Dispositif d’alerte dans les entreprises : une mise en œuvre qui soulève des questions

La mise en place d’un dispositif interne d'alerte est en passe de devenir obligatoire dans les entreprises de 50 salariés et plus. Le projet de loi relatif à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dit Sapin 2), en cours de discussion parlementaire, prévoit d'imposer l’établissement de "procédures appropriées" de recueil de signalements émis par les salariés ou des collaborateurs extérieurs ou occasionnels. Il s'agit du pendant à l'évolution du statut de lanceur d'alerte, proposée par ce même texte.

La mise en œuvre de cette mesure s'annonce difficile, selon certains spécialistes. Il existe un "flou" sur la configuration de ce recueil des alertes, relevait Bénédicte Querenet-Hahn, avocat associé au cabinet GGV, lors d’une conférence organisée la semaine dernière par l'université Paris I Pathéon-Sorbonne et le cabinet d'avocats Cohen & Gresser. Avec une problématique d’application de la loi dans le temps entre deux dispositifs qui se juxtaposent.

D'un côté, l'article 6C du projet de loi qui, dans sa dernière version (1), conditionne l'entrée en vigueur de ce système d'alerte obligatoire à la publication d’un décret en Conseil d’Etat. De l'autre côté, l'article 8 de ce même texte qui prévoit un dispositif d'alerte interne similaire (2) dans le cadre du programme de compliance anti-corruption que devraient mettre en place les grandes entreprises, et ce six mois après la promulgation de la loi Sapin 2 (1). Que se passerait-il si, à cette date, le décret de l’article 6C n’est pas paru ?, se demande Bénédicte Querenet-Hahn. Cette question ne se poserait que pour les entreprises de plus de 500 salariés et dont le chiffre d’affaires est supérieur à 100 millions d’euros, seules visées par cet article 8. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Autre source d'incertitude, autour des données personnelles nécessairement collectées via ce système d’alerte. En plus d’une demande d’autorisation de la CNIL, l’entreprise devra informer individuellement chaque salarié concerné, lequel aura un droit d’accès et un droit d’opposition, rappelle l’avocate. Ce qui pose plusieurs questions : quand l'entreprise doit-elle informer le salarié ? Après l’enquête ? Et sur quoi porte son droit d’accès ? Sur l’ensemble de l’alerte ?, énumère-t-elle. Un timing très important pour mener à bien le traitement de l’alerte. A noter que le projet de loi Sapin 2 impose que les procédures mises en oeuvre pour recueillir les signalements garantissent la stricte confidentialité des informations. De plus, les éléments permettant d'identifier le lanceur d'alerte ne devraient pas être divulgués (sauf à l'autorité judiciaire), à moins qu'il y consente expressément. Et la confidentialité des personnes mises en cause par le signalement devrait être garantie jusqu'à l'établissement du caractère fondé de l'alerte.

Une difficulté supplémentaire est à prévoir pour les groupes de sociétés ayant des filiales à l’étranger, qui auront à "vérifier chaque législation nationale", souligne Bénédicte Querenet-Hahn. Rappelons dans le sens inverse que, depuis la loi Sarbanes-Oxley de 2002, les entreprises françaises réalisant des opérations avec les Etats-Unis doivent déjà constituer un système de contrôle interne qui inclut des dispositifs d’alerte.

Bref, de nombreuses précautions devront être prises. Le recueil des alertes devra respecter "différentes branches du droit", prévient l'avocate.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Ce recueil des signalements s’inscrit dans un objectif de meilleure protection des lanceurs d’alerte. Cependant, "l’entreprise doit faire attention à protéger tous les intervenants", avertit Bénédicte Querenet-Hahn. Dans le cadre d’un système de whistleblowing, elle doit protéger non seulement le lanceur d’alerte mais également elle-même, les salariés éventuellement incriminés par ce dernier ainsi que sa réputation, précise-t-elle. Car dès lors qu’une alerte est déclenchée, les entreprises sont souvent immédiatement "stigmatisées". "L’affaire des Panama Papers a jeté l’opprobre sur des gens qui n’avaient rien fait d’illégal [évasion fiscale, ndlr]", relève Bénédicte Querenet-Hahn. De même, un salarié accusé par un lanceur d’alerte "est fragilisé". La préoccupation première des entreprises est de "préserver la paix sociale", poursuit-elle. Celles-ci sont "favorables à recevoir des alertes [jusqu’à présent, la mise en place d’un système d’alerte est volontaire en France, ndlr] mais pas les règlements de comptes". Aujourd’hui, entre 1 à 3 alertes sont émises par an et par 1000 salariés, est-il précisé.

Le mécanisme de signalement de l’alerte fait par ailleurs débat. Selon la dernière version du projet de loi Sapin 2 (1), le lanceur d'alerte devrait s’adresser en premier lieu à son supérieur hiérarchique ou à un référent désigné par l’employeur. Ce n’est qu’en "l’absence de diligences" de la personne destinataire de l’alerte à vérifier sa recevabilité que le signalement pourrait être adressé à l'autorité judiciaire, à l'autorité administrative ou aux ordres professionnels. Toutefois, ces interlocuteurs extérieurs à l'entreprise pourraient être saisis directement en cas de "danger grave et imminent" ou en présence d'un risque de "dommages irréversibles". Et l'alerte pourrait être rendue publique.

Une gradation saluée par l’avocate Bénédicte Querenet-Hahn. "Je suis soulagée que la loi prévoit [d’abord] le recours au supérieur hiérarchique" car les salariés ne connaissent pas toujours les règles en la matière, estime-t-elle. Faisant référence aux possibles alertes infondées ou aux simples buzz. Mais cela ne vaut que pour le lanceur d’alerte qui émet un signalement sur un salarié ou un service commettant des malversations qui ne sont "pas systémiques pour l’entreprise", tempère-t-elle.

Pour Stéphanie Gibaud au contraire, "se confier à sa hiérarchie c’est se jeter dans la gueule du loup". La lanceuse d’alerte de la banque UBS se déclare favorable à une alerte en externe, "plus confortable". "S’adresser à une hotline serait la meilleure solution", estime-t-elle. En 2008, Stéphanie Gibaud s’est elle-même tournée vers un interlocuteur extérieur - l’inspection du travail - pour dénoncer les pratiques fiscales d'UBS AG (Suisse) avec la complicité d'UBS France pour laquelle elle travaillait. Cela ne l'a pourtant pas empêché d'être placardisée puis discriminée pour trouver un autre emploi... A noter que le projet de loi Sapin 2 prévoit d'introduire des sanctions contre les représailles de l'employeur.

Les mesures sur les lanceurs d'alerte et le programme de conformité ont été adoptées hier, en nouvelle lecture, par le Sénat.

(1) Selon le texte voté en nouvelle lecture par l'Assemblée nationale et le Sénat.

(2) Selon le texte voté en nouvelle lecture par l'Assemblée nationale, ces entreprises devraient notamment mettre en œuvre un "dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société". Le Sénat a adopté une rédaction plus large : le programme de conformité doit notamment comporter  "un dispositif d'alerte interne permettant le recueil de signalements émanant de salariés de la société, de ses filiales directes et indirectes ainsi que de ses clients et fournisseurs".