Que signifie la confiance dans l'ISO 37002 ?

La confiance dans l'ISO 37002 est une perception que les parties intéressées ont du système. La clause 5.1.2 lie la fiabilité au fait que les parties intéressées perçoivent que la direction est engagée envers le système et respectera les procédures, ce qui nécessite un engagement visible des dirigeants et une culture de la parole et de l'écoute.

Qu'est-ce que l'impartialité selon l'ISO 37002 ?

L'impartialité traverse à la fois l'évaluation (clause 8.3) et l'enquête (clause 8.4). Les gestionnaires de dossiers doivent être qualifiés, justes envers l'unité commerciale concernée, justes envers le sujet du signalement et justes envers le lanceur d'alerte. Les décideurs doivent être exempts de conflits d'intérêts réels ou potentiels.

Quelle protection l'ISO 37002 exige-t-elle pour les lanceurs d'alerte ?

La protection couvre les préjudices et les représailles, la préservation de l'identité, les mesures de soutien (conseils, adaptation du lieu de travail, accès équitable à la promotion et à la formation) et un principe de restitution : lorsqu'un préjudice s'est produit, le lanceur d'alerte doit être rétabli dans la situation où il se serait trouvé s'il n'avait pas subi de préjudice.

Réglementation

ISO 37002 - Système de gestion des dénonciations

La plupart des actes répréhensibles au travail sont découverts grâce à des signalements internes. Ils ne sont pas trouvés par des audits ou des régulateurs. Les personnes proches du terrain voient des choses que les auditeurs ne voient pas. Elles s'expriment lorsqu'elles se sentent en sécurité pour le faire. La Directive européenne sur les lanceurs d'alerte (2019/1937) a fait de cela une obligation légale dans toute l'UE. Cependant, elle n'a pas dit aux entreprises comment gérer un bon système. ISO 37002:2021 a été créée pour combler cette lacune. C'est le guide qui aide les entreprises à respecter le socle légal.

Points clés

ISO 37002 est un guide mondial pour la gestion d'un système de lancement d'alerte digne de confiance.
La norme repose sur trois piliers : confiance, impartialité et protection.
Elle définit un processus clair en quatre étapes : Recevoir, Évaluer, Traiter et Conclure.
Bien qu'elle ne soit pas certifiable en soi, elle aide les entreprises à respecter le socle légal fixé par l'UE.
L'utilisation de ce guide aide à combler le manque de confiance et réduit le risque d'amendes légales.

Trois piliers étiquetés Confiance, Impartialité et Protection soutenant une poutre en pierre

Ce qu'est réellement ISO 37002, et ce qu'elle n'est pas

ISO 37002:2021 est un guide pour la gestion des lanceurs d'alerte. Elle a été publiée le 27 juillet 2021. Elle indique aux entreprises comment gérer un système de confiance. Vous ne pouvez pas obtenir de certificat pour elle. L'ISO 37301, qui y est liée, est celle pour laquelle vous pouvez être certifié. ISO 37002 fonctionne pour toute entreprise de toute taille. Elle est facultative, mais de nombreux régulateurs la demandent désormais.

Il y a une grande différence entre les guides et les règles. Un guide vous dit comment faire quelque chose. Il ne donne pas aux auditeurs une liste de contrôle à utiliser contre vous. ISO 37002 est le guide central que les entreprises utilisent pour bâtir un système de conformité solide. Même si elle n'est pas certifiable, elle constitue l'épine dorsale de celles qui le sont.

Cette norme utilise la même structure que l'ISO 9001 et d'autres règles courantes. Elle comporte dix parties dans un ordre défini. Cela inclut le domaine d'application, le leadership, la planification, et plus encore. Si vous avez déjà utilisé un système ISO, vous connaîtrez la structure. Sinon, vous trouverez facile de l'intégrer à ce que vous avez déjà.

ISO 37002 fonctionne pour tout secteur ou taille d'entreprise. Elle s'applique à tout type d'activité. Cela inclut les groupes publics, privés et à but non lucratif. Elle est facultative, mais certains partenaires peuvent exiger que vous la suiviez pour remporter des contrats.

Confiance, impartialité, protection : les trois principes porteurs

Trois mots sont essentiels à cette norme : confiance, impartialité et protection. Les règles stipulent que votre système doit utiliser ces trois idées. Vous devez également fournir un retour d'information tout au long du processus. Chaque partie de la norme renvoie à ces trois piliers.

La confiance est la façon dont les gens perçoivent votre entreprise. La norme stipule que la confiance dépend de la croyance du personnel en l'engagement des dirigeants envers les règles. Cela signifie que les dirigeants doivent montrer qu'ils s'en soucient. Ils doivent instaurer une culture de la parole ("speak-up"). Ils doivent également faciliter le signalement des problèmes par le personnel, sans crainte de perdre son emploi.

L'impartialité signifie être juste. Les règles stipulent que ceux qui traitent les cas doivent être qualifiés. Ils doivent être justes envers l'entreprise, le lanceur d'alerte et la personne signalée. Si vous ne pouvez pas être juste en interne, faites appel à un expert externe. Les décideurs ne doivent avoir aucun conflit d'intérêts. Leurs pouvoirs doivent être clairement consignés par écrit.

La protection couvre de nombreux domaines. Elle empêche les représailles et préserve l'anonymat. Elle offre également un soutien comme des conseils ou des changements de poste. Une règle clé stipule que si un lanceur d'alerte a subi un préjudice, il doit être "rétabli" dans son état antérieur. La protection ne s'arrête pas à la clôture du dossier. Le système doit surveiller tout problème ultérieur.

Le manuel opérationnel en quatre étapes (clause 8)

La clause 8 est le cœur de l'ISO 37002. Elle divise le travail en quatre étapes : Recevoir, Évaluer, Traiter et Conclure. Elle vous indique comment bien réaliser chaque étape. Si vous sautez une étape, le système échouera. Vous devez utiliser les quatre phases pour un cycle complet.

Diagramme circulaire montrant les quatre phases Recevoir, Évaluer, Traiter, Conclure

Recevoir concerne la manière dont vous obtenez les signalements. Cela peut se faire par téléphone, sur le web ou en personne. La norme stipule que ces canaux doivent être faciles à trouver et sécurisés. Ils doivent être distincts des cadres habituels. Ainsi, un signalement concernant un patron ne parvient pas à ce patron. Vous devez répondre rapidement. Les règles suggèrent une réponse automatique immédiate. Ensuite, envoyez une note personnelle dans les trois jours. La loi européenne vous accorde sept jours, mais l'ISO veut que vous soyez plus rapide.

Évaluer est le moment où vous décidez de la suite à donner. Vous triez chaque signalement selon sa gravité. Vous devez consigner votre choix par écrit. Vous vérifiez si le signalement correspond à vos règles. Vous voyez également si vous devez prévenir la police. Vous devez vérifier si la personne qui s'est exprimée est en danger.

Traiter est l'étape de l'enquête. Vous devez présumer l'innocence des personnes jusqu'à preuve du contraire. Vous devez protéger l'auteur du signalement, le sujet et tout témoin. Les enquêtes doivent être justes et confidentielles. La sécurisation des preuves est un élément clé de la protection de toutes les personnes impliquées.

Conclure est l'étape que la plupart des entreprises sautent. Elle consiste à découvrir ce qui s'est passé et à prendre des mesures. Vous devez parler au lanceur d'alerte. Vous vérifiez également s'il est toujours en sécurité. Ensuite, vous tirez les leçons du cas pour améliorer le système. Chaque clôture doit être consignée par écrit. Vous pouvez voir comment cela fonctionne dans une réelle procédure de lancement d'alerte.

Là où l'ISO 37002 comble les lacunes laissées par la Directive

La Directive européenne fixe les règles juridiques de base. Elle définit qui est protégé et à quelle vitesse vous devez répondre. Cependant, elle ne vous dit pas « comment » faire le travail. ISO 37002 comble cette lacune. Elle donne des détails sur les signalements anonymes, les compétences du personnel et ce qui est considéré comme un préjudice.

Sur les signalements anonymes, la norme est claire. Les entreprises peuvent les autoriser, mais elles doivent avertir le personnel des risques. Il est plus difficile d'enquêter ou de protéger quelqu'un si l'on ne connaît pas son identité. Les règles vous aident à mettre en place des moyens de communiquer avec eux tout en gardant leur identité secrète. La norme ne vous oblige pas à l'autoriser ; elle vous dit simplement comment bien le faire.

Sur les compétences du personnel, les règles énumèrent huit traits clés. Ceux-ci incluent la confiance, l'intégrité et le bon jugement. Ce ne sont pas seulement des mots vides. Ils sont utilisés pour choisir les bonnes personnes pour traiter les signalements sensibles. Seuls les meilleurs éléments du personnel devraient connaître l'identité d'un lanceur d'alerte.

Sur le préjudice, la norme utilise une définition large. Elle couvre bien plus que le simple licenciement. Cela inclut les rétrogradations, les mauvaises évaluations, ou même le fait d'ignorer quelqu'un. Cela empêche les entreprises de prétendre qu'un « environnement de travail toxique » n'est pas une mesure de rétorsion. Les règles sont très claires pour protéger le personnel.

Intégrer la norme 37002 aux normes 37001 et 37301

ISO 37002 fait partie d'une pile en trois étapes. Elle est liée à l'ISO 37001 (corruption) et à l'ISO 37301 (conformité). Toutes trois utilisent la même structure. Cela signifie qu'une entreprise peut toutes les utiliser sans perdre de temps. Les nouvelles règles de l'ISO 37001 renvoient désormais à la norme 37002 pour le lancement d'alerte.

Dimension	ISO 37002	ISO 37001	ISO 37301
Domaine d'application	Gestion du lancement d'alerte	Gestion de l'anti-corruption	Gestion de la conformité
Certifiable	Non (guide)	Oui	Oui
Objectif	Signalements, enquêtes, protection de l'auteur	Prévention et réponse à la corruption	Conformité globale de l'organisation
Publiée	2021	2025 (révisée)	2021

La norme ISO 37001 de 2025 stipule qu'il faut un logiciel de signalement performant pour mettre fin à la corruption. ISO 37002 est également liée aux règles sur les risques et la sécurité des données. Ce n'est pas seulement une « tâche RH ». C'est un élément clé de la gestion sécurisée de votre entreprise.

Si vous partez de zéro, commencez par l'ISO 37002. Utilisez-la pour construire le système de base. Ensuite, ajoutez l'ISO 37301 pour obtenir la certification. Ne visez pas seulement un certificat en premier. Si vous le faites, vous aurez beaucoup de paperasse mais un système qui ne fonctionne pas.

Ce que révèlent les repères et les mesures d'exécution de 2025

Silhouette d'un palais de justice néoclassique surplombant une carte de l'Europe avec des frontières nationales en pointillés

De nombreux systèmes de l'UE ne fonctionnent pas encore bien. Les rapports montrent que les taux de représailles dans l'UE sont deux fois plus élevés qu'en Amérique du Nord. Il faut également 69 jours pour clore un dossier dans l'UE, contre seulement 19 aux États-Unis. En 2025, la justice européenne a condamné cinq États à 38 millions d'euros d'amende pour leur lenteur à suivre les règles.

Les entreprises de l'UE reçoivent moins de signalements que celles des États-Unis. Une plus grande partie de ces rapports sont anonymes. Le personnel de l'UE attend également plus longtemps avant de s'exprimer. Cela montre qu'il y a encore un manque de confiance dans le système.

Ces chiffres montrent que la confiance est le principal problème. ISO 37002 aide à résoudre ce problème. Elle propose des règles pour que les dirigeants communiquent mieux. Les lois de l'UE sont fortes, mais le travail concret est trop lent. Les indicateurs de la norme aident les conseils d'administration à voir où se situent les lacunes. Ils peuvent ensuite les corriger pour améliorer le système.

Les règles deviennent plus strictes. En mars 2025, la justice européenne a condamné cinq États pour leur retard. L'Allemagne a été condamnée à 34 millions d'euros d'amende. D'autres États comme l'Estonie et la Hongrie ont également été sanctionnés. Tous les États ont désormais des lois en place, mais beaucoup ne sont pas encore totalement conformes. Vous pouvez suivre l'évolution de la situation dans notre liste des pays européens.

ISO 37002 est facultative, mais elle est très utile. Elle ne remplace pas la loi. Au lieu de cela, elle vous aide à transformer les règles juridiques en un système qui fonctionne. Elle garantit que vous recevez des signalements utiles et que les enquêtes sont équitables. Elle bâtit un système en lequel les gens ont réellement confiance. Le choix de la suivre vous appartient, mais les données montrent que c'est le meilleur moyen de réussir.

Mis à jour le 2026-05-19

Damian Sawicki

Conseiller juridique en droit des affaires et propriété intellectuelle. Écrit sur la législation, la Directive de l'UE et les procédures de signalement.