Check-list : Votre entreprise est-elle prête pour la nouvelle directive Européenne relative à la protection des lanceurs d’alerte ?

Si votre organisation emploie 50 personnes ou plus, elle est tenue de mettre en application le nouvelle directive Européenne relative à la protection des lanceurs d’alerte. Dans ce blog, nous allons vous aider à déterminer les mesures que vous devrez prendre afin de vous conformer à la directive de protection des lanceurs d’alerte.

L’objectif de cette directive est de protéger, au sein de l’Union européenne, les lanceurs d’alerte qui signalent les fautes professionnelles dont ils ont eu connaissance sur leur lieu de travail et d’encourager plus de personnes à le faire. Les lanceurs d’alerte peuvent jouer un rôle déterminant en détectant et en révélant des faits de corruption et autres activités illégales, frauduleuses et répréhensibles.

Check-list : assurez-vous de la conformité de votre dispositif avec la directive Européenne de protection des lanceurs d’alerte

Avez-vous déjà un système de lancement d’alerte en place ?

OUI : c’est un bon début. Poursuivez avec la check-list des obligations légales ci-dessous.
NON : contactez WhistleB pour discuter de l’option de système de lancement d’alerte la plus adaptée à vos besoins.

Confidentialité de l’identité du lanceur d’alerte

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent comporter des canaux dédiés. Ces canaux sont conçus, mis en place et fonctionnent de manière sécurisée afin de préserver l’anonymat et/ou la confidentialité du lanceur d’alerte et de toute personne tierce mentionnée. L’accès aux informations contenues dans l’alerte par des membres du personnel non habilités est également prohibé.

1. Votre dispositif d’alertes professionnelles permet-il de préserver l’anonymat du lanceur d’alerte ?
2. Pouvez-vous ouvrir ce système à des intervenants tiers tout en protégeant également leur identité ?
3. L’anonymat est-il protégé tout au long du processus, depuis la déclaration jusqu’à l’archivage ou la suppression des alertes ?
4. L’accès à votre outils de gestion des alertes est-il correctement sécurisé avec, par exemple, une identification multifactorielle des membres du personnel ?
5. Des tests de vulnérabilité et d’intrusion sont-ils menés par des parties tierces ?

Délais de réponse

Ce que prévoit la directive : les procédures de signalement et de suivi des alertes doivent comporter un système d’accusé de réception qui sera envoyé au lanceur d’alerte dans les sept jours suivant la réception.

1. Votre dispositif d’alertes professionnelles permet-il d’envoyer un accusé de réception au lanceur d’alerte tout en préservant son anonymat ?
2. L’équipe en charge du traitement des alertes peut-elle être immédiatement avisée qu’un signalement a été reçu ?
3. Votre système peut-il s’adapter en cas d’augmentation du nombre de signalements ?
4. Êtes-vous en mesure de créer des messages de réponse standardisée ?
5. Disposez-vous d’une équipe ou d’une personne dédiée à la réception des alertes ?

Personnes à contacter

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent comporter la désignation d’une personne impartiale ou d’un service compétent pour assurer un suivi des signalements (…) qui maintiendra un dialogue ouvert avec le lanceur d’alerte et, le cas échéant, lui demandera des informations complémentaires ou l’informera en retour.

1. Avez-mis en place des ressources compétentes pour effectuer un suivi des signalements ?
2. Disposez-vous d’un système avec les ressources compétentes et pratiques nécessaires pour mener les investigations ?
3. Votre système vous permet-il d’ajouter les ressources compétentes nécessaires au cas par cas ?
4. Votre dispositif d’alerte permet-il l’accès à des experts externes en toute sécurité pour traiter les alertes ?

Suivi

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent inclure une description du suivi du signalement par la personne ou le service désignés, conforme aux lois nationales, indiquant un délai raisonnable pour répondre au lanceur d’alerte ainsi que pour donner suite à son signalement.

1. Disposez-vous d’un canal autorisant le lanceur d’alerte à ajouter des photos, vidéos, documents ou autres fichiers et qui supprime les métadonnées ?
2. Votre dispositif comprend-il un outil de gestion des alertes connecté à votre canal de signalement ?
3. Votre dispositif d’alertes permet-il un dialogue avec un lanceur d’alerte anonyme ?
4. Votre système permet-il la prise en charge de traduction confidentielle pour communiquer dans plusieurs langues ?

Communications et informations

Ce que prévoit la directive : Les procédures de signalement et de suivi des alertes doivent inclure des informations claires et facilement accessibles sur les conditions de déclarations externes auprès des autorités compétentes et, le cas échéant, auprès des institutions, organismes, bureaux ou agences de l’Union.

1. Fournissez-vous des informations claires et facilement accessibles aux employés sur la manière et l’endroit où signaler leurs préoccupations, y compris leurs options de signalement extérieur ?
2. Ces informations sont-elles adaptées pour chacun des pays dans lesquels vous opérez ?
3. Ces informations sont-elles disponibles lorsqu’un lanceur d’alerte accède à votre dispositif ?
4. Votre code de conduite et tout autre document connexe (ex : politique, procédure, formation…) sont-ils à jour pour informer vos employés sur le fait que les représailles peuvent constituer une infraction à la directive Européenne relative à la protection des lanceurs d’alerte?

Conformité au RGPD

Ce que prévoit la directive : Le traitement des données personnelles effectué dans le cadre de cette directive doit être conforme au RGPD.

1. Votre dispositif d’alertes est-il totalement conforme au RGPD dans tous les pays européens où vous exercez vos activités ?
2. Votre système permet-il la suppression des données personnelles une fois l’alerte close ?
3. Informez-vous correctement les utilisateurs potentiels sur les différences nationales dans le processus de signalement ?

Tenue de registres

Ce que prévoit la directive : Les autorités, les entités juridiques publiques et privées doivent conserver des registres de chaque signalement reçu, conformément aux règles de confidentialité prévues. Les alertes ne doivent pas être conservés au-delà d’une durée nécessaire et adaptée aux circonstances.

1. Votre système conserve-t-il un registre des alertes et des actions des utilisateurs pour chaque alerte ?
2. Votre système permet-il la suppression des données personnelles de façon conforme au RGPD ?

Notre équipe d’experts francophones est à votre disposition pour faciliter l’évaluation de vos besoins en termes de solution IT, d’accompagnement de projet et de formation. Leur spécialité est le conseil en matière de bonnes pratiques et fonctionnalités dans le champ de la gouvernance, du risque et de la conformité. N’hésitez pas à les contacter directement ou utiliser le formulaire de contact.

WhistleB est un fournisseur de plateforme d’alertes professionnelles et expert en matière d’éthique et de conformité. Nous aidons nos clients à mettre en place un environnement de travail transparent et sécurisant. Nos services sont quotidiennement utilisés dans plus de 150 pays.

Contactez-nous si vous souhaitez une consultation gratuite sur la mise en conformité de votre dispositif d’alertes professionnelles à la nouvelle directive européenne relative à la protection des lanceurs d’alerte.

Are you unsure about whether your organisation will need to comply with the new EU Whistleblower Protection law ? And if so how? The short answer is that if your organisation employs 50 people or more it is required to comply. In this blog, we peel back the layers of the new law to get to the core obligations that will determine how much action you need to take to ensure your whistleblowing system shapes up. And for each obligation, we provide a checklist for you to asses how far you have to go to comply with the EU Whistleblower Protection law.

 

What is the EU Whistleblower Protection law?

The aim of the EU Whistleblower Protection law is to protect whistleblowers in the EU who report on misconduct that they become aware of through their workplace, and to encourage more people to do so. Staying silent is costly. A recent report from the European Commission shows that the potential benefits deriving from whistleblowers’ protection is estimated to be between Euro 6 and Euro 7 billion each year, and these numbers apply only to public procurement. Whistleblowers can play a prominent role in detecting and disclosing corrupt, illegal, fraudulent, and harmful activities.

 

Read through the checklist obligation to comply with the EU Whistleblower Protection law:

 

• Do you already have a whistleblower system in place?

YES: You are off to a good start. Continue to the checklist against legal obligations below.
NO: Contact WhistleB to discuss the best whistleblowing system option for your needs.

• Confidentiality of the identity of the whistleblower

The law says: The procedures for reporting and following-up of reports shall include channels for receiving the reports which are designed, set up and operated in a secure manner that ensures the confidentiality of the identity of the reporting person and any third party mentioned in the report, and prevents access to non-authorised staff members.

1. Does your whistleblower system allow a whistleblower’s identity to remain confidential?
2. Can you open up the system to external parties such that it also protects their identities?
3. Are identities protected all the way from reporting to archiving of cases?
4. Is access to your case management system adequately secure, for example with multi-factor authentication for staff members?
5. Is your system vulnerability and penetration tested by external parties?

 

• Response times

The law says: The procedures for reporting and following-up of reports shall include an acknowledgment of receipt of the report to the reporting person within no more than seven days of that receipt.

1. Does your whistleblower system automatically and immediately give a notification to the whistleblower confirming receipt, while maintaining anonymity of the whistleblower?
2. Can the whistleblower team be notified immediately that a report has been received?
3. Can your system scale up to take an increase in the number of reports if needed?
4. Are you able to create standard response messages?
5. Do you have a dedicated person/team to receive the reports?

• Contact persons

The law says: The procedures for reporting and following-up of reports shall include the designation of an impartial person or department competent for following up on the reports (…) and which will maintain communication with and, where necessary, ask for further information from and provide feedback to the reporting person.

1. Do you have competent resources in place for following up on reports in an appropriate manner?
2. Does your system allow you to add the competences you need per case?
3. Do you have a system and the skills and routines in place to handle investigations?
4. Does your whistleblower channel allow you to add external experts securely into the case handling process?

• Follow-up

The law says: The procedures for reporting and following-up of reports shall include diligent follow-up to the report by the designated person or department, diligent follow up where provided for in national law as regards anonymous reporting, and a reasonable timeframe to provide feedback to the reporting person about the follow-up to the report.

1. Do you have a channel through which the whistleblower can add pictures, videos, text documents and other file formats, and that cleanses meta data?
2. Does your whistleblower system include a case management tool that is integrated with the reporting channel?
3. Does your whistleblower channel allow for a dialogue with either an anonymous or non-anonymous whistleblower?
4. Does your system allow secure translation support for communication in multiple languages?

• Communication and information

The law says: The procedures for reporting and following-up of reports shall include clear and easily accessible information regarding the conditions and procedures for reporting externally to competent authorities and, where relevant, to institutions, bodies, offices or agencies of the Union.

1. Do you provide clear and easily available information to employees about how and where they can report concerns, including their options for external reporting?
2. Is such information adapted for each country in which you operate?
3. Is the information available automatically when people access your whistleblower system?
4. Are your policy documents, Code of Conduct and related training materials updated to inform employees on behaviour, such as “retaliation”, that would be in breach of the EU Whistleblower Protection Directive?

• GDPR compliance

The law says: Any processing of personal data carried out pursuant to the Directive must comply with the GDPR

1. Is your whistleblower system fully compliant with the GDPR in all EU countries in which you operate?
2. Does your system automatically allow deletion of personal data when the case is closed?
3. Do you inform potential users correctly about national differences in reporting?

• Record-keeping

The law says: Authorities, private and public legal entities must keep records of every report received, in compliance with the confidentiality requirements provided for. Reports shall be stored for no longer than it is necessary and proportionate.

1. Does your system keep a user and case log of each case?
2. Does your system allow for deleting personal data in line with the GDPR?

Contact us if you would like a free consultation on your readiness for compliance. 

Watch the WhistleB webinar to find out what the EU Whistleblower Protection Directive means for you.