Sans aucun doute, deux des concepts les plus recherchés dans le monde juridique/des affaires dans les dernières semaines de 2021 et les premières semaines de 2022 sont et seront le « canal de dénonciation » et le « dénonciation ». Une nouvelle directive qui aurait dû être transposée le 17 décembre et qui est en attente pour le premier trimestre 2022, en est la cause.
Dans cet article nous allons essayer de faire un résumé pour passer de zéro à cent sur ce sujet en 5 minutes. Nous le ferons sous forme de questions et réponses.
Qu’est-ce que la directive européenne sur les lanceurs d’alerte ou UE 2019/1937 ?
La directive européenne 2019/1937 ou le lanceur d’alerte est une directive européenne qui affecte les organisations qui opèrent au sein de l’UE et son objectif principal est de protéger les lanceurs d’alerte qui signalent toute irrégularité qui se produit dans une organisation. Dans un premier temps, les irrégularités concernées sont celles qui ont un impact sur les caisses du syndicat, comme la corruption, l’environnement, le blanchiment d’argent, la santé publique, la sécurité, entre autres.
La directive devait être transposée par les différents pays avant le 17/12/21. Peu de pays, le Danemark, la Suède ou le Portugal l’ont fait, les autres, dont l’Espagne, l’ont en attente et il est attendu pour le premier trimestre 2022. La transposition peut apporter quelques modifications au champ d’application initial de la directive, la rendant plus restrictive, mais pour le moment, on ne sait pas comment ce sera en Espagne.
Le point clé de la directive est la protection du plaignant, mais ils ont une exigence légale qui aura un impact sur de nombreuses organisations. Toutes les entreprises de 50 travailleurs ou plus doivent obligatoirement disposer d’un canal de réclamation interne. De même, les entités publiques de plus de 10 000 citoyens doivent également disposer d’un canal.
Bien que lorsque l’on parle de la directive, l’accent soit souvent mis sur le canal de dénonciation, ce n’est pas la chose la plus importante, mais il peut être obligatoire de la mettre en œuvre en fonction de la taille de l’organisation.
Qu’est-ce qu’un canal de plaintes?
Il s’agit d’un système d’information qui permet d’échanger des informations entre une personne/un lanceur d’alerte et l’organisation de manière confidentielle voire anonyme. Le nom du canal de plainte n’est pas le meilleur, en anglais on parle de « Whitleblowing » qui pourrait se traduire par dénonciateur. Ils sont synonymes de canal de plainte et peut-être avec une signification plus neutre : canal éthique, canal d’alerte, canal de conformité ou canal de dénonciation.
En Espagne, on a tenté de ne pas parler de canal de plainte, mais avec la traduction de la directive faisant référence à un canal de plainte, il sera difficile de changer le concept en quelque chose de moins « négatif ».
À quoi sert un canal de signalement?
Grâce aux canaux de signalement, toute personne qui identifie une irrégularité dispose d’un mécanisme simple pour la signaler et faciliter son identification et sa correction si nécessaire. Avec les canaux de signalement, la « police » sont les employés, les clients et/ou les fournisseurs eux-mêmes. Avec la politique, le lanceur d’alerte est protégé contre d’éventuelles représailles.
Il existe différentes réglementations qui imposent la mise en place d’un canal…
- blanchiment d’argent
- Directive européenne 2019/1937
- Conformité pénale
- ISO37301
- plans d’égalité
Qui doit gérer un canal de signalement?
La chaîne doit être gérée par une personne indépendante qui peut travailler sans pression pour pouvoir mener à bien les efforts de la chaîne avec diligence. Il n’est pas obligatoire que ce soit quelqu’un d’extérieur à l’organisation, mais dans les organisations de moins de 250 employés, la directive parle explicitement de pouvoir avoir un canal partagé par plusieurs organisations.
Il est important que le channel manager soit clair sur les protocoles de gestion et le processus qui doit être effectué. Pour certains canaux, tels que les canaux de harcèlement, il peut être nécessaire que le responsable du canal ait une qualification spécifique.
Les canaux de signalement sont-ils obligatoires?
Les canaux de signalement sont obligatoires pour se conformer à certaines réglementations. Ainsi, bien que la conformité pénale ne soit pas obligatoire, si elle est mise en place, il est obligatoire de mettre en place un canal de signalement.
Avec la nouvelle directive et en l’absence du détail de la transposition en Espagne, elle sera obligatoire courant 2022 pour les entreprises de 250 salariés ou plus et l’administration publique. Ce sera aussi pour les entreprises de plus de 50 salariés, mais tout indique que le mandat sera jusqu’en 2023.
Faites également attention à certains secteurs concernés par la loi de prévention du blanchiment d’argent, qui doivent avoir un canal quel que soit le nombre d’employés.
Qu’est-ce que le dénonciateur ?
Le Whistleblower est le terme anglo-saxon utilisé pour désigner le Whistleblower ou Plaignant, la personne qui initie la plainte.
Quelle est la différence entre un canal de signalement interne et externe?
Selon à qui vous demandez, ils vous expliqueront une chose ou une autre. Nous, suivant la description de la directive européenne, comprenons que le canal interne est celui qui doit être mis en œuvre par l’organisation (entreprise ou entité publique) pour résoudre les réclamations en premier lieu, comme indiqué dans la directive, au sein de l’organisation elle-même. Le canal interne peut quant à lui être « externalisé » tant pour le logiciel que pour la gestion. En fait, il est recommandé qu’au moins le logiciel soit externalisé, pour éviter d’éventuelles manipulations par le personnel de l’organisation elle-même.
Le canal externe est celui qui doit être mis en œuvre par un organisme public pour donner une continuité aux plaintes qui ont été communiquées par un canal interne, mais qui n’ont pas été résolues de manière adéquate.
Quels éléments sont essentiels pour mettre en place correctement un canal de dénonciation?
Les trois éléments clés pour une mise en œuvre correcte d’un canal de réclamations sont:
- Définir le protocole de canal et la protection des données. Il est très important de définir la portée spécifique du canal, car le même outil peut être utilisé à des fins différentes et les utilisateurs doivent être préalablement informés de ce qui peut et ne peut pas être signalé par celui-ci.
- Mettre en place un outil avec des garanties de sécurité. Il est recommandé, bien que non essentiel, qu’il soit certifié ISO27001 et dispose d’un mécanisme pour pouvoir s’intégrer aux systèmes d’authentification des utilisateurs de l’entreprise, azureAD, Google ou similaire.
- Formation et diffusion de l’existence de la chaîne pour promouvoir son utilisation.
Que dit la protection des données sur les canaux de plainte?
Conformément à la loi organique 3/2018, du 5 décembre, sur la protection des données personnelles et la garantie des droits numériques, art. 24 de la règle spécifique :
1. La création et la maintenance de systèmes d’information par lesquels une entité de droit privé peut être informée, même de manière anonyme, de la commission en son sein ou des actions de tiers qui contractent avec elle, seront licites des actes ou des comportements qui pourraient être contraire aux réglementations générales ou sectorielles éventuellement applicables. Les employés et les tiers doivent être informés de l’existence de ces systèmes d’information.
2. L’accès aux données contenues dans ces systèmes sera limité exclusivement à ceux qui, inscrits ou non au sein de l’entité, exercent des fonctions de contrôle interne et de conformité, ou aux responsables du traitement qui peuvent être désignés à cet effet. Cependant, son accès par d’autres personnes, voire sa communication à des tiers, sera licite lorsqu’il est nécessaire à l’adoption de mesures disciplinaires ou au traitement de procédures judiciaires qui, le cas échéant, se poursuivent.
Sans préjudice de la notification à l’autorité compétente des actes constitutifs d’une infraction pénale ou administrative, uniquement lorsque des mesures disciplinaires pourraient être prises à l’encontre d’un travailleur, ledit accès sera autorisé au personnel ayant des fonctions de gestion et de contrôle des ressources humaines.
3. Les mesures nécessaires doivent être adoptées pour préserver l’identité et garantir la confidentialité des données correspondant aux personnes concernées par les informations fournies, notamment celle de la personne qui aurait porté les faits à la connaissance de l’entité, en cas qu’il avait été identifié.
4. Les données de l’auteur de la communication et des employés et tiers ne doivent être conservées dans le système de réclamations que pendant le temps nécessaire pour décider de l’opportunité d’ouvrir une enquête sur les faits signalés.
Dans tous les cas, trois mois après l’introduction des données, celles-ci doivent être supprimées du système de plaintes, à moins que le but de la conservation ne soit de laisser la preuve du fonctionnement du modèle de prévention de la commission d’infractions par la justice entité. Les réclamations non traitées ne pourront être enregistrées que de manière anonyme, sans que l’obligation de blocage prévue à l’article 32 de la présente loi organique ne soit applicable.
Après la période mentionnée au paragraphe précédent, les données peuvent continuer à être traitées, par l’organisme correspondant, conformément à la section 2 du présent article, l’enquête sur les faits signalés, n’étant pas conservée dans le système interne d’information sur les réclamations lui-même.
5. Les principes des sections précédentes seront applicables aux systèmes internes de plainte qui pourraient être créés dans les Administrations Publiques.
Vais-je recevoir de nombreuses plaintes via le canal?
N’ayez pas peur de mettre en place un canal de réclamations. Le volume de plaintes est lié à la taille de l’entreprise et à sa culture. Un canal se veut un outil de prévention et d’identification et de correction des mauvaises pratiques. La culture ne favorise pas le signalement, donc tant que la culture ne change pas au niveau général et organisationnel, il n’est pas habituel de recevoir trop de plaintes.