Dans le secteur financier, le sujet des signalements n’est pas inconnu. En effet, l’arrêté du 3 novembre 2014 relatif au contrôle interne – et auparavant l’arrêté du 31 mars 2005 – prévoit la faculté de signalement (ou également appelée « faculté d’alerte »), en parallèle d’autres régimes existants, parmi lesquels il est possible de citer le règlement relatif aux abus de marché (MAR) qui a introduit un dispositif de signalement sur un périmètre plus restreint (intégrité des marchés).
Malgré son existence, le dispositif de signalement ne fonctionne pas nécessairement dans sa plénitude, d’où l’intérêt de la loi Sapin 2 qui est venue renforcer un certain nombre d’aspects (protection du lanceur d’alerte, protection de la confidentialité, sécurité du dispositif…).
En parallèle, la loi sur le devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre du 27 mars 2017 est venue introduire à la charge des sociétés mères et de leurs filiales directes ou indirectes l’obligation de mettre en place, à l’égard de leurs sous-traitants et de leurs fournisseurs, des mesures de vigilance raisonnable propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement, et dans lequel le dispositif d’alerte s’inscrit au titre d’un plan de vigilance général (art. 1 de la loi).
Par ailleurs, il est important de rappeler que la CNIL, a réaffirmé dans sa version rectifiée de l’AU – autorisation unique – 004, en août 2017, l’autorisation qu’elle avait délivrée en 2005 sur le dispositif de signalement introduit dans le règlement sur le contrôle interne. En fonction du dispositif mis en place par l’établissement assujetti, ce dernier pourra s’inscrire dans le cadre de l’AU 004 ou se faire autoriser spécifiquement sur son dispositif.
I. LES POINTS CLÉS DU DISPOSITIF D’ALERTE
Périmètre du dispositif
Un des apports majeurs de la loi Sapin 2 est la création d’un statut juridique unique applicable aux lanceurs d’alerte qui bénéficient dorénavant d’un socle commun de protection alors que cohabitaient jusqu’à présent des dispositions différentes dispersées dans divers textes (corruption, santé, crime).
En outre, le texte vient définir, de manière large, la notion de « lanceur d’alerte ». Ainsi, est un lanceur d’alerte celui qui « révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France […] de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont (il) a eu personnellement connaissance ».
Cette définition vient, ainsi, élargir le périmètre des lanceurs d’alerte potentiels. Jusqu’à présent, seuls les salariés des établissements étaient concernés. À partir de 2018, avec l’entrée en vigueur de la loi Sapin 2 et de son décret d’application en date du 19 avril 2017, les collaborateurs extérieurs et occasionnels seront aussi concernés, à savoir les intérimaires, les alternants, les stagiaires et les prestataires/fournisseurs de premier rang.
De son côté, la loi sur le devoir de vigilance semble étendre le champ d’application aux tiers sans toutefois définir cette notion. Il semblerait, néanmoins, que les clients soient exclus du périmètre.
S’agissant des prestataires/fournisseurs de premier rang, il sera nécessaire d’introduire dans les contrats, une clause afin que ces derniers soient en mesure d’informer leurs propres collaborateurs de l’existence du dispositif chez leur client.
S’agissant des filiales, il reviendra à chaque établissement de définir si le dispositif leur est applicable et jusqu’à quel niveau.
Gradation du dispositif et canaux de remontée
Afin de préserver les intérêts de l’entreprise et ceux de l’auteur de l’alerte, la loi Sapin 2 introduit trois niveaux de gradation dans les signalements. Afin de bénéficier de la protection mise en place par la loi, ces étapes devront être respectées par le lanceur d’alerte, sauf en cas de recours aux dispositifs déjà existants (comme celui en vigueur en matière d’abus de marché).
Le dispositif par niveau, introduit par la loi Sapin 2, est le suivant.
Le « niveau 1 » : le lanceur d’alerte signale à son supérieur hiérarchique ou au référent désigné dans l’établissement (ce référent pourrait être le responsable de la conformité de chacun des établissements ou il pourrait s’agir également d’un collège de référents).
Le « niveau 2 » : dans un second temps, si aucune suite n’est donnée dans un délai raisonnable, le lanceur d’alerte signale le manquement à l’autorité judiciaire, administrative (AMF, AFA…), ou à l’ordre professionnel concerné.
Le « niveau 3 » : à défaut de traitement du signalement dans un délai de trois mois par les autorités visées au second niveau, le signalement peut alors être rendu public.
En outre, en cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles ou si l’établissement n’a pas mis en place un dispositif permettant
le recueil des signalements, ce dernier peut être porté directement à la connaissance des autorités visées au niveau 2 ou être rendu public.
Pour finir, il est indispensable de prévoir des canaux de remontée adéquats. Ainsi plusieurs options sont ici ouvertes : mise en place d’une plate-forme web, courriel, hotline, courrier, fax, etc.
Gestion du dispositif
Un des points les plus structurants dans la définition du dispositif d’alerte concerne la question de sa gestion.
Ainsi, il conviendra, pour un établissement donné, de déterminer si celui-ci est internalisé ou externalisé.
Dans le cas où l’établissement opte pour l’externalisation du dispositif, il fera appel à un prestataire externe qui pourra lui mettre à disposition une plate-forme de traitement des alertes, voire même être en charge du filtrage de premier niveau, étant entendu que l’établissement restera responsable du traitement de l’alerte. En tout état de cause, une confidentialité extrême devra être assurée afin de respecter la protection du lanceur d’alerte.
Protection de la confidentialité de l’alerte
Dans un souci de conformité avec les dispositions de la loi Sapin 2, les établissements doivent s’assurer que les canaux de signalement comprennent des garanties de confidentialité absolue de l’identité du lanceur d’alerte, de celle de la personne visée par l’alerte et des informations recueillies par l’ensemble des destinataires du signalement. La confidentialité imposée par le texte est à distinguer de l’anonymat de l’alerte.
Ainsi, en pratique, une alerte peut difficilement être traitée par une seule personne ; le traitement peut conduire à faire appel à différentes parties prenantes de l’établissement du fait de leur expertise sur certains sujets, comme par exemple, les ressources humaines ou l’audit interne.
Il est donc important de mettre en oeuvre des dispositifs sécurisés et opérationnels pour protéger la confidentialité (e.g. signature par les parties prenantes d’une lettre de confidentialité).
Par ailleurs, en cas d’externalisation du dispositif, la difficulté sera, en particulier, de faire remonter ces alertes – du prestataire qui effectue le premier filtrage vers le référent – tout en assurant leur confi dentialité.
Il conviendra d’être particulièrement vigilant et d’encadrer le transfert de données confidentielles auprès de ces prestataires quant aux aspects relatifs aux « données à caractère personnel », et cela notamment par la formalisation de clauses contractuelles types dans le respect de la réglementation en vigueur.
Renforcement de la protection du lanceur d’alerte
La prise en compte de la protection du lanceur d’alerte doit faire l’objet d’une attention toute particulière. Ainsi, ce dernier ne peut pas être écarté d’une procédure de recrutement, ou encore d’une formation professionnelle.
Il ne peut pas non plus être sanctionné ni licencié, ou faire l’objet d’une mesure discriminatoire directe ou indirecte, qu’il s’agisse de la rémunération, de la qualification ou encore de la promotion professionnelle.
Par ailleurs, le lanceur d’alerte bénéficie d’une exonération de sa responsabilité pénale lorsque les informations divulguées portent atteinte à un secret protégé par la loi dès lors que cette divulgation est nécessaire et proportionnée à la sauvegarde des intérêts en cause et qu’elle intervient dans le respect des procédures de signalement.
Le lanceur d’alerte, d’une manière générale, ne peut faire l’objet de mesures disciplinaires ou discriminatoires même si les faits se révèlent infondés et dans la mesure où il a agi de bonne foi.
Il sera bien sûr nécessaire d’intégrer, dans le dispositif, le respect des règles de droit social, non seulement en France, mais aussi potentiellement à l’étranger.
Obligation d’information
Les textes mettent, par ailleurs, à la charge des établissements les obligations d’information suivantes :
– informer clairement sur le dispositif l’ensemble des utilisateurs potentiels (e.g. identification de l’entité responsable du dispositif, objectifs poursuivis et domaines concernés par les alertes, caractère facultatif du dispositif, absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif…). Dans ce cas, un plan de communication/sensibilisation devra être prévu auprès des collaborateurs afin de leur expliquer la façon dont le dispositif de signalement doit être mis en oeuvre, notamment le champ du droit d’alerte ;
– notifier formellement à l’auteur du signalement les suites données à son signalement (clôture si les faits ne sont pas avérés – dans ce cas, une information à destination de la personne visée est également nécessaire
– ou lancement d’une investigation plus poussée dans le cas contraire) ;
– informer la personne visée par l’alerte dès l’enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s’opposer au traitement de ces données. Lorsque des mesures conservatoires sont nécessaires, l’information de cette personne intervient après l’adoption de ces mesures.
Modalités d’évaluation du dispositif
Enfin, il conviendra de mettre en oeuvre des modalités d’évaluation du dispositif, qui sont exigées par les autorités de tutelle et une bonne pratique consisterait à procéder au back testing de la robustesse du dispositif de signalement dans les établissements.
II. QUELQUES POINTS D’ATTENTION
D’une manière générale, les établissements assujettis à cette réforme devront intégrer l’ensemble des exigences issues de la loi Sapin 2 mais aussi les articuler avec les réglementations étrangères (ex. US Foreign Corrupt Practices Act, loi Sarbanes-Oxley, UK Bribery Act) et les autres textes spécifi ques (règlement abus de marchés, directive CRD 4…).
Le dispositif de signalement devra permettre la traçabilité des actions de traitement et être accessible aux autorités lors de leur contrôle.
Une concertation étroite avec les instances représentatives du personnel s’avère également nécessaire car elles doivent comprendre le contenu et les modalités du dispositif.
Le règlement intérieur et les procédures internes de l’établissement devront être mis à jour afin d’intégrer les spécificités du nouveau dispositif.
Le dispositif de signalement devra être suffisamment sécurisé pour garantir la confidentialité des données et répondre aux exigences de l’AU 004 de la CNIL (e.g. accès via un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification. Ces accès sont enregistrés et leur régularité est contrôlée). Le dispositif qui repose, par exemple, sur la collecte des alertes et leur traitement via messagerie électronique en s’appuyant sur des outils bureautiques ne semble pas suffisamment sécurisé ni suffisamment robuste. Il faudra particulièrement veiller à ce que les administrateurs « systèmes » qui ont accès à l’outil de traitement pour assurer sa maintenance n’aient pas accès aux alertes elles-mêmes. L’outil de traitement devra, en outre, être protégé contre le risque d’intrusions internes et externes.
Pour finir, s’agissant des alertes anonymes, dans la mesure où elles peuvent difficilement être évitées et même si la loi Sapin 2 ne les impose pas, il convient que le dispositif d’alerte permette leur recueil, étant précisé que la CNIL a indiqué dans quel cadre elles devraient être prises en compte.
En conclusion, force est de constater que les dispositions de la loi Sapin 2 et celles de la loi sur le devoir de vigilance, tendent, non seulement, vers la mise en place d’un régime unifié du lanceur d’alerte, mais également, dans le même sens, proposer la mise en place d’un programme de conformité et de contrôle permanent. Ce sont des dispositifs que l’on pourrait qualifier, à ce titre, de « convergents ».
