Lanceur d’alerte, comment limiter les risques ?

Par Table ronde animée par Ondine Delaunay et Lucy Letellier - Reportage photographique : Mark Davies

Après les Panamas papers, Cambridge Analytica, le Dieselgate ou encore Luxleaks, plus personne ne renie l’effet bénéfique des lanceurs d’alerte sur la société, soucieuse d’éthique et de compliance. La France a été parmi les premiers pays de l’Europe à conférer une protection aux individus qui signalent un manquement dans leur organisation, par la loi Sapin II. Mais dans le reste de l’Union européenne, les lanceurs d’alerte sont protégés de manière inégale. C’est pourquoi, le 7 octobre dernier, a été adoptée définitivement une directive permettant d’harmoniser la protection. Elle doit être transposée en droit interne d’ici deux ans. Quels changements entraîne-t-elle ? Comment les entreprises doivent s’y préparer ?

Participants à la table ronde : Jean-Baptiste Carpentier, Directeur de la Conformité, Véolia, Pierre Laporte, Associé, Governances, Marc Jany, Vice President & Global Head of Business Ethics & Compliance, Dassault Systèmes, Charlotte Grass, Responsable juridique, concurrence, conformité et réglementation, vice-délégué à l’éthique et à la conformité de Vallourec, Patrice Grenier, Associé, Grenier Avocats.

La définition du lanceur d’alerte en droit français

Pierre Laporte : Le lanceur d’alerte est la personne qui va remonter, en dehors du processus hiérarchique habituel, une information, ou des faits, qui exposent l’entreprise à un risque.

Marc Jany : La définition française est assez cadrée et ne se limite pas aux salariés. C’est une personne physique qui a connaissance de faits répréhensibles, y compris des infractions pénales, des violations ou menaces graves à l’intérêt général ou à la santé ou l’environnement et qui les signale, de manière désintéressée et de bonne foi. La directive européenne élargit ces critères.

Charlotte Grass : La directive européenne a un champ d’application plus large que la loi Sapin II qui vise les salariés et travailleurs occasionnels. Elle permet la protection de lanceurs d’alerte tiers à l’entreprise tels que les personnes travaillant pour des cocontractants, des sous-traitants, fournisseurs, ou même des anciens salariés.

Patrice Grenier : La définition issue de la loi Sapin II semble simple. Mais le critère le plus important et qui pose souvent difficulté est celui de la bonne foi et du désintérêt pour qualifier juridiquement le statut du lanceur d’alerte.

Charlotte Grass : Effectivement, la notion de bonne foi participe d’une définition plus stricte de la notion de lanceur d’alerte mais elle est compliquée à appréhender.

Jean-Baptiste Carpentier : J’ai une vision plus utilitariste de cette définition : le lanceur d’alerte est celui qui apporte une information sur un dysfonctionnement interne à l’entreprise. Il est plus utile pour l’entreprise d’avoir cette information directement, plutôt que de la laisser courir. Dans ce cadre, peu m’importe que le lanceur d’alerte soit de bonne foi ou pas. Je suis d’abord intéressé par l’information qu’il détient et que je veux obtenir le plus tôt possible pour pouvoir la traiter.

Pierre Laporte : Pourquoi vaut-il mieux que vous ayez cette information ?

Jean-Baptiste Carpentier : Mon rôle en tant que directeur de la conformité est de maîtriser les risques. Je considère qu’ils doivent être traités en amont et en interne et, de ce fait, les connaître me permet de les maîtriser.

Charlotte Grass : L’approche transsectorielle de la loi Sapin II (et de la nouvelle directive européenne) est perçue par les entreprises comme une évolution positive permettant aux entreprises de dimension européenne ou internationale de déployer des canaux de signalement uniformes favorisant la simplicité, la communication et donc améliorant la prévention des risques.

Jean-Baptiste Carpentier : On n’a pas attendu les mérites de la loi Sapin, ni les systèmes d’alerte institutionnels, pour recevoir des lettres sur le bureau du PDG ou des principaux cadres. Il y a de nombreux courriers d’informateurs qui sont envoyés, anonymes ou pas.

Pierre Laporte : La loi Sarbanes-Oxley de 2002 prévoyait déjà la mise en place de ligne d’alerte. Toutes les filiales françaises de groupes américains et les sociétés françaises cotées aux États-Unis avaient donc déjà mis en place ces systèmes il y a plus de 10 ans. Il existe des statistiques très intéressantes publiées par les entreprises qui mettent à disposition des systèmes d’alerte au niveau mondial. Elles démontrent qu’en général, les alertes concernent des problématiques de ressources humaines. Ensuite, ce sont les problématiques comptables et financières qui sont signalées : qualité de comptabilisation, qualité de préparation des comptes, etc. Les infractions les plus graves, qui relèvent du droit pénal, comme les fraudes ou la corruption sont rarissimes dans les alertes données lorsqu’on regarde les statistiques. Cela révèle l’utilité sociale du mécanisme, qui est, en réalité un baromètre de la vie quotidienne des entreprises.

Charlotte Grass : Effectivement, les cas qui remontent à plus de 80 % dans notre ligne d’alerte automatisée sont liés aux ressources humaines, à des différends mineurs entre salariés, des mésententes dans les équipes, etc

La protection du lanceur d’alerte

Marc Jany : Le lanceur d’alerte est quelqu’un qui notifie un trouble pour y mettre fin. Qu’il soit protégé ou pas est presque secondaire. Si le lanceur d’alerte est salarié, sa protection n’est pas la même suivant les pays. Dans certains États, comme l’Allemagne ou la France, les lanceurs d’alerte se manifestent moins spontanément à cause de freins culturels et historiques importants. Pour favoriser l’apparition d’informations qui, par définition, sont négatives, une dizaine de pays de l’Union européenne a choisi de réglementer la protection du lanceur d’alerte. En France, s’il est un salarié, la loi Sapin II interdit les représailles et le licenciement de l’informateur. La difficulté c’est quand le lanceur d’alerte est, lui-même, impliqué dans les faits dénoncés. S’il lance l’alerte pour se voir protéger d’un licenciement éventuel, la situation devient complexe. Il faut faire la part des choses.

Charlotte Grass : L’élargissement de la définition de lanceur d’alerte protégé risque de donner lieu à des difficultés pratiques pour les entreprises lorsque le lanceur d’alerte est un tiers par exemple. Si l’on prend le cas d’un fournisseur par exemple. Cela signifie que l’on ne peut pas résilier le contrat qui nous lie au fournisseur lanceur d’alerte ? C’est un sujet qui n’est pas traité dans la loi Sapin II mais la directive va ouvrir certaines questions pratiques.

Marc Jany : Dans cette situation, il faut savoir qui est protégé : la personne physique ou la personne morale tierce ?

Jean-Baptiste Carpentier : Il me semble que la question de la protection sur laquelle on s’est beaucoup focalisé dans les débats me paraît souvent mal posée. En pratique, on est principalement confronté à cette question pendant l’investigation, durant une période au cours de laquelle on ne sait pas si les faits sont avérés ou non. À l’issue de l’investigation, la question de la protection du lanceur l’alerte dépendra très largement des résultats de l’enquête et s’apprécie au cas par cas.

Marc Jany : L’entreprise investigue sur les personnes, sur les faits, et après, de manière subsidiaire, considère le rôle du lanceur d’alerte. Si aucun fait ne l’incrimine, il sera naturellement protégé et c’est bien dans l’intérêt de l’entreprise.

Pierre Laporte : Il me semble que l’on crée une confusion entre le mécanisme de la ligne d’alerte et la personne qui va l’utiliser, qui n’est pas nécessairement un lanceur d’alerte. La définition juridique du lanceur d’alerte n’est pas remplie à chaque fois qu’on utilise cette ligne. C’est un mécanisme indispensable aujourd’hui au fonctionnement des grandes organisations parce qu’il permet de traiter des sujets que le système hiérarchique et la verticalité de l’organisation ne permettent pas toujours de résoudre, tout simplement à cause de la pression sociale et hiérarchique. On fait fi du principe des modalités de fonctionnement habituel de l’entreprise, et dès lors il faut une protection. Dans certains cas, il s’agit bien d’un lanceur d’alerte qui remplit les conditions de la définition légale. Or je constate que les lanceurs d’alerte sont aujourd’hui toujours des victimes de l’alerte qu’ils ont donnée. Ce sont tous des gens qui sont bannis du corps social, au point que les ONG (Transparency International, Anticor ou les autres) ont créé une maison du lanceur d’alerte pour protéger ces victimes du système « corporate ». Je pense qu’il est donc extrêmement dangereux d’être lanceur d’alerte et c’est même la dernière chose que je conseillerai à quelqu’un. Je n’essaierai pas de remplir les conditions de la loi, je ferai en sorte que les faits soient connus d’une façon ou d’une autre, mais sans réclamer le bénéfice de la protection qui s’il est utile et même indispensable, reste aléatoire.

Jean-Baptiste Carpentier : Toute information qui passe sur la ligne d’alerte n’est pas nécessairement une alerte au sens juridique du terme. Il n’en reste pas moins que l’intérêt de l’entreprise est de favoriser cette remontée de l’information et donc de rendre le système d’alerte aussi attractif que possible. Les personnes doivent avoir confiance dans le système d’alerte car sinon elles iront vers les réseaux sociaux, vers la presse, etc. Ce qui est intéressant c’est que l’existence d’alertes est avant tout un signe de difficultés dans un établissement ou une entreprise, et ce quelle que soit la qualification juridique que l’on va donner au signalement.

Patrice Grenier : La qualification de lanceur d’alerte est en réalité subsidiaire. Ce qui est d’abord nécessaire, c’est la protection de l’informateur pendant le cours de l’enquête. En outre cette qualification est difficile à appréhender dès le départ pour l’entreprise.

Marc Jany : Le lanceur d’alerte revendique avant tout la confidentialité.

Patrice Grenier : C’est ce qui permet d’éviter les signalements anonymes.

Marc Jany : Dans un cas que j’ai eu à traiter, au fil des échanges avec un lanceur d’alerte anonyme, ce dernier a accepté de nous révéler son identité et de nous rencontrer afin de mieux traiter les informations qu’il nous apportait. Il a fallu le rassurer sur le fait que le processus d’enquête était mené par des professionnels sérieux et que son identité serait préservée.

Jean-Baptiste Carpentier : C’est du cas par cas. Certains lanceurs d’alerte annoncent que le caractère anonyme de l’information les importe peu. Il n’est d’ailleurs pas rare que l’information envoyée par la ligne d’alerte vienne s’ajouter à un signalement hiérarchique.

Les paliers de signalements prévus par la loi Sapin II

Charlotte Grass : Les entreprises on fait des efforts considérables pour mettre en place des systèmes de remontée des alertes afin de détecter et prévenir des cas de corruption. Il est important que le lanceur d’alerte respecte une procédure graduée et sécurisé permettant l’anonymat à charge pour l’entreprise de respecter ses diligences en matière de délais de traitement ! Il est donc indispensable que les salariés aient confiance dans les lignes d’alerte interne et donc dans les canaux de signalement. L’entreprise doit réagir vite, d’abord à travers un accusé de réception de l’alerte puis en informant l’informateur dans des délais raisonnables du traitement du cas.

Patrice Grenier : Évidemment l’entreprise dit qu’elle est en train de mener une enquête mais certains informateurs reviennent parfois à la charge pour demander les résultats et les mesures prises. Il est indispensable de pouvoir tenir cette personne informée de l’avancée de l’enquête. Le délai raisonnable visé par la loi ne doit pas dépasser les trois mois.

Marc Jany : Il est essentiel d’accuser réception dans un délai très court pour assurer la personne que son signalement sera traité sérieusement. Le lanceur d’alerte ne voit pas toujours les résultats de l’enquête et les mesures correctrices prises par l’entreprise. Les enquêtes peuvent prendre du temps et, d’une certaine façon, frustrer l’informateur. Le lanceur d’alerte intervient souvent plusieurs fois, il y aura souvent une série d’échanges avec lui, même s’il est anonyme.

Jean-Baptiste Carpentier : Il y a un côté parfois un peu frustrant pour le lanceur d’alerte qui peut avoir l’impression de livrer un dossier complet. Mais c’est rarement le cas : il évoque des faits qui doivent être vérifiés par l’entreprise laquelle, par principe, a des moyens limités. Ce n’est pas la police ! L’investigation interne a ses limites, notamment dans le cas des conflits d’intérêts, extrêmement difficiles à vérifier au niveau d’une entreprise. Quand on annonce qu’un acheteur a des intérêts avec le fournisseur, l’entreprise ne peut pas avoir accès à leurs comptes bancaires, ni vérifier ce qui se passe entre eux pendant leurs vacances.

Marc Jany : L’informateur a donc intérêt à donner le maximum d’informations concrètes. Facilitez-nous la tâche, donnez-nous des preuves !

Pierre Laporte : Il me semble qu’il y a une distinction à faire entre les faits qui sont une infraction au fonctionnement normal d’une entreprise et que celle-ci souhaite corriger, cas le plus fréquent et la situation où l’entreprise est systémiquement délinquante. Lorsque ce qui est reporté est la façon dont l’entreprise fonctionne, par exemple une organisation corruptive connue de la direction ou un système de fraude organisé, le système d’alerte ne vaut rien.

Jean-Baptiste Carpentier : Cela sous-entendrait que le comportement délictueux soit supporté au plus haut niveau de l’entreprise. C’est rare.

Patrice Grenier : Mais cet exemple peut entraîner une discussion sur la gouvernance. Un membre du service compliance ne doit-il pas être protégé lui-même vis-à-vis de la direction exécutive ?

Pierre Laporte : Je crois qu’en France, le problème de la compliance est qu’elle est souvent assise sur une gouvernance déficiente.

Patrice Grenier : Il faut de toute façon être imaginatif pour promouvoir concrètement une plus grande indépendance de la compliance. Cela peut se faire par exemple par un accès facile de celle-ci au comité d’éthique d’un conseil d’administration.

Marc Jany : Tout dépend du profil de risque de l’entreprise, de sa culture et de la façon dont elle considère la compliance. Dans les entreprises plus exposées aux risques éthiques et où les comités des conseils d’administrations ont l’habitude d’être plus opérationnels, cela peut s’envisager. Mais dans d’autres entreprises, une telle pratique n’est pas nécessaire.

Les changements prévus par la directive européenne

Charlotte Grass : La directive européenne encourage l’alerte interne mais ne reprend pas les conditions strictes de la loi Sapin II sur les possibilités d’alertes aux autorités administrative ou judiciaire.

Marc Jany : C’est l’un des effets potentiellement négatifs de cette directive. L’entreprise peut théoriquement se retrouver en porte-à-faux, en raison d’une information qu’elle n’a pas alors que l’Autorité réglementaire, elle, a reçu l’alerte. Cette dernière peut alors lancer une enquête avant même d’en informer l’entreprise, voire même peut saisir le procureur. Ce décalage peut obérer sa capacité à gérer le dossier et à se défendre. L’enjeu est la réputation de l’entreprise.

Jean-Baptiste Carpentier : Je ne suis pas très inquiet. Bien sûr, je regrette la directive qui lance un mauvais message de défiance vis-à-vis de l’entreprise. Ceci me paraît guidé par une approche extrêmement théorique et un peu naïve de la question du lanceur d’alerte. Force est néanmoins de constater que toutes les entreprises et toutes les structures vivent, depuis plusieurs années, avec l’idée qu’un lanceur d’alerte peut aussi bien s’adresser à l’organisation interne qu’à l’extérieur, par exemple en envoyant une lettre au Procureur. Il existe des organismes qui reçoivent des dizaines de signalements chaque jour… À l’heure des réseaux sociaux et de tout ce que la technologie offre, il serait irresponsable pour une entreprise de considérer que la loi Sapin II et ses paliers obligatoires la protègent d’un signalement directement adressé au Procureur ou à n’importe qui d’autre. J’estime que l’on théorise beaucoup cette question et qu’il faut être avant tout pragmatique.

Patrice Grenier : L’entreprise doit ensuite lancer son enquête interne, prendre les mesures, et éventuellement des sanctions. Mais la directive impose une information spécifique au lanceur d’alerte ce qui est nouveau par rapport à la loi Sapin II. On doit désormais l’informer, mais selon quelles modalités et avec quelle protection pour l’entreprise ?

Pierre Laporte : Il faut protéger l’identité et la confidentialité des personnes mises en cause dans le cadre des alertes. Donc tout ne peut pas être dit au lanceur d’alerte. Il faut peut-être lui donner un résultat global, lui dire que des mesures ont été prises, c’est délicat.

Jean-Baptiste Carpentier : Dans les lancements d’alerte, il y a souvent des mesures organisationnelles qui sont prises, des process qui peuvent être expliqués. Il n’est peut-être pas utile – ni surtout possible - d’entrer dans les détails de tout, mais là encore je n’arrive pas à être très inquiet de cette situation. Ma conviction c’est qu’on ne va pas changer le monde avec cette directive. Je crois que c’est un continuum des évolutions qui devraient s’imposer de toute façon un jour ou l’autre.

Limiter les risques

Pierre Laporte : Ce nouveau mécanisme est extrêmement violent. Très efficace, mais violent.

Il faut rappeler les raisons pour lesquelles ces institutions ont été mises en place. Il y a eu dans quelques cas limités, des dérives de grands groupes, qui ont violé la loi tout en nuisant aux intérêts d’autres entreprises et à l’intérêt collectif à travers, notamment, des fraudes fiscales ou financières. Il n’est pas inutile de rappeler que ce sont des situations extrêmes qui ont donné lieu à la généralisation de mécanismes, d’institutions et de concepts qui à l’origine sont destinés à des cas exceptionnels. Pour ma part, je reste très réservé sur la notion de lanceur d’alerte et sur la protection des lanceurs d’alerte. Je considère que ces protections indispensables sont finalement limitées, parce que l’institution est toujours plus forte que l’individu. J’ai travaillé dans des industries de projet pendant presque 20 ans et j’ai assisté à la mise en place du système d’alerte dans ces très grands groupes et notamment à la mise à disposition de fournisseurs et des concurrents. Et on ne s’est jamais privés d’utiliser les alertes des concurrents, avec l’accord de la direction générale évidemment, et quelquefois, même, à la demande de celle-ci. Et c’est un mécanisme extrêmement perturbateur qui vient remettre tout en cause. Par exemple, à l’occasion d’un important appel d’offres, lorsqu’un chef de chantier, depuis le Bangladesh où vous êtes en train de construire une usine, appelle en Allemagne pour dire que des commissions occultes sont payées et qu’il fournit quelques éléments constituant une forme de commencement de preuve, cela oblige à mettre un audit en place, à faire une enquête, à vérifier. Aujourd’hui c’est évidemment en place dans tous les référentiels de lutte contre la corruption (Banque mondiale, UK Bribery Act, FCPA, loi Sapin 2, etc.). Ce mécanisme me semble être le mécanisme le plus puissant aujourd’hui, dans la vie économique et dans les interactions entre les entreprises et avec les autorités de contrôle et de régulation. Si l’on a connaissance que les pratiques de l’entreprise ne respectent pas les règles et que son comportement est déloyal, celle-ci risque que cette situation soit reportée à une instance gouvernementale ou de contrôle et donc au prononcé de sanctions.

Jean-Baptiste Carpentier : Je ne peux que confirmer. Il faut partir du principe que tout est enregistrable, tout est filmable et qu’il est devenu quasiment impossible de protéger une confidentialité quelconque.

Patrice Grenier : Pour limiter le risque, l’entreprise doit être dans une forme d’accompagnement du lanceur d’alerte. Il ne faut pas être naïf, et se dire que c’est une manière de traiter le problème de manière confidentielle. Dans de nombreux signalements, l’informateur indique souvent qu’il signale en parallèle le problème à l’extérieur, parfois directement à l’AFA. Il faut considérer, dès lors qu’il y a eu un signalement interne, que d’autres personnes sont aussi potentiellement informées et que l’entreprise, même si elle traite le problème, n’est pas à l’abri d’une investigation venant de l’extérieur. La meilleure façon de prévenir ce risque c’est d’avoir une fonction conformité et une gouvernance aussi crédible que possible. Il faut rendre le système interne de prise en compte de l’alerte aussi attractif que possible et créer la confiance.

Pierre Laporte : À partir du moment où l’entreprise respecte les règles, elle minimise quand même les risques. Ce n’est pas forcément très populaire auprès d’un certain nombre de dirigeants français. Nombre d’entre eux comprennent la compliance comme une restriction et comme une contrainte, mais ce sont simplement les règles du jeu. Et dans le jeu économique, il ne semble pas anormal qu’il y ait des règles.

La conservation des données

Jean-Baptiste Carpentier : La responsabilité du compliance officer au regard du droit des données personnelles questionne. Nous sommes par exemple tenus d’effacer les alertes qui n’ont pas été confirmées, à l’issue d’un délai extrêmement bref. Il s’agit d’une vision très théorique car dans les faits, une alerte est rarement confirmée ou infirmée : nombre d’alertes restent entre les deux, faute d’éléments probants dans un sens ou dans l’autre. Or le compliance officer engage sa responsabilité quant à la qualité des investigations mises en œuvre et doit pouvoir en justifier. Si le compliance officer reçoit une alerte qu’il efface au bout de deux mois faute d’éléments, mais que cinq ans après, un officier de police judiciaire lui apporte la copie de l’alerte en lui reprochant de n’avoir rien fait, le compliance officer aura besoin de prouver qu’il a agi. Mais comment s’il n’y a plus d’élément ? Il y a un vrai problème d’adaptation des réglementations.

Charlotte Grass : Que pensez-vous de l’anonymisation, c’est-à-dire conserver l’objet et les faits d’une une alerte tout en en effaçant le nom des protagonistes ?

Jean-Baptiste Carpentier : Si l’anonymisation est bien faite, vous ne pouvez pas retrouver l’alerte et le problème est le même. Au début on a de la mémoire, mais cinq à six ans après les faits, c’est impossible. Je pense qu’une solution acceptable pourrait être par exemple de confier les alertes et les données relatives à leur traitement à un tiers de confiance qui les conserverait sur une durée longue, tout en s’interdisant tout accès à ces données sauf motif légitime.

Ce sujet est vraiment important car nous engageons notre responsabilité. Le compliance officer destinataire d’une information doit la traiter et doit être en mesure de le faire avec les très modestes moyens que lui donne l’entreprise et de manière raisonnablement proportionnée.

Marc Jany : C’est en effet un débat qui n’est pas vraiment tranché. Mais il existe des exceptions à la réglementation relative au traitement des données comme l’intérêt légitime ou l’obligation légale. Il y a tout de même des arguments qui n’ont pas été testés, pour dire que le traitement d’informations personnelles dans le cadre notamment du lancement d’alerte, répond à un intérêt légitime ou à une obligation légale. On verra si c’est aussi l’avis de la CNIL, et éventuellement des tribunaux qui auront à trancher de ces obligations contradictoires.

Jean-Baptiste Carpentier : La question n’est pas tellement celle du traitement des données. La question est celle de la conservation des données et, sur ce point, la position de la CNIL ne semble pas ouvrir de marges de manœuvre.

Patrice Grenier : Le problème, ce sont les e-mails. Car même si on anonymise le fichier, le problème n’est traité par personne au niveau des boîtes mail des salariés.

Jean-Baptiste Carpentier : Lorsqu’une investigation est menée, il me semble qu’il est prudent d’être en mesure de pouvoir justifier, même plusieurs années après de ce qui a été fait et plus largement de la qualité du processus au regard des informations disponibles et des possibilités juridiques. Il existe trop de situations où peut reconstruire, en toute bonne foi, un scénario erroné, à partir de fragments d’informations. Pour apporter des contre-arguments, il faut pouvoir conserver la traçabilité des investigations.

Patrice Grenier : C’est aussi une difficulté pour l’avocat dans son rôle de conseil.

Charlotte Grass : Certains systèmes d’alerte contiennent des « dialogues box » entre le lanceur d’alerte et l’entreprise mais également entre les membres de l’entreprise en charge de l’enquête. Ainsi, les différents échanges concernant l’enquête interne ne passent plus par les e-mails. Il y a ainsi une confidentialité renforcée.

Jean-Baptiste Carpentier : Sur ce sujet-là comme d’ailleurs sur d’autres sujets de conformité, il y a un effort à faire pour mieux mettre en cohérence le droit de la protection des données personnelles et les problématiques de conformité. La balance des enjeux et des contraintes doit être faite.