Bien que son utilisation varie en fonction de la taille, de la nature, de la complexité et de la juridiction des activités de chaque entreprise, la directive peut aider une entreprise à améliorer sa politique et ses procédures existantes de lancement d’alerte, ou à se conformer à la législation applicable en matière de signalement.
Contrairement à la directive de l’UE sur la protection des lanceurs d’alerte (directive 2019/1937) qui oblige les États membres de l’UE à la transposer dans leur législation nationale d’ici la fin de 2021, les entreprises peuvent adopter la norme ISO 37002 comme directives autonomes ou encore avec d’autres normes de système de gestion de la conformité (IS0 37301).
Nous nous sommes réunis virtuellement avec les membres du groupe de travail et les initiateurs Wim Vandekerckhove (professeur d’éthique des affaires à l’Université de Greenwich) et Andrew Samuels (PDG de WislPort) pour discuter de ce que couvre la norme, de ce qu’elle ne couvre pas et du public visé.
1. Pourquoi avez-vous jugé nécessaire d'instaurer une norme ISO pour les canaux de signalement ?
Wim Vandekerckhove (WV): Il existait déjà un certain nombre de normes et de directives nationales, par exemple en Australie, en Grande-Bretagne, au Japon, au Canada et en France. Lorsque nous les avons comparées, elles ne se contredisaient pas nécessairement, mais chaque ensemble de directives avait ses propres lacunes, ses propres particularités et caractéristiques. Il était par conséquent logique de créer une norme internationale.
Andrew Samuels (AS): Le moment était bien choisi car nous avons assisté à beaucoup de scandales au cours de la dernière décennie. Les entreprises commencent à prendre conscience de la nécessité de disposer de canaux internes permettant aux personnes de signaler des comportements répréhensibles en toute sécurité et avec précision. Sur les réseaux sociaux, il est beaucoup plus facile pour les gens de s’exprimer et de diffuser des messages préjudiciables qui auraient pu ou dû être traités en interne. Une norme internationale fournit également un cadre commun à toutes les régions et à toutes les instances réglementaires, ce qui s’avère particulièrement nécessaire compte tenu du nombre d’entreprises qui opèrent désormais au niveau mondial.
2. Comment la norme ISO 37002 peut-elle renforcer l'acceptation et l'intérêt pratique du lancement d'alerte ?
AS: Je pense qu’elle fera comprendre aux entreprises que mettre en place un programme de lancement d’alerte efficace n’est pas une tâche onéreuse et qu’elles n’auront plus d’excuses pour ne pas le faire. Ce fut le cas avant dans d’autres domaines, comme la santé et la sécurité. Il faut du temps pour que les gens comprennent les avantages et que les mentalités évoluent. L’existence d’une norme mondiale dans ce domaine ouvre la voie à un mode de gestion efficace des programmes de lancement d’alerte dans les entreprises. Une norme mondiale facilite leur acceptation et les banalisent.
WV: La qualité des dispositifs d’alertes internes proposés par les entreprises varie énormément. Certaines entreprises réalisent un travail formidable. D’autres n’en veulent absolument pas. Mais la majorité sont motivées pour y arriver. Elles en perçoivent l’intérêt et doivent également satisfaire aux exigences fixées par la législation. Ces entreprises disent souvent qu’elles n’ont pas accès aux bonnes pratiques. C’est là que l’apport de la norme ISO peut être très utile.
3. Le respect de la norme ISO 37002 garantit-il l'efficacité d'un dispositif d’alertes interne ?
WV: Il existe apparemment un mythe selon lequel plus le nombre de personnes signalant des actes répréhensibles augmente, plus l’activité s’améliore. Je pense que c’est une vision très incomplète car l’essentiel n’est pas que les gens signalent les actes répréhensibles mais que ces alertes soient gérées efficacement. Si ce n’est pas le cas, le salarié à l’origine de l’alerte risque d’être démotivé, les actes répréhensibles de s’aggraver et les scandales d’éclater. Tout l’intérêt de la norme ISO concerne en fait le mode de gestion des alertes professionnelles par les entreprises. C’était la pièce manquante du puzzle.
AS: Avoir un dispositif d’alertes interne, c’est comme posséder une voiture très puissante. Entre de mauvaises mains, c’est dangereux, mais entre de bonnes mains, c’est un outil fantastique. La norme ISO 37002 vous indique comment paramétrer avec précision votre dispositif, comment le conduire en toute sécurité, quand freiner, quand accélérer, quand regarder sous le capot pour vous assurer que le moteur tourne toujours, car, comme dans tous les domaines de la vie, vous devrez remplacer des pièces à un moment ou à un autre pour assurer son bon fonctionnement.
4. Quelles sont les similitudes et les différences entre la nouvelle norme ISO 37002 et la directive européenne ?
WV: La directive européenne stipule que vous devez disposer d’une politique de lancement d’alerte interne et de canaux de signalement confidentiels. La norme ISO apporte des conseils sur l’exploitation à proprement parlé du dispositif d’alertes interne et sur les bonnes pratiques.
AS: Exactement, je ne dirais pas qu’elles sont différentes mais plutôt complémentaires. La directive européenne mentionne en fait trois canaux de signalement qui protègent les lanceurs d’alerte – en interne, auprès d’un régulateur ou auprès des médias. Mais en général, les entreprises préfèrent que les gens s’expriment d’abord en interne. En suivant la norme et en mettant en place un canal de signalement qui inspire confiance, les gens se sentiront en sécurité pour parler d’abord en interne plutôt que de s’adresser à un régulateur ou aux médias. En suivant la norme ISO 37002, les entreprises ne se contenteront pas de respecter à la lettre les dispositions de la directive européenne, mais suivront également son esprit.
5. La nouvelle norme sera-t-elle certifiée, à l'instar de l'ISO 37301 ou de l'IDW PS 980 ?
WV: Pas pour l’instant, bien qu’elle puisse facilement être utilisée en conjonction avec les normes anti-corruption et de conformité qui sont toutes les deux des normes de certification. La norme sur le lancement d’alerte est rédigée sous forme de guide. Il est possible qu’un régulateur dans un pays donné décide d’intégrer certains éléments de la norme et de les rendre obligatoires. Mais la décision ne viendra pas du groupe de travail ni de l’ISO.
6. La norme est-elle uniquement destinée aux grandes entreprises ou convient-elle également aux PME ?
AS: Je dirais que les petites et moyennes entreprises peuvent aussi la respecter. On constate souvent que les petites entreprises n’ont pas mis en place de dispositif d’alertes interne notamment parce qu’elles pensent qu’il est difficile à mettre en place et à maintenir. La norme est non prescriptive, ce qui la rend assez simple pour les entreprises.
Les PME sont particulièrement à risque en la matière, car les entreprises de plus de 50 salariés seront soumises à la directive sur la protection des lanceurs d’alerte d’ici 2023 et sont donc dans l’obligation d’agir. Mais la difficulté quand on agit, c’est que si on se trompe, on s’expose à davantage de risques. La norme ISO 37002 peut vraiment fournir de bons retours et une grande protection.
7. Quelle est la position de la norme ISO 37002 sur les alertes anonymes ?
AS: L’anonymat est un sujet brûlant et chaque pays a une perspective différente. La norme n’impose pas un avis car elle se veut non prescriptive. Nous mettons en lumière toutes les options possibles mais, en fin de compte, nous laissons le choix aux entreprises.
WV: Il est important de souligner que la norme ISO ne se substitue pas à la législation. Au final, les entreprises doivent faire preuve de réalisme. Même si une entreprise annonce qu’elle n’acceptera pas les alertes anonymes, cela ne signifie pas que les gens n’en enverront pas ! Et s’il s’agit d’une bonne information, il n’est peut-être pas judicieux d’ignorer cette alerte.
8. Pourquoi les lanceurs d'alerte sont-ils importants pour les entreprises et pourquoi faut-il créer des canaux de signalement ?
WV: Les lanceurs d’alerte constituent des systèmes d’alerte précoce pour les entreprises. Quand on observe les rapports de l’ACFE, ils indiquent que les alertes internes sont en fait le moyen le plus efficace pour les entreprises d’identifier la fraude.
AS: Nous pensons que les lanceurs d’alerte constituent la première ligne de défense de toute entreprise, car ils sont les yeux et les oreilles sur le terrain. Ils détectent les choses beaucoup plus tôt que ne le ferait un système informatisé et ils repèrent des choses que les algorithmes ne perçoivent pas, comme les comportements douteux. Par conséquent, les taux de corroboration des alertes qui passent par les canaux de signalement sont assez élevés. Les systèmes de détection des fraudes, quant à eux, peuvent atteindre des taux de faux positifs de 99,96 %. En ce qui concerne le retour sur investissement, les entreprises dotées de systèmes d’alerte efficaces enregistrent en moyenne une augmentation de 2,8 % du rendement des actifs, une réduction de 20,4 % des arrangements et une diminution de 6,9 % des poursuites importantes (selon la George Washington School of Business).
En savoir plus :
- Webinaire : « ISO 37002 – Quel peut être l'avantage de cette nouvelle norme pour le programme d'alerte de votre entreprise ? » | 10 juin 2021 (rediffusion disponible)
- Site officiel de la norme ISO 37002:2021
- Les normes ISO les plus populaires
- Norme ISO 37301 – Ce que les entreprises doivent savoir sur la norme CMS (Compliance Management System)
Transposition de la directive européenne sur la protection des lanceurs d’alerte en droit français
Télécharger gratuitement le livre blanc en collaboration avec KPMG Avocats.
A propos des partenaires d'interview
Andrew Samuels, PDG | WislPort
Andrew Samuels, fondateur et PDG de WislPort, est largement reconnu comme un leader d’opinion dans les opérations de lancement d’alerte. Commentateur régulier dans les médias sur le lancement d’alerte, Andrew a apporté son expertise à l’Office des Nations Unies contre la drogue et le crime (ONUDC), au Comité international olympique (CIO), au groupe parlementaire britannique multipartite sur le lancement d’alerte et au symposium de Cambridge sur la criminalité économique, entre autres engagements dans les secteurs privé, caritatif et public.
Depuis 2016, il est activement impliqué en tant qu’expert en la matière auprès du British Standards Institute (BSI) sur le lancement d’alerte et depuis 2017, il représente le BSI auprès de l’Organisation internationale de normalisation (ISO) pour la norme ISO37002, la norme internationale pour les systèmes de gestion des alertes, jouant un rôle-clé dans le développement de cette norme mondiale.
Avant de fonder WislPort, Andrew a accumulé plus de 20 ans d’expérience dans la mise en œuvre de programmes complexes à grande échelle dans les secteurs des services financiers, des télécommunications et des médias au Royaume-Uni, en Amérique du Nord et en Asie-Pacifique, se spécialisant au cours de la dernière décennie dans les programmes de réglementation et de conformité, y compris le lancement d’alerte, la lutte contre le blanchiment d’argent et la criminalité financière.
Professeur Wim Vandekerckhove, Professeur d’éthique des affaires | Université de Greenwich
Wim Vandekerckhove est titulaire d’un doctorat en éthique appliquée de l’Université de Gand. Il est aujourd’hui professeur d’éthique des affaires à l’Université de Greenwich. Il a été chercheur invité à l’université d’Oslo (Centre for Development and the Environment SUM) en 2007 et chercheur invité à l’université Griffith (Centre for Governance and Public Policy) en 2020.
Il a notamment publié Whistleblowing and Organisational Social Responsibility (Ashgate/Routledge) et The Whistleblowing Guide : Speak-Up Arrangements, Challenges, and Best Practices (2019, Wiley, avec Kate Kenny et Marianna Fotaki).
Wim a apporté son expertise en matière de lancement d’alerte à diverses organisations, dont le Conseil de l’Europe, la DG Justice de la Commission européenne, Transparency International, Public Concern at Work, Public Services International, le Whistleblower Advice Centre aux Pays-Bas, le ministère britannique de la santé, la Financial Conduct Authority britannique, le British Standards Institute, l’Association of Chartered and Certified Accountants (ACCA), l’UNODC et le Comité international olympique (CIO). Il anime actuellement un groupe de travail au sein de l’Organisation internationale de normalisation (ISO TC309/WG3), qui élabore la norme internationale relative aux dispositifs d’alerte.
Wim est également codirecteur du Centre de recherche sur l’emploi et le travail (CREW) à l’université de Greenwich et rédacteur en chef de Philosophy of Management (Springer).