Si votre organisation emploie 50 personnes ou plus, elle est tenue de mettre en application le nouvelle directive Européenne relative à la protection des lanceurs d'alerte. Dans ce blog, nous allons vous aider à déterminer les mesures que vous devrez prendre afin de vous conformer à la directive de protection des lanceurs d'alerte.

L'objectif de cette directive est de protéger, au sein de l'Union européenne, les lanceurs d'alerte qui signalent les fautes professionnelles dont ils ont eu connaissance sur leur lieu de travail et d'encourager plus de personnes à le faire. Les lanceurs d'alerte peuvent jouer un rôle déterminant en détectant et en révélant des faits de corruption et autres activités illégales, frauduleuses et répréhensibles.

Check-list : assurez-vous de la conformité de votre dispositif avec la directive Européenne de protection des lanceurs d'alerte

Avez-vous déjà un système de lancement d'alerte en place ?

OUI : c'est un bon début. Poursuivez avec la check-list des obligations légales ci-dessous.
NON : contactez WhistleB pour discuter de l'option de système de lancement d'alerte la plus adaptée à vos besoins.

Confidentialité de l'identité du lanceur d'alerte

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent comporter des canaux dédiés. Ces canaux sont conçus, mis en place et fonctionnent de manière sécurisée afin de préserver l'anonymat et/ou la confidentialité du lanceur d'alerte et de toute personne tierce mentionnée. L'accès aux informations contenues dans l'alerte par des membres du personnel non habilités est également prohibé.

  1. Votre dispositif d'alertes professionnelles permet-il de préserver l'anonymat du lanceur d'alerte ?
  2. Pouvez-vous ouvrir ce système à des intervenants tiers tout en protégeant également leur identité ?
  3. L'anonymat est-il protégé tout au long du processus, depuis la déclaration jusqu'à l'archivage ou la suppression des alertes ?
  4. L'accès à votre outils de gestion des alertes est-il correctement sécurisé avec, par exemple, une identification multifactorielle des membres du personnel ?
  5. Des tests de vulnérabilité et d'intrusion sont-ils menés par des parties tierces ?

Délais de réponse

Ce que prévoit la directive : les procédures de signalement et de suivi des alertes doivent comporter un système d'accusé de réception qui sera envoyé au lanceur d'alerte dans les sept jours suivant la réception.

  1. Votre dispositif d'alertes professionnelles permet-il d'envoyer un accusé de réception au lanceur d'alerte tout en préservant son anonymat ?
  2. L'équipe en charge du traitement des alertes peut-elle être immédiatement avisée qu'un signalement a été reçu ?
  3. Votre système peut-il s'adapter en cas d'augmentation du nombre de signalements ?
  4. Êtes-vous en mesure de créer des messages de réponse standardisée ?
  5. Disposez-vous d'une équipe ou d'une personne dédiée à la réception des alertes ?

Personnes à contacter

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent comporter la désignation d'une personne impartiale ou d'un service compétent pour assurer un suivi des signalements (...) qui maintiendra un dialogue ouvert avec le lanceur d'alerte et, le cas échéant, lui demandera des informations complémentaires ou l'informera en retour.

  1. Avez-mis en place des ressources compétentes pour effectuer un suivi des signalements ?
  2. Disposez-vous d'un système avec les ressources compétentes et pratiques nécessaires pour mener les investigations ?
  3. Votre système vous permet-il d'ajouter les ressources compétentes nécessaires au cas par cas ?
  4. Votre dispositif d'alerte permet-il l'accès à des experts externes en toute sécurité pour traiter les alertes ?

Suivi

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent inclure une description du suivi du signalement par la personne ou le service désignés, conforme aux lois nationales, indiquant un délai raisonnable pour répondre au lanceur d'alerte ainsi que pour donner suite à son signalement.

  1. Disposez-vous d'un canal autorisant le lanceur d'alerte à ajouter des photos, vidéos, documents ou autres fichiers et qui supprime les métadonnées ?
  2. Votre dispositif comprend-il un outil de gestion des alertes connecté à votre canal de signalement ?
  3. Votre dispositif d'alertes permet-il un dialogue avec un lanceur d'alerte anonyme ?
  4. Votre système permet-il la prise en charge de traduction confidentielle pour communiquer dans plusieurs langues ?

Communications et informations

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent inclure des informations claires et facilement accessibles sur les conditions de déclarations externes auprès des autorités compétentes et, le cas échéant, auprès des institutions, organismes, bureaux ou agences de l'Union.

  1. Fournissez-vous des informations claires et facilement accessibles aux employés sur la manière et l'endroit où signaler leurs préoccupations, y compris leurs options de signalement extérieur ?
  2. Ces informations sont-elles adaptées pour chacun des pays dans lesquels vous opérez ?
  3. Ces informations sont-elles disponibles lorsqu'un lanceur d'alerte accède à votre dispositif ?
  4. Votre code de conduite et tout autre document connexe (ex : politique, procédure, formation...) sont-ils à jour pour informer vos employés sur le fait que les représailles peuvent constituer une infraction à la directive Européenne relative à la protection des lanceurs d'alerte?

Conformité au RGPD

Ce que prévoit la directive : Le traitement des données personnelles effectué dans le cadre de cette directive doit être conforme au RGPD.

  1. Votre dispositif d'alertes est-il totalement conforme au RGPD dans tous les pays européens où vous exercez vos activités ?
  2. Votre système permet-il la suppression des données personnelles une fois l'alerte close ?
  3. Informez-vous correctement les utilisateurs potentiels sur les différences nationales dans le processus de signalement ?

Tenue de registres

Ce que prévoit la directive : Les autorités, les entités juridiques publiques et privées doivent conserver des registres de chaque signalement reçu, conformément aux règles de confidentialité prévues. Les alertes ne doivent pas être conservés au-delà d'une durée nécessaire et adaptée aux circonstances.

  1. Votre système conserve-t-il un registre des alertes et des actions des utilisateurs pour chaque alerte ?
  2. Votre système permet-il la suppression des données personnelles de façon conforme au RGPD ?

Notre équipe d'experts francophones est à votre disposition pour faciliter l'évaluation de vos besoins en termes de solution IT, d'accompagnement de projet et de formation. Leur spécialité est le conseil en matière de bonnes pratiques et fonctionnalités dans le champ de la gouvernance, du risque et de la conformité. N'hésitez pas à les contacter directement ou utiliser le formulaire de contact.

WhistleB est un fournisseur de plateforme d'alertes professionnelles et expert en matière d'éthique et de conformité. Nous aidons nos clients à mettre en place un environnement de travail transparent et sécurisant. Nos services sont quotidiennement utilisés dans plus de 150 pays.

Regardez le webinaire WhistleB disponible sur demande pour découvrir les implications de la directive européenne relative à la protection des lanceurs d'alerte.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.