En vertu de la directive européenne de 2019 sur les lanceurs d’alerte, les personnes morales sont tenues de mettre en place des canaux de signalement internes et des procédures internes pour recevoir et donner suite aux signalements de violations. Voici quelques-uns des principaux points à retenir pour les praticiens.
Les seuils généraux à retenir sont 50 travailleurs et/ou 10.000 habitants. L’obligation s’applique aux entités juridiques du secteur privé qui comptent au moins 50 travailleurs. Dans certains secteurs, ce seuil ne s’applique pas du tout.
Dans le secteur public, l’exigence s’applique à toutes les entités juridiques. Il convient toutefois de se référer au droit national, les États membres étant autorisés à prévoir des dérogations à cette règle générale. Ils peuvent exempter les municipalités de moins de 10 000 habitants ou de 50 travailleurs, ainsi que les autres entités du secteur public de moins de 50 travailleurs.
Le canal de notification interne doit être mis à la disposition des travailleurs de l’entité. La loi sur la dénonciation elle-même n’exige pas que le canal interne soit également mis à la disposition d’autres personnes (par exemple, les fournisseurs, les sous-traitants…) pour signaler des informations sur les infractions. Toutefois, ces derniers ne sont pas empêchés de soumettre leurs rapports par le biais des canaux de notification externes, car l’utilisation de ces derniers n’est pas conditionnée par l’utilisation préalable des canaux de notification internes.
Il n’y a aucune obligation d’accepter et de donner suite aux rapports anonymes de violations.
Les États membres sont libres de décider d’imposer ou non une telle exigence. Toutefois, la décision d’accepter et de suivre uniquement les rapports dont l’identité des personnes déclarantes est divulguée peut s’avérer difficile à prendre. En effet, les méthodes de confirmation de l’identification sont limitées et, de plus, une telle stratégie n’est pas conforme aux meilleures pratiques. Refuser une dénonciation, quel que soit son contenu, uniquement parce qu’elle a été faite de manière anonyme n’a guère de sens, d’autant plus que l’anonymat peut en fait être la meilleure protection de la personne dénonciatrice contre les représailles.
L’identité du déclarant ne peut être divulguée qu’avec le consentement explicite de cette personne, ou lorsque cette divulgation est nécessaire et proportionnée en vertu du droit de l’Union ou du droit national.
Le canal de notification est tenu d’assurer la protection de la confidentialité de l’identité de la personne notifiée et de tout tiers mentionné dans la notification et d’empêcher l’accès à celle-ci par des membres du personnel non autorisés. L’identité du déclarant ne peut être divulguée à quiconque en dehors du personnel autorisé sans le consentement explicite de cette personne, ou lorsque cette divulgation est nécessaire et proportionnée en vertu du droit de l’Union ou du droit national. La personne concernée doit être informée de cette dernière avant la divulgation, sauf si cette information risque de compromettre les enquêtes ou les procédures judiciaires en cours. Le même devoir de confidentialité s’applique également à toute autre information dont l’identité du déclarant peut être directement ou indirectement déduite.
Le canal de notification doit permettre la notification par écrit, oralement ou les deux. Chaque rapport reçu doit être enregistré.
Dans le cadre d’un signalement oral, la personne concernée peut également demander à rencontrer physiquement les membres du personnel dans un délai raisonnable. La réunion peut être documentée soit par un enregistrement de la conversation sous une forme durable et récupérable, soit par un compte rendu précis de la réunion préparé par les membres du personnel chargés de traiter le rapport. Le rapporteur doit avoir la possibilité de vérifier, rectifier et approuver le procès-verbal de la réunion en le signant. Des dispositions similaires s’appliquent à l’enregistrement d’autres rapports oraux, fournis par le biais de lignes téléphoniques ou d’autres systèmes de messagerie vocale. La durée de conservation d’un rapport dépend de ce qui est nécessaire et proportionné pour se conformer aux exigences de la directive, du droit de l’Union ou du droit national.
Les entités juridiques doivent établir des procédures pour les rapports internes et leur suivi diligent. Les informations doivent être claires et facilement accessibles.
Les procédures doivent donc réglementer le signalement lui-même, ainsi que toute mesure qui sera prise par le destinataire d’un signalement pour évaluer l’exactitude des allégations faites dans le signalement et, le cas échéant, pour remédier à la violation signalée, y compris par des actions telles qu’une enquête interne, une investigation, des poursuites, une action en recouvrement de fonds ou la clôture de la procédure. Les informations relatives à l’utilisation des canaux de notification internes et aux procédures de notification externe aux autorités compétentes doivent être claires et facilement accessibles.
Les rapports peuvent être traités en interne ou par un prestataire tiers.
Une personne ou un service doit être désigné pour gérer les canaux de rapport internes. Ce dernier comprend la réception des rapports et le maintien de la communication avec le déclarant, ainsi que la demande d’informations complémentaires et le retour d’informations à ce déclarant.
Cette tâche peut être confiée à des prestataires tiers tels que des avocats externes, des fournisseurs de plates-formes de reporting externes, des cabinets d’avocats, des auditeurs, des représentants des employés, etc. Des garanties et des sauvegardes efficaces en matière d’indépendance, de confidentialité, de protection des données et de secret doivent également être mises en place chez les prestataires de services tiers.
Le suivi du rapport peut être effectué par une personne ou un service désigné, compétent et impartial. Cette personne ou ce service peut être le même que celui qui exploite le canal de reportage. L’identité de cette personne ou de ce service dépend de la taille et de la structure de chaque organisation. Cependant, la personne ou le service le plus approprié doit avoir cette fonction dans l’organisation, afin de garantir l’indépendance et l’absence de conflit d’intérêts. Ces tâches sont généralement accomplies par un responsable de la conformité ou des ressources humaines, un responsable de l’intégrité, un responsable juridique ou de la confidentialité, un responsable financier, un responsable de l’audit ou un membre du conseil d’administration. Les entités juridiques privées comptant entre 50 et 249 travailleurs sont autorisées à partager les ressources pour la réception des rapports et la conduite des enquêtes qui s’ensuivent.
La personne concernée doit être informée de la réception du rapport dans les 7 jours et recevoir un retour d’information au plus tard dans les 3 mois.
Un accusé de réception doit être envoyé à la personne concernée dans les sept jours suivant la réception du rapport. Il n’y a pas d’exemption à cette obligation, alors qu’en cas de déclaration externe, l’autorité compétente peut omettre cet accusé de réception lorsque la personne déclarante le demande explicitement ou lorsqu’elle estime raisonnablement que cela compromettrait la protection de l’identité de la personne déclarante.
Les procédures internes doivent définir un délai raisonnable pour fournir un retour d’information, qui ne peut excéder trois mois à compter de l’accusé de réception ou de l’expiration de la période de sept jours susmentionnée.
Le retour d’information doit être fourni à la personne concernée, en l’informant de l’action envisagée ou entreprise à titre de suivi et des raisons de ce suivi. Si aucune mesure appropriée n’est prise dans ce délai, le déclarant peut décider de divulguer publiquement la violation tout en continuant à bénéficier de la protection contre les représailles prévue par la directive. Bien entendu, le caractère approprié du suivi est une norme juridique et son évaluation dépendra des circonstances de chaque cas et de la nature des règles qui ont été violées.
Il n’y a pas de délai défini dans lequel les actions de suivi devraient avoir été réalisées. Toutefois, plus le délai est long, plus les actions, le cas échéant, risquent d’être jugées inappropriées, ce qui incitera le déclarant à utiliser des canaux de signalement externes, voire à divulguer publiquement la violation. Contrairement aux rapports externes, il n’y a pas d’obligation explicite de communiquer au déclarant le résultat final des enquêtes déclenchées par le rapport.
Utiliser Trusty pour votre entreprise
gratuitement
gratuitement, veuillez remplir le formulaire suivant. Vous recevrez sous peu le lien vers votre login personnel et toutes les informations complémentaires.
Pour utiliser Trusty+ pour votre entreprise, veuillez remplir le formulaire suivant. Nous vous contacterons sous peu pour compléter le processus d’inscription.