle, notamment quand vous avez (…) une autorité de poursuite derrière. Si vous n’avez pas permis une vraie traçabilité des éléments, on vous dira que vous avez cherché à dissimuler les preuves, et donc vous encourrez des risques supplémentaires.
Il faut aussi un traitement et une revue des données et documents, par exemple grâce à des plateformes dédiées, des entretiens (on rencontre le lanceur d’alerte s’il le veut, d’autres personnes), des expertises (il faut s’appuyer sur des expertises comptables ou autres), et enfin un rapport qui répond au plan d’enquête. Et on informe toujours le lanceur d’alerte, c’est essentiel, (…) dans l’intérêt de la personne morale.

Résultat du questionnaire du webinaire

Amine Gharby : “On va se pencher sur les résultats [du questionnaire] pour la France, notamment pour les personnes qui sont enregistrées à cet événement. Le but de l’événement est vraiment d’apporter des conseils pour les entreprises françaises dans le cadre de cette transposition et mise en application de la Directive sur la protection des lanceurs d’alerte.

Nicolas Guillaume : “On vous avait posé trois questions lors de votre inscription. Une première question sur votre connaissance de la directive et vous étiez un peu plus de 70% à déclarer déjà connaître la directive. Grâce à Stéphane (…), vous avez pu voir qu’il y avait quand même quelques évolutions significatives dans ce texte et notamment la suppression de la notion de hiérarchie dans le traitement des alertes, qui est je pense le point clé de la Directive.
On vous avait également interrogé sur le niveau de mise en place des dispositifs d’alerte avec les deux tiers d’entre vous qui déclarent avoir mis en place cette alerte (…) avec un petit 10% qui déclarent ne pas savoir. Cela arrive finalement assez régulièrement, parce qu’on peut être filiale d’un groupe qui a mis en place un système, et pas forcément avoir une vision globale sur le dispositif.
Si vous, qui participez à ce webinar, n’avez pas cette connaissance-là, vous pouvez facilement imaginer que les salariés de votre groupe ne l’ont pas non plus et cela traduit donc bien un problème de connaissance et de diffusion de l’information.
Enfin, dernière question
[sur] le dispositif d’alerte que vous avez mis en place. On est d’abord à plus de 40% sur une plateforme digitale, dédiée au recueil et à la gestion des alertes (les solutions que propose EQS notamment). En deuxième, on retrouve sans trop de surprise l’e-mail, avec 34%, et puis ensuite des numéros de téléphone soit internes soit externes, chacun à peu près à 10%. Une pratique restreinte est ressortie autour des médiateurs, avec un peu plus de 3% des entreprises qui ont mis en place le médiateur.
Je ne peux être que content de ne pas retrouver dans cette liste les pratiques que l’on a déjà pu constater : aucun d’entre vous n’a déclaré de système de courrier papier pour recevoir les alertes, même si cela a pu exister à une époque, notamment dans les entreprises qui souhaitaient rebuter à tout prix les lanceurs d’alerte,
[ce] qui ne constitue évidemment pas une bonne pratique.

Les canaux d’alerte

Stéphane de Navacelle : “Pour rebondir sur le papier (…), un petit retour d’expérience dans un pays d’Afrique de l’Est dans le cadre de mon monitorship pour le compte de la Banque mondiale. Il a fallu mettre en place un système d’alerte dans une entreprise de vingt personnes qui avaient des liens de parenté proche entre eux et qui étaient un des partenaires du client. La seule façon que l’on a trouvée de faire un système d’alerte anonyme était la boite à chaussures qu’on mettait à l’entrée, et dans laquelle les gens pouvaient glisser un message, puisqu’il fallait un système d’alerte. Évidemment, si vous faites ça dans votre entreprise, cela sera très mal perçu, mais au-delà des frontières, il faut aussi essayer d’être inventif”.

Amine Gharby : “Sur l’inventivité, il faut peut-être aussi privilégier différents canaux selon les secteurs. Là aussi en termes de retour d’expérience, avec EQS on a mis en place différents canaux pour atteindre les objectifs [des clients]. Le but est de pouvoir faciliter la mise à disposition de ce type de dispositif, et donc décliner aussi sous différents canaux : peut-être le système externalisé digital pour les gens qui vont être derrière des ordinateurs, dans des bureaux, et (…) pour les gens qui vont plus être opérationnels (usine, extraction de minerais, énergie), des lignes téléphoniques dédiées.
La technologie permet beaucoup de flexibilité et le but est de faciliter ce lancement d’alerte lorsqu’on constate des problématiques éthiques (manquement à la probité, harcèlement, etc.), cette directive
[allant] un peu plus loin que ce que prônait la loi dite Sapin II. On encourage vraiment les sociétés à avoir une “vision 360”, à regarder de manière opérationnelle leurs collaborateurs : mon collaborateur va-t-il être en mesure de déclencher l’alerte s’il le faut ?

Nicolas Guillaume : “On voit encore beaucoup d’e-mails. Ce n’est pas interdit, mais cela ouvre la porte à toute une série de problèmes et de difficultés très opérationnelles. L’e-mail peut être, dans un certain nombre de cas, filtré par une assistance, administré par des administrateurs de systèmes d’information, voire par des prestataires quand c’est outsourcé. On a une dilution de la confidentialité qui peut se réaliser et on peut avoir une tendance à diffuser un peu rapidement ou largement les e-mails. Ce n’est pas forcément ce qui est le plus recommandé en termes de sécurité de l’information et de traçabilité.
Je vous rejoins assez volontiers sur le côté multicanal qui doit surtout être orienté sur les salariés. L’objectif d’un système d’alerte est qu’il fonctionne et qu’il y ait des alertes. Quand on fait des contrôles ou des audits de dispositifs de conformité, on sait tous qu’un dispositif d’alerte dans lequel ne remonte pas d’alerte, ce n’est pas un bon signe en termes de vitalité du dispositif de conformité et d’efficacité. Si on veut qu’il y ait des alertes, il faut un système qui inspire confiance, qui soit fiable, qui mette en place le bon environnement pour que les salariés puissent s’exprimer, ou les tierces parties puisque des dispositifs d’alerte, par exemple liés à la loi “devoir de vigilance”, peuvent ouvrir sur un certain nombre de parties prenantes (fournisseurs, sous-traitants).

Amine Gharby : “Dans ce cadre-là, est-ce que les entreprises doivent continuer à utiliser une adresse e-mail comme canal ou doivent-elles arrêter cette pratique ?

Stéphane de Navacelle : “Je rejoins ce qui vient d’être dit., ce n’est absolument pas interdit. Est-ce vraiment approprié ? On sait tous que la réaction humaine est d’aller se confier à un proche, un collaborateur, peut-être à quelqu’un qui connaît la personne mise en cause, donc on va très vite s’exposer au risque de (…) fuites et de se retrouver en violation des obligations vis-à-vis du mis en cause, du lanceur d’alerte, des faits contenus, avec un risque de disparition de la preuve, ce qui est tout à fait intolérable pour une autorité à laquelle vous pourriez avoir à faire ensuite. On risque aussi de se mettre en défaut vis-à-vis des exigences posées par la CNIL dans son référentiel sur les alertes professionnelles, qui n’interdit pas les e-mails, mais nous dit qu’il faut que les postes de travail et les locaux soient sécurisés, qu’il faut qu’il y ait une authentification sécurisée, etc. C’est potentiellement s’exposer aux risques. Je connais peu d’entreprises où l’adresse e-mail est accessible uniquement à une seule personne : si cette personne est en vacances, il en faut deux, et ainsi de suite. Le mieux est d’avoir un système qui tient la route.
Après, très souvent, les alertes graves ne passeront pas par le système d’alerte. Il est donc assez important, pour justement éviter les problèmes RH, de turnover, etc., d’intégrer ces alertes dans le système. Le mieux est que tout soit dans un endroit totalement sécurisé. C’est la multiplication des intervenants qui va multiplier le risque. Dans une entreprise, les salariés peuvent être nommés ailleurs et on va perdre l’historique, alors que si on a un système et qu’une information vient par un autre biais, vous l’intégrez directement au système et elle aura son numéro, son nom, etc.

Amine Gharby : “Ces dernières années, on voit de plus en plus souvent des salariés qui vont émettre des alertes auprès de médias, réseaux sociaux, etc. Est-ce qu’ils bénéficient aujourd’hui des mesures de protection pour les lanceurs d’alerte ?

Stéphane de Navacelle : “Aujourd’hui, non. Le 17 décembre, oui.

Les risques de cybersécurité

On a évoqué les risques opérationnels dans le cas de la réception et du traitement, mais il y a également les risques de cybersécurité, de pièges des données. On voit de plus en plus d’écueils dans la presse, notamment des logiciels pour rançonner les entreprises. Avez-vous pu être confronté à ces problématiques-là et recommander l’utilisation d’une solution chiffrée externe au système d’information de l’entreprise pour préserver ces informations qui sont extrêmement critiques la plupart du temps ?

Stéphane de Navacelle : “Cela coule de source. On a y compris des cabinets d’avocats qui se font attaquer. Il y a quelques années, un cabinet international avec qui nous travaillons régulièrement s’est retrouvé avec tous ses serveurs bloqués pendant plus de dix jours. C’est donc un avantage indéniable, notamment pour ces informations particulièrement sensibles, quand vous êtes dans une industrie où ce type d’informations peut avoir des conséquences extrêmement dommageables, mais aussi une marque connue dont la réputation, en cas d’incident, va [être impactée] dans le monde entier.

Nicolas Guillaume : “C’est un asset qui est très attractif. Ce sont des données qui sont extrêmement sensibles, qui associent votre entreprise avec un certain nombre de délits potentiels, et forcément un certain nombre d’acteurs sont susceptibles d’être intéressés par ces données de différente nature, que ce soit un concurrent pour avoir accès à des informations négatives sur vous, que ce soit les personnes mises en cause pour pouvoir assurer différemment leur défense, etc. Il donc est essentiel que ces données soient protégées, qu’elles soient sécurisées, y compris en termes de souveraineté économique puisqu’on sait que sur ces sujets-là, c’est un enjeu qui peut arriver assez rapidement.

Les bonnes pratiques pour le traitement des alertes

« On a parlé du référentiel de la CNIL. Quelles sont les bonnes pratiques pour traiter une alerte que vous avez pu voir ou que vous apportez lors des conseils que vous prodiguez aux entreprises ? Comment aider un manager à bien traiter une alerte ?
Stéphane de Navacelle : “Je me pose dans le prisme du problème, parce que c’est souvent trop tard qu’on vient voir l’avocat. Les clés de la crédibilité de l’entreprise, c’est évidemment le respect des étapes de la directive, et cela se traduit vraiment par l’accompagnement du lanceur d’alerte. J’insiste sur ce point car j’ai passé l’intégralité de mon été sur un sujet portant sur un groupe à dimension mondiale, où le lanceur d’alerte était très vindicatif – comme souvent ils le sont car ils ont porté cette responsabilité, cette charge pendant très longtemps –, et qui n’était pas satisfait de la progression. Il multipliait donc les alertes par tous les canaux possibles pour mobiliser tout le monde dans l’entreprise. On se retrouvait avec des multiples alertes qui portaient en réalité sur le même sujet, parce qu’on avait un lanceur d’alerte qu’il fallait accompagner. Il faut un accusé de réception dans les 7 jours. Un e-mail reste dans une boîte, on en reçoit beaucoup, et cela arrive que des e-mails ne soient pas traités dans les 7 jours, pas considérés comme une priorité, d’où l’intérêt d’avoir un logiciel qui va vous le rappeler. Et puis, il y a le délai des trois mois si vous décidez de ne pas enquêter parce que cela ne rentre pas dans le prisme : il faut aussi le dire et détruire les informations.
Pour aider le récipiendaire de l’alerte, il faut surtout ne pas le laisser seul. Toutes les décisions portant sur les alertes doivent être collégiales. Le directeur juridique, si tant est qu’il reçoive directement ou indirectement l’alerte, est toujours le dernier au courant de ce qu’il se passe quand il y a un problème dans l’entreprise. Souvent, celui qui reçoit l’alerte n’a pas l’information. Il ne faut pas qu’il aille seul, il faut qu’il cherche les vraies compétences parce qu’il faut préserver les preuves. S’il commence à avancer à tâtons, il risque justement d’alerter sur l’alerte, et on risque de se retrouver avec des éléments qui disparaissent, avec une concertation entre les personnes impliquées, qui est dramatique parce que l’on crée des témoins. C’est vraiment l’indépendance de l’enquête, la collégialité, l’accompagnement du lanceur d’alerte et la méthode qui sont les clés, et cela passe par le plan d’enquête. Et enfin, il faut le documenter. On donne ainsi une opportunité de contrôle à un tiers éventuel. On espère évidemment qu’il n’y a pas de tiers puisque vous avez pu traiter l’alerte de façon satisfaisante.”

Nicolas Guillaume : “Pour compléter, je pense qu’il y a une population qu’il faut bien avoir en tête et que l’on n’a pas beaucoup évoquée, le management. On peut avoir mis en place le système qu’on veut et la qualité du système qu’on veut, le réflexe d’un certain nombre de lanceurs d’alerte – qui est normal et certainement souhaitable –, c’est de se retourner vers son management, vers sa ligne hiérarchique. C’est un sujet très important parce que quel que soit le vecteur qu’ils vont utiliser pour alerter le management, ils ne vont pas forcément utiliser la plateforme sécurisée qui est prévue pour, ils vont utiliser d’autres moyens, et il faut absolument avoir préparé le management à savoir comment réagir en cas d’alerte, pour ne pas se précipiter, ne pas paniquer, ne pas diffuser un mail à 25 personnes [sans savoir que faire et comment procéder], et qu’ils aient des réflexes, qu’ils sachent comment la déverser eux-mêmes dans la plateforme, à quel référent éthique s’adresser.
Cela reboucle sur un autre point qu’évoquait Stéphane, qui est qu’en matière d’investigations internes, tout se joue au début. Si on ne maîtrise pas le début de l’enquête, et c’est un équilibre compliqué car il faut à la fois être réactif et ne pas se précipiter, parce qu’il y a un certain nombre de règles à respecter. On a vu beaucoup d’enquêtes massacrées parce qu’on a patiné au démarrage, qu’on a laissé de l’information fuiter. Par exemple, sur une enquête sur une filiale d’un grand groupe industriel en Afrique du Sud, la seule chose que l’on a retrouvé, c’était les traces d’une vidéosurveillance qui montrait une série de personnes passer à la beine une série d’ordinateurs et de portables pour détruire les preuves, parce que ça avait fuité et que la réaction n‘avait pas été maîtrisée.
Cette maîtrise du début de la chaîne de réaction est importante. Cet aspect renvoie à la formation, la sensibilisation du management, pour qu’ils sachent comment réagir, qu’ils connaissent leur responsabilité et jusqu’où ils ne doivent pas aller, (…) pour prendre en charge de manière efficace le lanceur d’alerte sans aller trop loin et sans risquer de saccager la suite des investigations. C’est une population qu’on a tendance à parfois oublier en pensant que parce qu’on a mis une super solution technologique ou parce qu’on a écrit une merveilleuse procédure de vingt pages, tout est réglé. Non, il y a vraiment un aspect de challenge de management, d’accompagnement qu’il faut penser à faire.

Stéphane de Navacelle : “Je ne ferai que confirmer et insister sur tout ce que vient de dire Nicolas, et sur le fait qu’aujourd’hui, (…) c’est sur Telegram et Whatsapp que les choses se font. Cela aussi peut disparaître très rapidement, alors que ce sont des appareils souvent de l’entreprise auxquels elle peut avoir accès, et auquel les autorités ont un accès très facile.

Les alertes anonymes

Amine Gharby : “Si vous le souhaitez, on peut passer sur un autre aspect de l’alerte, qui a souvent été un sujet clivant parmi nos clients, en France, de manière historique. Ce sont les alertes anonymes. On sait qu’elles sont souvent recommandées, ou pas, par certaines entreprises. Quelles seraient vos recommandations sur les alertes anonymes ?”

Stéphane de Navacelle : “L’alerte anonyme est tout à fait autorisée. On peut considérer que ce n’est pas courageux, mais c’est la loi. L’importance, c’est le concret : l’information apportée par le lanceur d’alerte, anonyme ou pas. On peut utiliser un faux nom, on peut être instrumentalisé par un lanceur d’alerte. Cela m’est souvent arrivé avec des faux lanceurs d’alerte, avec des alertes relayées par trois ou quatre personnes qui étaient en réalité des alias de la même. La réalité de l’existence du nom de la personne ne doit pas être un sujet dans votre système d’alerte.

Nicolas Guillaume : “Je ne peux que confirmer. Je pense qu’il faut être extrêmement pragmatique sur cette question. Si vous avez l’information nécessaire pour traiter l’alerte, il faut la traiter, que ce soit anonyme ou pas. Si par contre, le fait que ce soit anonyme pénalise le traitement de l’alerte, on peut solliciter le lanceur d’alerte pour lui demander s’il peut nous donner des éléments complémentaires qui seraient utiles à l’alerte, mais je pense qu’il ne faut surtout pas être dogmatique sur la question. Il faut au contraire (…) s’adapter et tant que l’on peut traiter, on traite. Il y a quelques pays qui l’interdisent, mais c’est quand même très marginal.

Amine Gharby : “En termes de retour d’expérience, avez-vous un client qui aurait changé d’idée sur l’alerte anonyme, peut-être après en avoir reçu ? On sait que suite à l’introduction de la loi Sapin II en France, les alertes sont plutôt des alertes responsables de la part des lanceurs d’alerte. Auriez-vous un client qui se serait dit que finalement, anonyme ou pas, cela ne changeait pas grand-chose ?

Nicolas Guillaume : “Il y en a plein. Il y a beaucoup d’entreprises qui ont la peur a priori (avant d’avoir mis en place le système) de se dire que dès [qu’elles] vont ouvrir le système, [elles vont] avoir un déferlement infernal d’alertes, ce qui n’est pas du tout la réalité de ce qu’on rencontre. Il peut y avoir des cas, qui généralement renvoient à des climats sociaux très particuliers, mais autrement (…) les gens se rendent compte de manière très pratique qu’il vaut mieux recevoir des alertes anonymes plutôt que de ne pas être informés d’un problème. Il faut bien avoir en tête que les systèmes de lanceurs d’alerte sont aujourd’hui le système le plus efficace qui existe pour détecter des situations de fraude et de problèmes au sein des entreprises parce que les contrôles ne permettent pas de le faire. Il vaut mieux récupérer ces informations-là par un système anonyme, plutôt que de ne pas les récupérer et avoir ces fraudes qui prospèrent et qui se développent au sein de l’entreprise.

Stéphane de Navacelle : “L’intérêt pour l’entreprise, c’est d’avoir l’alerte le plus tôt possible, connaître l’événement le plus tôt possible pour pouvoir le traiter et éviter que cela gagne en taille et en problématique.

L’application de la directive aux entreprises basées en dehors de l’Union européenne

Amine Gharby : “Les entreprises basées en dehors de l’Union européenne sont-elles également soumises à la directive si elles ont des filiales basées dans l’UE ?

Stéphane de Navacelle : “La réponse est oui, puisque c’est vraiment la question de la donnée elle-même. Le RGPD s’applique au traitement des données personnelles qui sont effectuées dans le cadre d’activités d’un établissement responsable du traitement ou d’un sous-traitant sur le territoire de l’UE, mais aussi d’un responsable du traitement ou un sous-traitant non établi, dès lors que l’activité est liée à une offre de biens ou de services à des personnes dans l’UE ou alors qu’il s’agit du suivi du comportement, par exemple de mesures de profilage de personnes dans l’UE. On ne peut donc pas s’installer à l’étranger et se dire : ‘ce n’est pas mon problème’.

Autres questions

Amine Gharby : “Sur les retours d’expérience, y a-t-il des histoires qui se terminent bien ? Est-ce que vous avez eu des retours de lanceurs d’alerte qui se sentaient mieux, avec qui il y a eu des choses positives en définitive ?

Nicolas Guillaume : “Qu’il y ait des choses positives, oui bien sûr. Maintenant, dire qu’elles se finissent bien, non. Il faut être conscient que quels que soient les efforts que l’on fasse, il y a toujours des conséquences. Je ne parle pas de représailles, je parle simplement du fait que l’on finit par savoir qui a lancé l’alerte, comment ça s’est passé ou comment s’est arrivé. Il y a donc forcément un minimum de retour en termes de pression, c’est une situation qui est difficile que d’être lanceur d’alerte, c’est courageux et c’est compliqué, et donc il y a forcément des conséquences. Mais par contre, il y a un certain nombre de lanceurs d’alerte qui sont satisfaits de l’avoir fait parce qu’ils ont pu faire progresser leur entreprise et régler un problème au sein de l’entreprise.

Stéphane de Navacelle : “Je rejoins cela tout à fait. Il y a, au mieux, le sentiment du devoir accompli, mais cela ne veut pas dire qu’on est reposé, serein, heureux et ‘bien dans ses pompes’.

Amine Gharby : “Merci beaucoup, Nicolas et Stéphane, sur ce sujet extrêmement intéressant. Une conclusion pour clore ce webinaire ?

Stéphane de Navacelle : “Il faudra une génération pour que les entreprises françaises rejoignent la vague de la conformité. Par rapport à Sapin II, les ajouts ne sont pas des révolutions. On ne va pas revenir en arrière.

Nicolas Guillaume : “On est dans la même lignée, on affine, on améliore, on peaufine, ça va prendre du temps pour arriver à maturité, mais on est en bonne voie sans aucun doute.

***

European Compliance and Ethics Community, 23/03/2021

Voir le replay

Stéphane de Navacelle est avocat aux barreaux de New York et de Paris. Il a exercé le droit pénal des affaires à New York, Londres et Paris chez Engel, McCarney & Kenney puis Debevoise & Plimpton LLP. En 2010, il fonde son cabinet Navacelle et exerce accompagné de 7 avocats collaborateurs dans 6 langues et sur 4 continents. Il a une expérience de 15 ans dans le cadre d’enquêtes internes en France et à l’étranger, en partie avec des autorités françaises, étrangères ou internationales, et il a développé un savoir-faire sur les méthodes permettant la détermination des faits complexes dans le cadre d’organisations composites. Il conseille aujourd’hui des entreprises dans la mise en place et l’audit des programmes éthiques, conformité et compliance. A ce titre, il a été nommé moniteur indépendant en matière de conformité sur le fondement d’un accord de règlement négocié par un groupe européen avec la Banque mondiale en 2018.

Nicolas Guillaume, après un parcours en entreprise en tant que responsable d’audit interne et risk manager, a rejoint le monde du conseil en 2001 pour créer l’entité de conseil en gestion des risques du groupe Tuillet. A la suite d’un rapprochement avec Grand Thornton en 2015, il est désormais en charge des activités de conseil en gestion des risques, compliance et forensic. Il intervient auprès de clients de toutes tailles et de secteurs d’activité très variés en matière de lutte contre la corruption. Il fait partie des experts intervenant auprès de l’Agence française anticorruption.