Alertes internes : contours juridiques et bonnes pratiques
Par le groupe de travail Alertes internes de la commission AFJE Compliance
Qu’elle soit ou non soumise à une obligation légale, une entreprise a tout intérêt à mettre en place un dispositif de signalement interne présentant de solides garanties pour les lanceurs d’alerte. Pourquoi et comment ? Réponses et bonnes pratiques ci-dessous !
En France, la mise en place d’une procédure interne de recueil et de traitement des signalements est une obligation légale pour les personnes morales de droit privé et les entreprises exploitées en leur nom propre par une ou plusieurs personnes physiques employant au moins 50 salariés (article 6 de la loi Sapin 2). La loi prévoit des obligations similaires au sein des administrations de l’État, des personnes morales de droit public employant au moins 50 agents (sauf exceptions), et des collectivités locales d’au moins 10 000 habitants. Les autorités externes (administratives, judiciaires, personnes morales habilitées, ordres professionnels ou défenseurs des droits) sont également tenues de mettre en place une telle procédure, notamment si les lanceurs d’alertes n’ont pas confiance dans les dispositifs mis en place au sein des entreprises. À côté ou en complément de ce dispositif général prévu par l’article 6 de la loi Sapin 2, existent d’autres dispositifs requérant ou ouvrant la faculté d’instaurer un dispositif d’alerte dont, par exemple, les dispositifs spécifiques applicables à la fonction publique.
Face aux différents dispositifs d’alerte existants, l’entité peut décider de les regrouper dans une procédure unique pour faire connaître le dispositif et faciliter son accès aux salariés et parties prenantes de l’entreprise. Dans ce contexte, le dispositif « devrait explicitement viser l’ensemble des finalités correspondantes, en distinguant celles qui résultent d’une disposition obligatoire spécifique de celles qui sont adoptées volontairement par l’organisme » (Cnil, Référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte du 6 juillet 2023, n°13).
Groupes de sociétés : possibilité d’un dispositif d’alerte groupe
- Pour les groupes de sociétés, un système mutualisé est possible pour les filiales employant moins de 250 salariés. Au-delà, elles doivent disposer d’un dispositif propre distinct de celui du groupe, même si le traitement des signalements devra le plus souvent être organisé en coordination avec ce dernier. Le dispositif mis en place en France sera alors élaboré en cohérence avec le dispositif groupe.
- À noter que la loi française instituant le régime de protection le plus avancé en Europe, un dispositif groupe mis en place par une société-mère étrangère devra nécessairement prendre en compte les particularités de la loi française.
- Plusieurs grandes entreprises ont opté pour la mise en place d’une procédure “groupe“ reposant sur un mandat donné par les filiales à la holding de recevoir et/ou gérer des signalements pour leur compte.
Utilités d’un dispositif d’alerte interne efficace
Un lanceur d’alerte peut librement choisir d’adresser son signalement au travers du canal interne ou directement à une autorité administrative ou judiciaire, un ordre professionnel, une personne morale habilitée ou le défenseur des droits, sans que le choix de ces canaux ne soit hiérarchisé. Le recours au canal externe (voire une divulgation publique), présente évidemment des risques substantiels pour l’entreprise : exposition éventuelle à une enquête par une autorité administrative ou judiciaire déclenchée, exposition médiatique d’une alerte avec des conséquences réputationnelles, voire commerciales et financières, immédiates pour l’entreprise mise en cause avant même le résultat d’éventuelles enquêtes.
C’est pourquoi, l’entreprise, quel que soit sa taille, a tout intérêt à mettre en place un dispositif de signalement interne présentant de solides garanties pour les éventuels lanceurs d’alerte, afin de les inciter à utiliser en priorité ce canal plutôt que de s’adresser à une autorité externe ou procéder à une divulgation publique. En outre, un bon dispositif d’alerte interne est un outil efficace de détection et de gestion des risques opérationnels pour les entreprises. Il permet d’identifier en amont les possibles violations de réglementations ou des politiques internes dans tous les domaines (social, fraude et corruption, pratiques commerciales, fiscal, vigilance environnementale et droits humains, santé et sécurité, etc.). Il est également un indicateur pertinent pour mesurer la maturité de la culture éthique au sein d’une organisation et la confiance dans la gouvernance afférente. Il est enfin un outil d’importance croissante pour l’évaluation extra-financière de l’entreprise, notamment pour le rapport de durabilité (CSRD) et les agences de notation.
Bonnes pratiques dans la mise en place du dispositif
Le dispositif d’alerte interne doit être adapté au profil de risque de l’entreprise. Il doit préciser le rôle du supérieur hiérarchique, qui doit pouvoir orienter et conseiller ses collaborateurs, sauf dans l’hypothèse où il est lui-même l’auteur du comportement incriminé. La procédure détaille la démarche de recueil et de traitement de signalements mise en place par l’entreprise. Elle doit avoir préalablement fait l’objet d’une consultation des instances de dialogue social et respecter la législation relative à la protection des données personnelles.
La procédure doit faire l’objet d’une publicité suffisante (affichage, notification, site internet et intranet) et être facilement accessible (décret d’application de la loi Waserman). Et le règlement intérieur de l’entreprise doit mentionner l'existence du dispositif de protection des lanceurs d’alerte.
Contenu du dispositif
Le dispositif d’alerte interne doit préciser notamment les conditions pour bénéficier du statut de lanceur d’alerte, la typologie de faits pouvant être signalés, les étapes de la procédure, les modalités de traitement, les droits des personnes concernées et les mesures de sécurité et de conservation de données personnelles.
Par ailleurs, la procédure doit intégrer :
- les modalités d’accès pour effectuer une alerte (adresse électronique dédiée, logiciel de gestion, plateforme éthique, voie hiérarchique, par exemple) et les modalités d’échange d’informations avec l’auteur de l’alerte et de transmission par ce dernier des preuves à l’appui de son signalement ;
- la possibilité d’anonymat ;
- les modalités de traitement des alertes et notamment les délais pour accuser réception du signalement, communiquer sur sa recevabilité… ;
- la désignation du ou des référent(s) pour recueillir les signalements et, si différent, celui/ceux en charge de leur traitement ;
- les garanties de la procédure vis-à-vis notamment, de l’identité de l’auteur de l’alerte, des faits signalés et des personnes visées, y compris lors de communications avec des tiers. La violation de cette confidentialité peut entraîner des sanctions pénales et disciplinaires.