Des 8 obligations de l’art. 17 de la loi Sapin 2, celle concernant le lancement d’alerte occupe une place particulière quant à sa mise en œuvre, parce qu’elle n’est pas dédiée à la seule prévention de la corruption et des atteintes à la probité, mais couvre un spectre de sujets bien plus large.

En outre, ces dispositions ont été enrichies par les termes de la loi dite Waserman, visant à transposer la directive européenne 2019/1937 sur la protection des lanceurs d’alerte.

Sans entrer dans le détail des dispositions et des obligations de ces différents textes, il est apparu intéressant, sur la foi de l’expérience de Directions & conformité en la matière, de faire un rapide tour d’horizon des pratiques mises en œuvre dans les entreprises et de décrire ce qui, à l’aune des textes et de leurs obligations, constitue de bonnes ou de moins vertueuses pratiques.

Ce tour d’horizon, pour aussi peu exhaustif et scientifiquement représentatif qu’il fût, constitue une photo de quelques points sur lesquels les entreprises assujetties devraient particulièrement prêter attention.

                                                                                   **-**

• Les entreprises soumises au dispositif

Le premier constat qui peut être mis en avant, c’est que si les entreprises soumises à l’art. 17 de la loi Sapin 2 sont (le plus souvent) conscientes de leur assujettissement au texte, celles n’atteignant que les seuils des articles 6 à 16 de la même loi, soit 50 salariés a minima, le sont – en moyenne – beaucoup moins.

En effet, particularisme souvent peu connu par les entreprises, les dispositions du III de l’art. 8 de la loi disposent que :

« Des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels sont établies par les personnes morales de droit public ou de droit privé d’au moins cinquante salariés, les administrations de l’État, les communes de plus de 10 000 habitants ainsi que les établissements publics ».

Et nombre de groupes n’atteignant pas les seuils de l’art. 17 – 500 salariés et 100 millions de CA en vision consolidée – ignorent souvent l’unique seuil, plus facilement atteignable, de ce fameux article 8.

Le premier constat est donc que nombre d’entreprises qui devraient déployer en leur sein un dispositif de lancement d’alerte et qui ne l’ont pas encore fait, sont certainement nombreuses.

 

• La lisibilité de la procédure de lancement d’alerte

Mal assez courant dans les entreprises assujetties, les procédures de lancement d’alerte sont parfois difficilement compréhensibles parce que trop complexes, parce que fruits de la sédimentation de plusieurs procédures venant parfois de différentes entités issues d’opérations de croissance externe, parce que résultant de systèmes de lancement d’alerte décommissionnés, ou encore parce que traduisant des organisations RH , juridiques, ou de conformité en devenir, ou en mutation.

Bref, des fonctions en charge du dispositif non stabilisées, et qui n’ont parfois existé que dans l’esprit de leurs rédacteurs, sans même qu’il soit fait état d’éventuelles luttes de pouvoir internes.
En effet, le sujet des alertes est hautement sensible, et donc immanquablement attractif.

Les candidats à la prise de connaissance du contenu des alertes sont légion, et les élus nécessairement moins nombreux. Ce simple état de fait ne facilite pas la conception et la formalisation d’un processus de gestion des alertes, c’est un fait.

Il y a donc mille raisons pour que les procédures de lancement d’alerte ne soient pas faciles à appréhender, et par ailleurs mille autres pour que ces procédures ne soient pas diffusées de façon universelle, quel que soit l’endroit où l’on se situe dans l’entreprise.

C’est pour ces différentes raisons qu’il convient probablement de laisser le système de lancement d’alerte se mettre en place, d’opérer les ajustements nécessaires à son fonctionnement – opérationnel et stabilisé – et à sa gouvernance, puis d’écrire ce qui est la réalité de son fonctionnement, avant de le diffuser de la façon la plus large.

De cette façon, sa lisibilité et sa conformité à sa réalité opérationnelle et fonctionnelle permettront d’acquérir plus facilement la confiance des salariés, ainsi que des tiers à l’entreprise, eux aussi utilisateurs désignés comme contributeurs potentiels.

 

• La confusion entre délais d’information du lanceur d’alerte et délai de résolution de l’alerte

Ce point, moins structurant que les précédents, mais très lié à l’existence même de la procédure de lancement d’alerte, mérite toutefois d’être évoqué.

Il s’agit de la distinction entre deux délais distincts qui ne doivent pas être confondus.

La loi exige, dans son I de l’art. 8, que la recevabilité du signalement soit étudiée dans un « délai raisonnable » – ce qui ne signifie pas que le fond de l’alerte, son instruction, soit réalisé dans ce même délai « raisonnable », mais que les délais dans lesquels on informe le lanceur d’alerte, le soient, « raisonnables », que son alerte soit recevable ou non.

Sa recevabilité devant s’évaluer le plus souvent à l’aune de 2 critères : sa vraisemblance ; et son caractère suffisamment sensible pour donner lieu à une instruction, laquelle pourra bien évidemment s’étendre sur des délais plus longs : ceux nécessaires à la compréhension précise de l’affaire.

Pour faire simple – et toujours caricatural –, si l’alerte est relative à une panne de la machine à café, vraisemblable mais probablement pas d’une importance telle qu’il faille diligenter une instruction, il faudra un délai raisonnable pour faire savoir au lanceur d’alerte qu’il ne sera pas donné suite à l’alerte en question. Décision souveraine de l’entreprise.

Si l’alerte est relative à des faits graves, pénalement qualifiés par exemple, et vraisemblables a priori, il conviendra dans les mêmes délais raisonnables d’informer le lanceur d’alerte que son signalement a bien été pris en considération et qu’une instruction va être diligentée. Instruction qui s’inscrira dans des délais aussi longs que l’exigera le traitement de ladite alerte.

Une certaine célérité – raisonnable – est donc exigée pour informer le lanceur d’alerte du traitement appliqué à son signalement, quel qu’il soit. Célérité nullement applicable à l’instruction qui ne doit pas traîner, évidemment, mais qui doit être exercée sereinement, dans une temps potentiellement et certainement plus long que le délai d’information raisonnable du lanceur d’alerte quant aux suites données à son alerte.

 

• La gestion technique des alertes

Une autre question, qui revient de façon permanente, a trait à la manière d’administrer techniquement les alertes.

Quelques mois après la promulgation de la loi, nombre d’entreprises, ayant saisi le caractère particulièrement sensible des alertes, souhaitaient que l’information – toute l’information relative aux alertes – soit traitée exclusivement sur les infrastructures techniques de l’entreprise : site intranet, boîtes mails internes…

Si l’intention était louable et compréhensible, savoir garder en interne ce qui ne regarde personne d’autre, techniquement ce choix apparaissait plus contestable.

En effet, à partir du moment où l’information était stockée sur les infrastructures de l’entreprise, administrateurs réseau, administrateurs d’Active Directory, collaborateurs de la DSI ou consultants informatiques externes aux profils à droits étendus, pouvaient accéder à une masse d’informations conséquente, intégrant potentiellement celles relatives aux alertes lancées.

Ce faisant, outre la perte potentielle de confidentialité des alertes au détriment du lanceur d’alerte, l’entreprise pourrait se voir reprocher de ne pas faire le nécessaire pour assurer la confidentialité des échanges imposée par l’art. 9 de la loi, en laissant autant de possibilités d’accès à la donnée.

Depuis, la tendance s’est inversée et une grande majorité d’entreprises recourent à des solutions externalisées.

Ces prestataires sont nombreux, assurent un degré de protection des données très satisfaisant. Ils présentent en outre l’avantage d’être responsables de la confidentialité des données qu’ils reçoivent, en lieu et place de l’entreprise qui doit mettre en place le dispositif et proposent, de façon générale, des tarifs très raisonnables.

Leur principe de fonctionnement est simple : de façon très schématique, ces prestataires proposent une plateforme d’échanges, sur laquelle le lanceur d’alerte peut déposer son signalement et échanger avec le représentant désigné par la société, dans des conditions de confidentialité garanties.

Une cinétique de circulation de l’information est définie par l’entreprise devant mettre en place le dispositif, et seules les personnes désignées par l’entreprise, et le cas échéant – voir point suivant – acceptées par le lanceur d’alerte, sont informées du signalement.

A l’entreprise demandeuse de définir la procédure et les chemins à suivre, aux prestataires de les mettre en musique sous le sceau d’un secret garanti.

 

• La (mé)connaissance par le lanceur d’alerte des modalités de circulation de l’information liée à son alerte

Un des défauts fréquemment rencontrés dans les procédures de lancement d’alerte est caractérisé par le manque d’information du lanceur d’alerte au moment où il réalise son signalement. Sur le bureau de qui va-t-il atterrir ? Certaines procédures font état d’un comité, d’une fonction, parfois d’un nom.

Or, que se passe-t-il si le lanceur d’alerte a un doute sur l’identité du récipiendaire de son alerte, ou si son alerte met en cause l’un des récipiendaires indiqués du dispositif ? L’hypothèse la plus vraisemblable serait qu’il ne se serve pas du dispositif mis à sa disposition et qu’il « dépayse » son signalement en dehors des voies offertes par l’entreprise, auprès « de l’autorité judiciaire, de l’autorité administrative ou des ordres professionnels », ou que l’alerte soit rendue publique comme le précisent les I et II de l’art. 8. Issues auxquelles peu d’entreprises souhaitent être confrontées.

La solution à adopter est relativement simple : d’une part, indiquer avec précision à qui l’alerte déposée sera soumise et, d’autre part, proposer le cas échéant une alternative de communication auprès d’une ou de plusieurs autres personnes de l’entreprise qui ne seraient potentiellement pas en conflit avec le contenu de l’alerte.

De cette manière, le lanceur d’alerte aura une vision précise de la circulation des informations qu’il aura communiquées dans le cadre de son alerte et pourra être rassuré, disposant d’une présomption – certes simple – d’objectivité du traitement qui sera appliqué à son alerte.

 

Tels sont sont quelques sujets sur lesquels les positions des entreprises soumises à la mise en place du dispositif de lancement d’alerte ne sont pas encore totalement stabilisées, et méritent sans doute un éclairage particulier.

D’autres points liés aux dispositifs de lancement d’alerte feront l’objet de développements particuliers sur nos lignes dans les semaines dans les semaines à venir !