Lanceurs d’alertes

Conférence Atelier petit-déjeuner

Compliance : AFA & loi Sapin 2

11 décembre 2018

Jean-JacquesQUANG

Director,GovernanceRiskInvestigationDisputesDuff&Phelps

•  Jean-JacquesQUANG,•  DirectorchezDuff&PhelpsEnchargedesactivitésGovernanceRiskInvestigationsDisputes

•  Domainedecompétences:•  Compliance–programmeanti-corruption

•  Third-partyriskmanagement–duediligencetiersKrollComplianceRiskDiligence(divisiondeDuff&Phelps),leadermondialenbusinessintelligence

•  Investigations–corruption,fraude,«whitecollarcrime»

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20182

Sommaire

•  Ledispositifdelanceurd’alerte

•  Cadreréglementaire•  Lescaractéristiques•  Ledispositifdelanceurd’alerteetRGPD

•  Laperceptiondudispositifenentreprise

•  Ledispositif–enpratique

•  Retoursd’expérience•  Commenttraiterlesalertesremontées

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20183

1. Le dispositif - Cadre réglementaire

•  Loi«Sapin2»relativeàlatransparence,àlaluttecontrelacorruptionetàlamodernisationdelavieéconomiquedu9décembre2016,article8III:

•  Dispositifetprocéduresinternesderecueildessignalements/alertes,obligationdepuisle1erjanvier2018

•  l’alertegénérale:lesentreprisesd’aumoins50salariés,établissementspublics

•  l’alertepropreàlacorruption:lesentreprisesde500salariéset100millionsdechiffred’affaires(article17)

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20184

1. Le dispositif - Les caractéristiques

•  Avoirconnaissancepersonnellementetreporterdesfaitssusceptiblesdeporteratteinteoupréjudicesgravesà«l’intérêtgénéral»etcommiseauseindel’entreprisedanslaquellelelanceurd’alertetravaille==>scandalesenvironnementaux,sanitaires,alimentaire,éthique,corruption….(exemptions:secretdéfense,secretmédical,secretrelationclient-avocat)

•  Lanceurd’alerte:•  Unepersonnephysique•  Unsalariéouuncollaborateurextérieuràl’entreprise(intérimaire,détaché)•  Agitdebonnefoietdemanièredésintéressé

•  Protectiondulanceurd’alerte•  Immunitépénale•  Garantiedeconfidentialité•  Protectioncontrelessanctionsdisciplinairesetlelicenciement

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20185

1. Le dispositif - Les caractéristiques

•  Procéduregraduelleàrespecter

•  1erniveau:Alerteportéeàlaconnaissancedul’employeur,selondispositifetprocéduresmisenplace

•  2eniveau:Enl’absencedediligencedansundélairaisonnable,alerteàl’autoritéjudiciaire,ordresprofessionnels

•  3eniveau:Adéfautdetraitementdel’alertedeniveau2,dansundélaide3mois,lesignalementpeutêtrerendupublic

(exception:dangergraveetimminent,alerterdirectementàl’autoritéjudiciaireetordresprofessionnels)

PS:Régimesspéciaux(Banque&assurances,Domainedurenseignement,Sécuritéaérienne)

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20186

1. Le dispositif - Les caractéristiques

Procédureinterneetdispositifàmettreenœuvre

•  Modalitéderecueildessignalements

•  Modalitéd’accusé-réceptiondessignalements

•  Informationàlapersonnefaisantl’objetdel’alerte

•  Lesgarantiesdeconfidentialitéentourantletraitementdel’alerte

•  L’existenced’untraitementautomatisédesalertesmiseenœuvre,aprèsautorisationdelaCNIL

•  Qualificationdusignalementenalerteetlessuitesàdonner

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20187

1. Le dispositif – … et RGPD

• Undispositifdelanceurd’alerteavecuntraitementautomatisédesdonnéesàcaractèrepersonnellesrecueillies:

•  Soit:afaitl’objetd’unedéclarationetd’uneAutorisationUniqueAU-004auprèsdelaCNIL,préalableàl’entréeenvigueurdeRGPD(25mai2018)

•  Soit:doitfairel’objetd’uneanalysed’impactrelativeàlaprotectiondesdonnées(AIPD)

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20188

1. Le dispositif – … et RGPD

Analysed’Impact

• Article7RGPD:•  Descriptifdeprocessusetdesopérationsenvisagées

•  Descriptifdesdonnéescollectées:nature,description,…

•  Descriptiondesacteurs("datacontroller"/"dataprocessor")concernés

•  Evaluationdesrisquesimpactantl'intégritédesdonnées:sécurité,breach

• Mesuresderémédiation•  Mesuressupressions,modification,anonymisationdesdonnéescollectées

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20189

1. Le dispositif – La perception en entreprise

•  Evolutiondesmentalités,àl’aunedeslanceursd’alerterécents:•  Médiatisationdescas:Wikileaks,NSA-Snowden,Panamapapers,Luxleaks,Renault-Nissan…

•  L’amplificationdulevier«réseauxsociaux»

==>Touslescasontœuvréàplusdetransparence, danslemondedesaffaires

==>Contribueàplusd’éthique

==>Aspirationssociétalesd’aujourd’hui

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201810

1. Le dispositif – La perception en entreprise

•  LafonctionCompliance,partieintégrantedesfonctionscorporateenentreprise

•  Communicationetformationsurlesobligationsréglementaires•  Sensibilisationàl’utilisationdeslignesd’alerte,commeoutilsupportàunebonnegouvernance

•  Uneapprochedelagestiondesrisquesélargie

•  Traiterlesalertesremontéeseninterne:

•  ==>moinsd’expositionàdesincidentscommuniquéssurlaplacepublique

•  ==>gestionproactivedurisqueréputationnel

11 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

1. Le dispositif – La perception en entreprise

•  EtudepubliéedansHarvardBusinessReview(1):

•  Usagededispositifsdelanceursd’alerte==>indicationdebonnesantéd’uneentreprise/bonnegouvernanceeffective

•  Dispositifdelanceursd’alerteinternes==>moinsd’enquêtesexternesparlesrégulateurs/moinsdepoursuites/résolutionsamiables(CJIP)

==>meilleureproactivitéetcommunicationinternepourlarésolutiondescasremontés

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201812

(1):HarvardBusinessReview-StephenStubben&KyleWelch–Octobre2018

2. En pratique – retours d’expérience Application ?

• Danslesgrandsgroupes

•  «Portail»dédié,etélargiàtouslespaysdanslesquelslegroupeopère•  Nonrestreintauxsalariés,accessibleaugrandpublic•  Dispositifsous-traitéauprèsdesociétésspécialiséesdanslerecueiletletraitementde1erniveau

• Groupesdetailleintermédiaire

•  Adresseemailgénérique•  Applicationdédiée:internaliséeouexternalisée

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201813

2. En pratique – retours d’expérience Bonnes pratiques

•  Nécessitédebieninformerlessalariésdudispositifexistantetdumodeopératoire

•  Formation:

•  guidepratiquesurintranet,filmpédagogique,didactiquesurlesmodalitésd’utilisationdudispositifdelanceurd’alerte

•  AccuséRéception/sign-offdessalariésayantétéinforméouformésurl’existenceetl’utilisationdudispositifdelanceurd’alerte.

•  Communicationclairesurlapolitiquedenon-représaillepourdessalariés

Peud’alertesremontées==>dispositifadapté?Comprisparlessalariés?

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201814

2. En pratique – retours d’expérience Comment traiter les remontées ?

•  Dèsl’instaurationd’uneligned’alerte,unvolumedesignalementscroissantestconstatédanstouteslesentreprises

•  TouslessignalementsremontésnecorrespondentpasauspectredéfiniparlaLoiSapin2:

•  Risqued’instrumentalisationdelaligned’alerte

•  Unegrandemajorité=doléancesrelevantdudomainedesressourceshumaines

Nécessitédetouteslestraiter,auregarddesobligationsdelaloiSapin215 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

2. En pratique – retours d’expérience Comment traiter les remontées ?

1.  Accuserréception/Établirdesuiteunelignedecommunicationaveclelanceurd’alerte

2.  Triagedessignalementscollectées

3.  Effectuerlesvérificationspréliminaires

4.  Effectuerdesinvestigationsavancées

Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201816

2. En pratique – retours d’expérience Comment traiter les remontées ?

1.  Etablirlecontactaveclelanceurd’alerte

•  Accuséréceptiondusignalementdansles48heures

•  Informerduprocessusetdesétapesdansletraitementdusignalement

•  Etablirunecommunicationaveclelanceurd'alerte•  Récolterunmaximumd'informationsdecontexte

•  Constitueretdocumenter,àl'aidedulanceurd'alerte,lecaspotentielàdesfinsd'évaluationd'impactsultérieure

•  Gestiondel’anonymat

17 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

2. En pratique – retours d’expérience Comment traiter les remontées ?

2.  Etapedetriageetcatégorisationdanslessignalements:

•  Signalementscalomnieux•  Signalementsrelevantdesressourceshumaines

•  Unsignalement=qualifiéenalertelorsquelebien-fondéestavéré

•  Atitred’exemplepourungrandgroupemondialiséanglo-saxon:•  4000signalementsparan

•  75%relevantdesressourceshumaines•  25%fontl’objetdevérificationspréliminaires•  Environ250investigationsavancéesdiligentées

18 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

2. En pratique – retours d’expérience Comment traiter les remontées ?

3.  Effectuerlesvérificationspréliminaires:

•  Caractériserlessignalementsremontés

•  Matérialiserlesallégationsreportées:•  Qui?•  Quoi?•  Risques?Préjudices?•  Y-a-t-ildespreuvesapportées?Sioui,vérificationsnécessaires

•  Evaluerl’impactpotentiel:business,organisation,humain,entreprise

Crédibleoupascrédible?Potentielleexpositionàdesfaitsdecorruptionoupas?

19 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

2. En pratique – retours d’expérience Comment traiter les remontées ?

4.  Initierdesinvestigationsavancées:

«Doit-onenvisagerdesinvestigationsavancées?»

•  Lefaitdes’interrogersurl’opportunitéd’investigationsavancées,induitd’oresetdéjàlanécessitédelesentreprendre

•  L’espritdelaLoiSapin2etattentesdurégulateur,encasdecontrôle:a-t-onentreprislesdiligencesnécessairespour«détecteretprévenir»lesfaitsdecorruption

•  Lesinvestigationsdoiventêtremenéesen«incidentmanagementteam»,•  modeopératoireminutieusementpréparé•  uneteamavecdescompétencespluridisciplinaires;internes/externes

20 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018

Conclusion Dispositif de lanceurs d’alerte… ce qu’il faut retenir

•  Gestionproactivedurisquedepoursuitejudiciaire,d’imageetréputationnel

•  Traitereninterneetenamontavantquelesallégations/possiblesfaitssoientmissurlaplacepublique

•  Démontrerundispositifanti-corruptionefficace,telquerequisparlerégulateur,etquiparticipeàunebonnegouvernanced’entreprise

•  Dispositifefficace<==>unvolumecroissantd’alerteàtraiter

•  Nécessitéd’unedémarchestructuréepourtraiterlessignalements:filtrer,catégoriser,investiguer,remédier

•  Uneapplicationdédiée,interneouexterne,favorisecettestructuration.

•  Absoluenécessitédetracerlesuividessignalementsetdestraitementsapportés;auditableparl’AFA

21 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018