Loi N°2022-401 du 21 mars 2022 : Vers la protection des lanceurs d’alerte en entreprise
RSE. La Loi N°2022-401 impose aux entreprises de mettre en place un dispositif de recueil et de traitement des signalements sécurisé garantissant la confidentialité de l’identité des lanceurs d’alerte au sein des structures d’au moins 50 salariés.
La loi sur la protection des lanceurs d’alerte oblige les entreprises ou associations de plus de 50 salariés à mettre en œuvre un système de protection des lanceurs d’alerte. Comment les entreprises peuvent elles désormais se mettre en conformité avec la loi ?
Personne physique qui signale ou divulgue (sans contrepartie financière et de bonne foi) des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général d’une entreprise publique ou privée, une administration ou encore une association, le lanceur d’alerte est désormais très officiellement protégé par la loi. La loi n° 2022-401 du 21 mars 2022 prévoit le renforcement de la protection des lanceurs d’alerte en entreprise, autrement dit les collaborateurs qui souhaitent dénoncer des actes délictueux comme des faits de détournement, de harcèlement, de malversation ou de pollution par exemple.
« La réglementation vient combler un vide juridique et prévoit que l’entreprise doit assurer la confidentialité des lanceurs d’alerte », explique Mathieu Domon, responsable de projet pour le Groupe Interactions, qui a créé une solution sur-mesure, baptisée E-signal Conseil, pour les entreprises en partenariat avec le cabinet rémois ACG Avocats et l’entreprise de LegalTech Whistleblower Software.
La confidentialité est souvent mise à mal par la difficulté d’effectuer une démarche physique auprès des dirigeants de l’entreprise. « 80 % des salariés européens déclarent préférer se taire en cas de connaissance d’un délit », précise le spécialiste. C’est pourquoi la Loi demande à l’entreprise de définir un canal de signalement qui assure à la fois la sécurité et la confidentialité du lanceur d’alerte.
« La parution de cette nouvelle loi est l’occasion de présenter concrètement comment se mettre en conformité en quatre étapes. C’est aussi l’occasion d’élargir le champ de réflexion en examinant comment transformer une obligation réglementaire en levier de performance en mettant en œuvre une réelle stratégie de signalement et donc de détection des risques dans l’entreprise, poursuit Mathieu Domon. D’ailleurs, selon une étude Suisse de la Haute École spécialisée des Grisons (FHGR) qui a travaillé sur environs 1300 entreprises,
« un tiers des entreprises européennes est victime d’un préjudice, lié à une malversation, estimé à 100 000 € par cas en moyenne. »
« Dans 90 % des cas, les faits détectés ne sont pas diffusés à l’opinion publique. Par ailleurs, les cas de harcèlement ont explosé. »
Intégrité et éthique
Pour Me Vanessa Lehmann, avocate au sein du cabinet rémois ACG, au-delà du respect de la législation, il s’agit aussi pour les entreprises d’un véritable enjeu au titre de la RSE, notamment. « Au titre de sa responsabilité sociale, l’entreprise se doit d’organiser et de gérer ces enjeux qui l’impactent directement et notamment d’assurer ses obligations réglementaires, d’assumer sa responsabilité sociale et sociétale, de protéger ses collaborateurs et de se protéger elle-même de tous actes délictueux ou actes pouvant altérer son image. »
La mise en place de cette procédure réglementaire demande une réflexion et une stratégie à mettre en place, à déployer et à faire vivre. « Aujourd’hui, la Loi rejoint les attentes de la société vis-à-vis de la responsabilité sociale de l’entreprise (RSE). Il s’agit non seulement de comprendre l’intérêt pour l’entreprise de développer une culture du respect de l’intégrité et de l’éthique, mais aussi de s’inscrire dans une démarche de prévention des actes délictueux afin de pouvoir être réactif et de traiter sereinement n’importe quelle alerte et d’en réduire les conséquences, comme par exemple dans les trop nombreux dossiers de harcèlement où nous accompagnons nos clients au quotidien. »
>LIRE AUSSI : Plafond de la sécurité sociale 2023 : 3 666 euros
« La première des quatre étapes de mise en conformité avec la Loi consiste tout d’abord à définir une stratégie de signalement dans l’entreprise qui comprend une procédure qui explique ce qui se passe en fonction des alertes et « qui fait quoi » ? Dans quel cadre s’applique-t-elle ? Quelles sont les thématiques concernées ? Avec quels moyens pour assurer la confidentialité du déclarant et la sécurité des données ? Par qui est géré un dossier en cas d’alerte (interne / externe) ? Une fois que chaque point est défini il est important de rédiger un projet de modification du règlement intérieur à présenter aux membres du CSE et suivre la procédure habituelle de dépôts ».
Mathieu Domon poursuit : « La procédure de signalement doit comporter la mise à disposition d’un canal de signalement confidentiel et sécurisé. Concrètement, il faut aussi que cela soit facile à utiliser. On observe que les bonnes pratiques de gestion des alertes sont plus faciles à mettre en œuvre avec les plateformes digitales d’alertes professionnelles. » Ainsi, cet outil pourra être une plateforme digitale simple d’utilisation, rassurante, sécurisée et externalisable à un tiers impartial.
« La plateforme digitale représente un canal de signalement dont les caractéristiques principales doivent comprendre une page d’accueil au nom de l’entreprise avec sa politique de signalement, une page pour déclarer (avec deux possibilités : anonyme ou confidentiel), la possibilité de paramétrer (qui reçoit quoi ?) et une page pour réceptionner les signalements étudier les pièces et communiquer avec le lanceur d’alerte de façon confidentielle et sécurisée », précise Mathieu Domon.
Communiquer sur le processus
Une fois cette première étape réalisée, la loi prévoit un processus d’information à mettre en place au sein de l’entreprise et auprès des collaborateurs, souligne Me Lehmann : « La Loi impose de communiquer le processus de signalement par tous les moyens disponibles. C’est la deuxième étape de la démarche de mise en conformité. Pour ce faire il est important de préparer un plan de communication pour impliquer tous les collaborateurs et expliquer comment le processus fonctionne, avec quels jalons en rappelant le canal à utiliser et les délais de réponses. Le plan peut comprendre des sessions d’information, voire de formation, pour permettre une bonne compréhension et appropriation par chacun ».
Il s’agira ensuite, poursuit l’avocate, d’assurer la mise en œuvre du processus de signalement et de la plateforme : « Il est nécessaire de procéder au paramétrage de la plateforme digitale utilisée comme outil de signalement conformément à la procédure mise en place dans l’entreprise. La loi nous donne le choix là aussi pour : soit nommer une ou plusieurs personnes en interne pour réceptionner les alertes et gérer le dossier (en considérant que ces personnes doivent avoir la confiance du reste des collaborateurs et que ce rôle les engage) ; soit externaliser à un tiers impartial qui assure ce rôle pour l’entreprise conformément au Décret du 3 octobre 2022 qui prévoit cette possibilité. Une fois ce choix réalisé, il faut paramétrer l’outil pour le rendre opérationnel. »
Dès qu’une alerte est déclenchée, chaque signalement devra envoyer une notification au gestionnaire d’alerte. Il sera alors impératif pour l’entreprise de suivre la procédure de traitement des signalements, d’évaluer la véracité du signalement si nécessaire (en demandant des informations complémentaires pour statuer), de protéger les éventuelles victimes avant de déclencher une enquête interne ou externe le cas échéant.
« Il est important d’étudier le plus rapidement possible quelles pourraient être les conséquences liées à l’alerte pour les personnes et l’entreprise, note Me Lehmann. D’ailleurs la loi fixe des délais : 7 jours ouvrés à compter de la réception du signalement pour en accuser réception, 3 mois à compter de cet AR ou du terme du délai de 7 jours pour communiquer de manière motivée des informations sur les mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, remédier à la situation. »
« En complément, je préconise de mettre en œuvre immédiatement une stratégie de traitement et du conseil juridique pour anticiper ce qui peut l’être en amont. Exemple d’un de nos retours d’expériences : le dirigeant a reçu une alerte sur un cas de harcèlement sexuel, une enquête a été conduite, le harceleur a été mis à pied, mais la dimension pénale de ce dossier a été éludée ».
Agir aussi vite que possible
Si la Loi accorde trois mois pour communiquer auprès de la victime présumée, elle n’en accorde que deux pour sanctionner l’auteur. Ce délai de la prescription disciplinaire court à compter de la découverte des faits. Reste à savoir si la jurisprudence considèrera que le point de départ de ce délai de prescription disciplinaire de deux mois court à compter de la date de transmission du signalement par le lanceur d’alerte ou si elle le fait courir à la restitution du rapport d’enquête interne comme cela avait été jugé s’agissant d’une enquête confiée à un CHSCT ? « Mais il faut quand même agir vite, insiste l’avocate. Je préconise d’externaliser la réalisation de l’enquête à un tiers externe qui réalisera des entretiens afin de rédiger un rapport dont les conclusions orienteront éventuellement les dirigeants sur les suites à donner ».