Pourquoi l’e-mail est un canal de signalement risqué

Trois raisons pour lesquelles une adresse e-mail ne doit pas être le seul canal de signalement proposé par les entreprises
Sabine Stöhr
En bref

Lorsque les entreprises décident de mettre en place leur dispositif d’alerte interne, elles sont nombreuses à opter pour une simple adresse e-mail, cette solution étant à la fois rapide et peu coûteuse à mettre en place. Cependant, le choix d’un e-mail comme canal de signalement vous expose à plusieurs risques, notamment du point vu de la sécurité, qui pourraient avoir des conséquences négatives pour votre entreprise et vos employés. C’est pourquoi l’adresse e-mail ne devrait pas être le seul canal de signalement proposé à vos salariés.

Voici trois raisons pour lesquelles l’e-mail n’est pas un dispositif d’alerte efficace et peut entrer en contradiction avec les exigences de la loi Sapin 2.

email-reporting-channel

Raison 1 : Vos données sont exposées à des risques élevés en matière de sécurité et de protection des données

Lorsqu’un lanceur d’alerte signale un comportement contraire au code de conduite de l’entreprise, des données personnelles sensibles sont traitées. Les e-mails disposent rarement d’un mécanisme de cryptage.

Le décret d’application de la loi Waserman a précisé les obligations en matière de confidentialité dans le recueil de l’alerte. L’intégrité et la confidentialité des informations fournies par le lanceur d’alerte doivent être garanties. Or un e-mail peut facilement être non seulement lu par des personnes malintentionnées mais aussi modifié. Par conséquent, ni la transmission ni le traitement ultérieur des alertes ne constituent une piste d’audit irréfutable, et l’intégrité des données est menacée. Cela risque d’invalider l’information aux fins d’enquêtes internes et externes. En outre, le choix d’un e-mail vous met également en risque au vu du RGPD (Règlement Général sur la Protection des Données), puisque les exigences en matière de sécurité des données (article 32) ne sont pas respectées. Cela nécessiterait que les informations sensibles soient stockées dans un centre de données de haute sécurité, ce qui n’est que rarement le cas avec le courrier électronique.

 

Raison 2 : Vos employés ne font pas confiance au système mis en place

Il est essentiel que les personnes pouvant utiliser le dispositif d’alerte interne aient confiance en son efficacité et ses garanties de sécurité afin de permettre à toutes les alertes pertinentes de remonter. Un enjeu d’autant plus important que la loi Waserman met fin à la hiérarchie des canaux d’alertes. Désormais, le lanceur d’alerte a l’opportunité de choisir entre le signalement interne et le signalement externe.   

Pour cette raison, les salariés doivent être convaincus à 100% de la sécurité du système et du traitement confidentiel de leurs signalements. Dans le cas contraire, les potentiels lanceurs d’alerte risquent de se censurer en interne et parfois se tourner vers des canaux de signalement externes tels que les autorités compétentes, le Défenseur des droits ou un organe européen compétent. Les résultats d’une étude menée par EQS Group en collaboration avec la Haute Ecole spécialisée des Grisons (Suisse) soulignent ces liens : les organisations disposant d’un canal de signalement spécialisé, comme par exemple une plateforme digitale de recueil et de traitement des alertes professionnelles, sont plus susceptibles de recevoir des alertes pertinentes que les entreprises disposant d’une adresse e-mail comme canal de recueil des signalements. De plus, l’étude a montré que la possibilité de signaler de façon anonyme un comportement contraire au code de conduite de l’entreprise augmente également la probabilité qu’un employé ait recours à un système d’alerte éthique.

 

Raison 3 : On ne peut pas traiter les cas efficacement

En plus du manque de sécurité et de confiance de vos employés, l’utilisation de l’e-mail comme canal de recueil des signalements conduit à une situation ingérable dans le traitement de ces alertes. Les gestionnaires de cas, si tant est qu’il y en ait, doivent saisir toutes les données manuellement. Cependant, de nombreuses entreprises proposant un système de courrier électronique ne disposent d’aucun gestionnaire de cas et, par conséquent, il n’y a aucune vue d’ensemble des alertes. Cela signifie qu’il devient très difficile d’enquêter efficacement sur un incident et que, souvent, les lanceurs d’alerte ne reçoivent pas ou peu de réponses concernant leur rapport. Hors la loi Sapin 2 et cela se confirme avec les modifications apportées par la loi Waserman, exige des entreprises une réactivité importante face au lancement d’une alerte : 7 jours pour accuser de réception du signalement et 3 mois pour informer le lanceur d’alerte du traitement de son signalement.

Alternative à un système de signalement e-mail

Il existe cependant une alternative simple à ce système, conforme aux exigences légales et garantissant la protection des lanceurs d’alerte. Mettez en place une plateforme digitale de recueil et de traitement des alertes. Ainsi, toutes les communications avec le lanceur d’alerte sont cryptées et stockées dans des centres de données hautement sécurisés. Les exigences légales en matière de protection et de sécurité des données sont satisfaites, de même que les exigences de protection de la confidentialité des lanceurs d’alerte.

Vos employés feront confiance au système et signaleront d’éventuelles atteintes à l’intégrité sans crainte et de manière anonyme, s’ils le souhaitent. En outre, la gestion intégrée des alertes vous permet de les traiter efficacement et vous donne une vue d’ensemble détaillée de tous les dossiers.

Ces dernières années, les limites de la hotline téléphonique et de l’e-mail sont devenues plus évidentes et ces canaux de signalement fonctionnent mieux quand les alertes reçues sur ces derniers sont directement intégrées à une plateforme digitale de recueil et de traitement des alertes. Cela permet aux équipes de conformité de traiter les alertes provenant de plusieurs canaux en un seul endroit avec des normes de sécurité nettement plus élevées, tout en maintenant l’ensemble du dispositif d’alerte interne digital conforme à aux lois en vigueur telle que le RGPD et la loi n°2022-401 du 21 mars 2022.

 

La protection des lanceurs d’alerte en entreprise : 

Comment mettre en place un dispositif d’alerte interne efficace ?

Partagez cet article sur:

Sabine Stoehr contact image | integrityline.com
Sabine Stöhr
Senior Product Manager | EQS Group
En tant que chef de produit senior pour EQS Integrity Line Sabine est experte dans la mise en œuvre de dispositifs d’alertes internes. Elle est basée dans notre bureau de Zurich.