Comment mettre en place un logiciel de signalement ?
La directive européenne sur les lanceurs d'alerte est désormais en vigueur dans toute l'Europe. Les entreprises ne se demandent plus si elles ont besoin d'un canal de signalement. Au lieu de cela, elles vérifient si leur système actuel est conforme aux règles. La mise en place de ces canaux comprend trois étapes claires : la planification, la construction et l'exploitation. Ces étapes sont désormais une réalité quotidienne pour les entreprises.
Points clés à retenir
- Tout employeur privé de 50 salariés ou plus doit disposer d'un canal de signalement interne.
- Les sociétés holdings ne peuvent pas partager une seule boîte de réception entre différentes entités juridiques.
- Vous devez accuser réception des signalements dans un délai de 7 jours et fournir un retour d'information sous 3 mois.
- Les lanceurs d'alerte bénéficient d'une protection juridique dès l'instant où ils s'expriment.
- Les amendes pour violation de la confidentialité ou représailles peuvent atteindre 50 000 € par cas.
Cartographier l'entité avant de rédiger la procédure
Tout d'abord, vous devez cartographier votre entreprise. C'est l'effectif qui importe le plus. Tout employeur privé de 50 salariés ou plus doit exploiter un canal depuis fin 2023. La structure du groupe joue également un rôle. Les sociétés holdings ne peuvent pas simplement utiliser une boîte de réception partagée. Un rapport de juillet 2024 de la Commission a conclu que cela enfreint souvent les règles.
Une société holding comportant de nombreuses unités doit séparer les données. La Commission européenne affirme que les boîtes de réception partagées sont une erreur courante. Chaque entité juridique a besoin de ses propres limites pour protéger l'auteur du signalement.
Vérifiez les systèmes dont vous disposez déjà. Vous utilisez peut-être une filière RH ou un portail de code de conduite. Vous pouvez les conserver, mais seulement s'ils répondent aux exigences élevées de la directive. Vous devez disposer d'une liste claire de canaux et de destinataires impartiaux. Vous avez également besoin d'un champ d'application précisant les lois couvertes par le canal.
Ce que le canal interne doit réellement faire
L'article 9 de la directive énonce deux règles principales. Vous devez répondre dans les 7 jours et donner une réponse complète dans un délai de 3 mois. Le canal doit accepter les signalements par écrit et par oral. Cela inclut les appels téléphoniques ou les rencontres. Si vous manquez ces étapes, votre programme échouera.
| Aspect | Canal interne | Canal externe (régulateur) |
|---|---|---|
| Exploité par | Service impartial de l'employeur ou personne désignée | Autorité nationale désignée par la loi de transposition |
| Accusé de réception | Sous 7 jours | Sous 7 jours |
| Retour d'information substantiel | Sous 3 mois | Sous 3 mois |
| Choix de l'auteur du signalement | Première voie, mais non obligatoire | Peut être utilisé directement sans perte de protection |
Votre canal doit être facile à utiliser. Il doit accepter les signalements par téléphone, messagerie vocale ou en personne. Vous devez tenir un registre sécurisé de chaque signalement. Vous devez également nommer une équipe neutre pour les traiter. Informez votre personnel de l'identité de ces personnes afin qu'ils sachent à qui faire confiance.
Préserver la confidentialité du nom de l'auteur du signalement est vital. Si vous partagez son nom sans son consentement, vous enfreignez la loi. Certains pays infligent désormais des amendes allant jusqu'à 50 000 € pour cette seule erreur.
Le mettre en place : personnel, formation et ISO 37002
Vous devez maintenant transformer votre plan théorique en un outil réel. Vous devez choisir et former les personnes qui vérifieront les signalements. Un membre du personnel RH faisant cela en plus de ses tâches habituelles ne suffit pas. Vous devez également former chaque manager. La protection commence dès qu'un employé s'exprime, même s'il ne remplit pas de formulaire.
ISO 37002:2021 est un excellent guide à cet égard. Ce n'est pas un diplôme que l'on obtient, mais il montre à quoi ressemble un bon programme. Il couvre les risques, la réception et la manière de mener les enquêtes. Il s'intègre bien aux autres règles ISO que votre entreprise pourrait déjà suivre.
Vivre avec le système : surveillance, représailles, RGPD
Une fois le système opérationnel, trois éléments assurent sa pérennité. La surveillance consiste à vérifier vos délais de réponse et vos fichiers journaux chaque trimestre. Les règles relatives aux représailles signifient que vous devez prouver que toute mesure prise à l'encontre d'un auteur de signalement était équitable. Les règles du RGPD s'appliquent à chaque donnée que vous collectez.
La surveillance ne se limite pas à compter les signalements. Si une ligne d'alerte reste muette pendant dix-huit mois, c'est que quelque chose ne va pas. Cela signifie généralement que les gens n'ont pas confiance dans le système ou ignorent son existence.
Les règles sur les représailles changent le fonctionnement des RH. Si une personne signale un manquement, vous ne pouvez pas simplement la licencier ou la déplacer. Toute mesure négative est présumée être une vengeance. La charge de la preuve vous incombe de démontrer que la mesure était équitable. Cela doit orienter chaque choix RH concernant un auteur de signalement.
Les règles relatives aux données ne sont pas facultatives. Chaque signalement contient des données personnelles au titre du RGPD. Vous devez utiliser le chiffrement et limiter les personnes pouvant consulter les fichiers. Vous avez également besoin d'une raison claire pour conserver les données. Ce sont les mêmes obligations qui s'appliquent à tout outil RH.
Le coût de l'erreur
Le coût de l'échec est élevé. De nombreux pays infligent des amendes aux entreprises pour représailles ou violation du secret. Ces amendes varient souvent de 30 000 € à 50 000 € par cas. Cinq pays qui ont tardé à agir ont même été condamnés à une amende totale de 40 millions d'euros en 2025.
Les amendes ne sont qu'un début. La Commission surveille également la manière dont les entreprises gèrent le secret et les représailles. Elle a identifié ces deux domaines pour des contrôles plus approfondis à l'avenir.
La carte de l'Europe reste différente selon les pays. La Slovaquie a conservé son bureau des lanceurs d'alerte après des pressions de l'UE. L'Allemagne teste toujours ses règles devant les tribunaux. La Pologne a mis sa loi en vigueur le 25 septembre 2024.
Vous pouvez gérer ces systèmes vous-même, mais ce n'est ni facile ni bon marché. Respecter le délai de 7 jours et tenir le registre à jour est le point sur lequel la plupart des entreprises échouent. WeMoral est un logiciel de signalement géré qui prend en charge ce travail pour vous. Nous vous aidons pour les plans, le canal et les journaux d'audit dont vous avez besoin pour les inspecteurs.
Spécialiste de la conformité, axé sur le déploiement des politiques et la circulation de l'information. Écrit sur la réglementation de l'UE et le signalement.