Comment mettre en place un système d'alerte ?

La Directive de l'UE sur les lanceurs d'alerte est en vigueur depuis des années, chaque État membre dispose d'une loi de transposition, et la question que se pose le responsable de la conformité n'est plus de savoir s'il faut mettre en place un canal de signalement, mais plutôt si celui qui existe réellement respecte les obligations. L'intégration des règles dans le fonctionnement quotidien d'une organisation se décompose en trois étapes : l'élaboration de la procédure, la mise en place du système et son maintien. Chacune de ces étapes est devenue très concrète.

Cartographier l'entité avant de rédiger la procédure

Avant de rédiger la moindre ligne de politique, l'entité doit être cartographiée. L'effectif détermine si l'obligation s'applique : tout employeur privé d'au moins 50 salariés doit exploiter un canal de signalement interne, la date limite pour le palier 50-249 salariés ayant expiré le 17 décembre 2023. La structure du groupe détermine où le canal se situe. Une société holding disposant de plusieurs entités juridiques ne peut pas simplement regrouper tout dans une seule boîte de réception partagée ; le rapport de conformité de juillet 2024 de la Commission européenne a signalé ce modèle exact comme l'une des lacunes de transposition les plus courantes.

Les procédures existantes déterminent ce qui doit changer. Un parcours de traitement des griefs RH, une ligne d'alerte éthique ou un portail de code de conduite déjà en place peut être intégré, mais seulement si la confidentialité et la tenue des registres correspondent au standard de la Directive. Le résultat de cette étape de cartographie est une liste des canaux nommés, des destinataires nommés et une déclaration de portée indiquant quelles catégories de violation le canal couvre.

Ce que le canal interne doit réellement faire

L'article 9 de la Directive établit deux exigences opérationnelles que la plupart des investigations ultérieures ne respectent pas : un accusé de réception dans les 7 jours et une rétroaction substantielle au signaleur dans les 3 mois couvrant les mesures prises ou envisagées. Manquer l'une ou l'autre de ces exigences est le moyen le plus facile de perdre la protection contre les litiges ultérieurs.

Au-delà des délais, le canal doit accepter les signalements à la fois par écrit et oralement, que ce soit par téléphone, messagerie vocale ou en personne sur demande. Il doit tenir un registre des signalements avec des limites de conservation et des contrôles d'accès. Il doit désigner une unité ou une personne impartiale sans conflit d'intérêts, et cette désignation doit être publiée en interne pour que les signaleurs sachent à qui ils parlent.

La confidentialité de l'identité du signaleur n'est pas négociable. Communiquer le nom à quiconque en dehors de l'équipe impartiale sans consentement constitue en soi une violation, et plusieurs transpositions nationales prévoient des amendes autonomes (souvent jusqu'à 50 000 € par violation) pour cette seule défaillance.

La mettre en place : les personnes, la formation et l'ISO 37002

La mise en œuvre est le moment où une procédure sur papier se transforme en quelque chose que les employés peuvent utiliser. Le comité ou la personne responsable de l'examen des signalements doit être sélectionné, formé et équipé ; un généraliste RH avec une ligne d'alerte secondaire survit rarement à un cas réel. La formation doit s'étendre au-delà du comité à chaque responsable hiérarchique qui pourrait être le premier à entendre quelque chose, car la protection de la Directive s'attache au moment où quelqu'un s'exprime, non au moment où il remplit un formulaire.

ISO 37002:2021 est le cadre le plus utile ici. C'est une norme de guidance plutôt qu'une norme de management certifiable, mais elle définit ce qu'un programme de travail ressemble (évaluation des risques, attribution des rôles, réception, investigation, suivi, surveillance) et elle est conçue pour s'intégrer à une pile de conformité alignée sur l'ISO qu'une organisation pourrait déjà exécuter.

Vivre avec le système : surveillance, représailles, RGPD

Le système est un objet vivant une fois qu'il est en place. La surveillance va au-delà de la mesure du volume : elle signifie vérifier si les exigences opérationnelles sont respectées chaque trimestre, si les lettres de rétroaction sont envoyées à temps, si le registre s'accorde avec les dossiers de cas et si le canal est utilisé. Une ligne d'alerte qui ne reçoit rien pendant dix-huit mois est un signal, généralement un mauvais.

Le régime de représailles réécrit la procédure RH. Une fois qu'une personne a signalé, toute mesure défavorable contre elle (licenciement, rétrogradation, mutation, promotion retenue, mesure disciplinaire) est présumée représaille, et le fardeau de la preuve bascule vers l'employeur pour démontrer que la mesure aurait eu lieu de toute façon. Cette présomption doit orienter chaque décision de personnel touchant quiconque ayant un signalement antérieur connu.

La protection des données surplombe tout. Les données des lanceurs d'alerte sont des données personnelles en vertu du RGPD, le chiffrement en transit et au repos, l'accès basé sur les rôles, les limites de conservation et un objectif documenté ne sont pas facultatifs. Ce sont les mêmes obligations article par article qui s'appliquent à tout système RH.

Le coût de l'erreur

La surface des sanctions est plus large que ce que la plupart des conseils d'administration réalisent. Les transpositions des États membres imposent des amendes pour représailles, pour violations de confidentialité et pour entrave aux signalements, fréquemment dans la bande de 30 000 à 50 000 € par violation, et s'accumulent sur plusieurs infractions en cas de défaillances systématiques. Du côté de la surveillance, la Commission a engagé des procédures en manquement contre la plupart des États membres qui ont manqué la date limite de transposition, avec des amendes combinées d'environ 40 millions d'euros imposées au début 2025 sur les cinq plus lents.

Le tableau pays par pays reste inégal. La Slovaquie a reculé face à la perspective de dissoudre son autorité de protection des lanceurs d'alerte sous la pression de l'UE, l'Allemagne teste les limites de la protection de la divulgation externe devant les tribunaux, et la Pologne, le dernier État membre à procéder à la transposition, a mis sa loi en vigueur le 25 septembre 2024.

Rien de tout cela n'est impossible à gérer en interne, mais c'est rarement bon marché, et la couche opérationnelle (respecter l'horloge de 7 jours, maintenir le registre à jour, défendre l'impartialité du comité) est où la plupart des programmes échouent. WeMoral couvre cette couche opérationnelle de bout en bout, de l'élaboration de la procédure à l'exploitation du canal en passant par la production de la trace d'audit qu'un inspecteur demandera.