Défis pratiques pour l’application de la directive européenne sur le lancement d’alertes

3ème partie – Exigences pour les chefs du contentieux et les directeurs de la conformité

Dans la première et la deuxième partie de cette série de trois articles de blog, nous avons vu ce que la nouvelle Directive européenne sur le lancement d’alertes (UE 2019/1937) (« la Directive » ou « DUELA ») a changé et ce qui en revanche est resté identique. Nous avons également parlé des comportements auxquels il faut s’attendre de la part des lanceurs d’alerte au vu de la Directive.

Nous allons à présent étudier un peu plus en détail les mesures que devront prendre les chefs du contentieux et les directeurs de la conformité pour appliquer la Directive. Nous exposerons également les grandes lignes des prochaines étapes concrètes qui sont requises pour appliquer la Directive.

Créativité des CC et des RC

Les services juridiques et les services en charge de la conformité apprécieront la clarté de certaines parties de la Directive et y verront également plusieurs avantages.

La Directive permet de procéder d’abord à un signalement interne. Il ne s’agit pas d’une exigence, mais les États membres doivent « encourager » cela (Article 7(2)). Il s’agit d’une reconnaissance du fait que les plaintes sont souvent mieux gérées par les organisations elles-mêmes, et aussi près des problèmes que possible. Les autorités, je l’espère, auront le courage de transmettre les dossiers qui ne sont pas d’abord passés par un processus interne adéquat, en partant du principe qu’un problème aurait pu y être résolu. En bref, nous avons l’opportunité de gérer les problèmes correctement avant que les autorités ne soient impliquées et avant qu’il n’y ait un examen public. Pour le moment, nous ne savons pas précisément comment cela se développera dans la mesure où les États membres doivent encore détailler la façon dont ils appliqueront la Directive.

Les organisations doivent « accuser » réception d’un signalement sous sept jours (Article 9(1)(b)), puis « fournir un retour d’information » à l’auteur du signalement dans un délai raisonnable n’excédant pas trois mois (Article 9(1)(f)). Ces délais sont suffisants la majeure partie du temps, mais ils sont extrêmement courts pour les cas complexes, qui peuvent nécessiter bien plus d’une année de travail minutieux pour être résolus. Même si « retour d’information » signifie simplement « rester en contact » avec le lanceur d’alerte, ces communications doivent être gérées avec la plus grande prudence.

Tous les efforts déployés pour l’élaboration de la Directive sont probablement destinés aux cas complexes, pas aux signalements ordinaires qui doivent simplement être traités. Il est ici nécessaire de reconnaître la flexibilité avec laquelle peut être interprété le terme « retour d’informations » et son inclusion des « mesures envisagées » (Article 5(13)).

Les chefs du contentieux et les responsables de la conformité devront continuer de faire preuve de créativité pour révéler naturellement les problèmes dans le cadre des activités de l’organisation. Éventuellement par le biais d’audits, d’examens ou d’évaluations des risques réguliers, il existera d’autres moyens de tirer des conclusions et de les gérer sans révéler l’identité d’un auteur de signalement (ou même le fait qu’un signalement a été fait).

Les CC et les RC doivent également faire preuve de créativité lorsqu’ils s’assurent que la responsabilité reste au niveau organisationnel le mieux adapté pour gérer les signalements. Une meilleure utilisation par les responsables des outils de gestion des dossiers ou des ressources centrales pour la conformité représente un véritable défi administratif, mais pourrait être nécessaire si nous souhaitons véritablement nous saisir de tous les cas qui surviennent au sein de l’organisation et les traiter correctement.

Culturellement, nous avons besoin que les employés travaillent avec leurs responsables pour gérer les problèmes et non pas pour les rendre plus graves que nécessaire. Bien entendu, il existe une soupape de décompression qui ne peut pas être gérée localement, soit par des responsables médiocres soit parce qu’elle est trop importante pour être gérée correctement. La formation des responsables à la gestion des problèmes doit rester une priorité des équipes en charge de la conformité.

Et ensuite ?

Les organisations devront évaluer la Directive en fonction de leurs propres risques, situation et besoins. Voici quelques exemples de ce que nous considérons comme prioritaire :

  • Les bases
    • Assurez-vous que le bon système de signalement des fautes est en place. N’ayez pas peur de changer de système, cela peut être une expérience libératrice. Faites le nécessaire pour satisfaire aux exigences de la Directive et demandez-vous si vous souhaitez aller plus loin, par exemple en fonction de ce dont votre organisation pourrait avoir besoin à l’avenir.
  • Gouvernance et politiques
    • Adoptez officiellement des principes fondamentaux au travers de politiques, et assurez-vous que vos systèmes sont organisés pour être conformes à ces décisions.
    • Des discussions sont nécessaires concernant les problèmes complexes tels que l’anonymat, les droits des lanceurs d’alerte et des citoyens (accusés), les étapes formelles protégeant les auteurs de signalement contre des représailles, la protection des données et les tensions avec d’autres exigences juridiques. Des procédures parfaitement claires doivent être en place pour faire remonter les dossiers à la direction, au PDG, au comité d’audit et au conseil d’administration.
    • Assurez-vous à l’avance de la mise en conformité, afin d’éviter les surprises que vous pourriez éventuellement avoir au cours d’une enquête tendue. La prise en charge et la responsabilité doivent être décidées au plus tôt.
    • Réfléchissez de façon stratégique à l’instinct de conservation. Quand devez-vous protéger votre propre organisation ? La diffamation est le mauvais côté du lancement d’alertes : quand devez-vous prendre position ? Et quand le fait de prendre position vous fait-il perdre votre bonne volonté ?
    • Comme pour toutes les politiques, des contrôles sont nécessaires pour garantir qu’elles fonctionnent comme prévu. Que pouvez-vous ajouter à votre cadre de contrôles de la conformité ? Pensez transmission au niveau hiérarchique supérieur, approbations, séparation des tâches, etc. Assurez-vous également que les équipes de communication surveillent activement le domaine public à la recherche de cas émergents.
  • Collaborer
    • Impliquez les personnes qui comptent dans le processus de lancement d’alerte et de protection contre les représailles. Travaillez en étroite collaboration avec tous les dirigeants et responsables de votre organisation, le service des ressources humaines, les responsables de la protection des données, les comités d’entreprise et les syndicats. Faire participer les employés et leurs représentants est probablement le moyen le plus efficace de devancer les problèmes.
  • Prendre conscience
    • Les programmes de formation doivent inclure des renseignements sur la Directive, qui est assez normative sur les informations qui doivent être rendues disponibles.
    • De la même manière, les programmes de communication doivent satisfaire aux exigences formelles et probablement aller plus loin, en fonction de la culture et des risques spécifiques à votre organisation.
    • Une formation basée sur des exemples de dilemmes pour les groupes clés tels que la direction générale (ou les services exposés à des risques) peut vraiment mener les personnes à réfléchir aux défis qui nous attendent.
  • Cas antérieurs
    • L’application de la Directive n’est pas rétroactive. Mais il est possible de faire ressortir des cas antérieurs (l’article 4.2 permet de lancer une alerte concernant des relations de travail passées). Vous devez vous assurer que vous avez géré les problèmes de façon crédible et minutieuse, également par le passé.
    • Un examen des cas antérieurs notables à la lumière de la Directive pourrait vous aider à vous prémunir contre ce risque.
  • Observer
    • Nous avons donné plus haut un aperçu des incertitudes, et il existe un besoin clair de recherche et d’observation.
    • Il nous reste à voir si les mesures nationales iront (ou vont déjà) plus loin que la Directive. Il reste également à voir la position unique du Royaume-Uni.
    • Les tensions entre la protection des données et les droits des lanceurs d’alerte seront plus vivement ressenties dans certaines juridictions que dans d’autres.
    • Une autre mesure législative (le RGPD) a été considérée par certains comme trop optimiste, peu pratique et partiellement inapplicable. Les accords de traitement des données ont été surchargés d’informations inutiles, sans les ressources nécessaires pour répondre à toutes ces informations. La Directive pourrait faire face aux mêmes accusations sauf si elle est correctement mise en œuvre et appliquée.
    • La jurisprudence devra se développer et guider l’utilisation pratique de la Directive. Surtout pour son application et si les pénalités seront suffisamment dissuasives.

Échangez avec nos experts

Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?

Contactez-nous

Share this page