Les raisons d'investir dans un logiciel de dénonciation

Lorsque la fraude vient à la lumière au sein d'une organisation, c'est le plus souvent un collègue qui la détecte en premier. Le dernier Rapport aux Nations de l'Association des Examinateurs Certifiés en Fraude chiffre cela : 43% des fraudes professionnelles sont détectées par un signalement, plus de trois fois la proportion identifiée par l'audit interne, l'examen par la direction ou tout autre contrôle isolé. La même étude relève une perte médiane de 145 000 dollars américains par cas et note que les organisations perdent environ 5% de leur chiffre d'affaires à cause de la fraude chaque année. Un canal de signalement n'est pas la seule chose qui comble cet écart, mais chaque analyse crédible de la manière dont cet écart se comble place un canal parmi les éléments clés. L'argument en faveur de l'investissement a aussi changé d'une autre manière : dans une grande partie de l'Europe, le canal n'est plus optionnel.

La directive a transformé le conseil en loi

La Directive UE sur la protection des lanceurs d'alerte (2019/1937) a fixé au 17 décembre 2021 la date à laquelle chaque État membre devait mettre en place des canaux de signalement internes et externes sur une base légale pour les organisations comptant 50 travailleurs ou plus. À cette date limite, la plupart des pays ne l'avaient pas transposée. Les derniers à le faire ont été la Pologne et l'Estonie en mai 2024, et en mars 2025, la Cour de justice de l'Union européenne a ordonné à l'Allemagne, au Luxembourg, à la République tchèque, à l'Estonie et à la Hongrie de payer des pénalités financières pour ce non-respect. Bruxelles a depuis déclaré que la loi est maintenant en vigueur partout, mais la qualité de la transposition varie toujours. Consultez l'aperçu de la Commission européenne pour l'état actuel.

En Pologne, la Loi sur la protection des lanceurs d'alerte est entrée en vigueur le 25 septembre 2024. Les employeurs dépassant le seuil de 50 personnes devaient disposer d'une procédure interne en place à cette date, et les signalements externes au Défenseur du peuple ont ouvert le 25 décembre 2024. Les secteurs tels que les services financiers, la lutte contre le blanchiment de capitaux, la sécurité des transports et la protection de l'environnement sont assujettis indépendamment du nombre d'employés. Les détails se trouvent auprès du Ministère polonais de la Famille, du Travail et de la Politique sociale sur gov.pl. La question de la conformité n'est plus de savoir s'il faut mettre en place un canal, mais de savoir comment fonctionne réellement celui que vous avez mis en place.

Les signalements surpassent les audits, chaque année

Le chiffre 43% n'est pas une exception. L'ACFE réalise la même étude depuis deux décennies et le classement n'a pas changé : les signalements sont la méthode de détection prédominante, à chaque vague, dans chaque région. La plupart de ces signalements proviennent de l'intérieur de l'organisation. Les employés représentent 52% d'entre eux ; les clients et fournisseurs fournissent la plupart des autres. Plus longtemps un système de fraude fonctionne, plus les dégâts sont profonds : les pertes médianes augmentent d'environ 50 000 dollars américains pour les fraudes détectées en moins d'un an à 250 000 dollars américains pour les systèmes qui durent une décennie. Un canal n'empêche pas un contrevenant déterminé, mais il raccourcit le délai entre le premier signal d'alerte et la première enquête, et la courbe des pertes récompense cela. Agir sur un signalement est ce qui convertit ce signal en argent récupéré, mais aucune étape d'action n'existe sans une étape de réception en premier lieu.

Des canaux que les gens utilisent réellement

La nature de ces signalements a changé. L'ACFE 2024 enregistre les signalements via formulaires Web à 40%, par courriel à 37% et par lignes téléphoniques à 30% ; pour la première fois, le mécanisme Web est la route la plus populaire. Les signalements anonymes représentent environ 15% du total, et ils tendent à révéler les actes répréhensibles au plus haut niveau, ce qui est précisément la catégorie qu'un auditeur a le moins de chances de découvrir seul. L'implication pour l'outillage est sans équivoque. Un canal qui n'accepte que les appels téléphoniques pendant les heures de bureau, uniquement dans la langue de l'entreprise, uniquement à partir d'un ordinateur du réseau de l'entreprise, manquera la plupart des personnes qui parleraient autrement.

Au-delà de la fraude : représailles, harcèlement, santé et sécurité

L'étendue de la divulgation protégée selon la directive est plus large que la fraude. Elle couvre les marchés publics, les services financiers et la LCB, la sécurité des transports, la protection de l'environnement, l'alimentation et les aliments pour animaux, la santé publique, la protection des consommateurs et la confidentialité. Dans la pratique, cela signifie que le même canal gère un responsable payant un inspecteur, un collègue étant harcelé, un quasi-accident sur un quai de chargement et une fuite de données personnelles. Ce qui lie tous ces éléments, c'est le coût du silence, et la loi est maintenant explicite : punir quelqu'un pour avoir parlé (licenciement, rétrogradation, exclusion, remaniement administratif, ralentissement progressif) est en soi une infraction distincte. Répondre bien aux signalements, et être vu en train de le faire, est ce qui transforme un canal en quelque chose que les gens utiliseront réellement une deuxième fois.

La construire sur une norme reconnue

La directive est le seuil minimum ; le manuel opérationnel est la norme ISO 37002. La norme, publiée en 2021 et disponible auprès de l'ISO, décrit comment gérer un système de gestion des signalements de lanceurs d'alerte selon trois principes : confiance, impartialité et protection du signataire. Ancrer une procédure interne à la norme ISO 37002 la rend vérifiable et donne à la direction un argument défendable quand un investisseur, un partenaire en matière de marché public ou un rapport ESG demande comment l'entreprise traite les préoccupations. Cela vous permet aussi de réutiliser le langage d'un système existant (ISO 37301 pour la conformité, ISO 27001 pour la sécurité) plutôt que de construire une pile de gouvernance parallèle.

Rien de cela n'est théorique. La Commission des valeurs mobilières et des bourses des États-Unis a versé 255 millions de dollars américains à 47 lanceurs d'alerte individuels au cours de l'exercice 2024 et a versé 2,2 milliards de dollars américains au total depuis le début du programme en 2011. Les régimes européens ne versent pas de primes à la même échelle, mais le coût (amendes, perte de contrats, retraitement des comptes, clients qui partent) s'inscrit de la même manière au bilan, que le signal quitte jamais l'organisation ou non. L'endroit le moins coûteux pour traiter un signalement est dans votre propre processus de réception.

Ce que le marché du travail lit de tout cela est la partie qui est généralement minimisée. Les candidats étudient la culture de l'employeur avant de signer, et un canal de signalement actif qui est utilisé et auquel on répond est un signal de qualité bien avant d'être un signal de conformité. Une entreprise qui a réfléchi à la manière dont un employé inquiet dépose un signalement, à qui l'examine et à ce qui en découle est une entreprise qui a réfléchi à d'autres choses aussi. Investir dans un système pour les lanceurs d'alerte était autrefois classé sous l'assurance. C'est maintenant plus proche de ce à quoi ressemble une entreprise bien gérée vue de l'extérieur.