Donner confiance aux lanceurs d’alerte

La nouvelle directive européenne permet aux collaborateurs de contourner leur hiérarchie pour prévenir directement les autorités. Ce qui n’est pas dans l’intérêt des entreprises.

Hélène Truffaut 20/06/2019 
L’AGEFI Hebdo

C’est fait ! Avec 591 voix sur 653 votants (29 voix contre et 33 abstentions), les eurodéputés ont adopté, le 16 avril dernier, une directive « sur la protection des personnes dénonçant les infractions au droit de l’Union ». Les services, produits et marchés financiers et la prévention du blanchiment de capitaux et du financement du terrorisme entrent bien évidemment dans le champ de ces nouvelles dispositions, de même que la protection des consommateurs, la protection de la vie privée et des données à caractère personnel, la sécurité des réseaux et des systèmes d’information, etc. « L’Europe protège enfin ses lanceurs d’alerte », s’est aussitôt réjouie la CFDT dans un communiqué.

Il faut dire que la réglementation existante en la matière était fragmentée entre les Etats-membres et inégale d’un secteur à l’autre. Après la crise financière, le législateur de l’Union avait néanmoins reconnu, dans le domaine des services financiers, l’intérêt de protéger les salariés signalant des infractions dans leur établissement (directive concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, règlement sur les abus de marché).

Mille-feuille législatif

Dans l’hexagone, c’est la loi dite « Sapin 2 » relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique du 9 décembre 2016 qui a défini un statut et un cadre de protection pour le lanceur d’alerte – personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou délit, des manquements graves à la loi ou au règlement, des faits présentant des risques ou des préjudices graves pour l’intérêt général. Avec trois grands principes : le caractère strictement confidentiel de la procédure, l’interdiction des mesures de représailles professionnelles, l’irresponsabilité pénale du lanceur d’alerte.

Dans le cadre de Sapin 2, les entreprises employant au moins 500 salariés, ou appartenant à un groupe de sociétés dont la société mère a son siège social en France et dont l’effectif comprend au moins 500 salariés, sont tenues de prendre les mesures destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence. Mais, rappelle Nicolas Guillaume, associé business risk services chez Grant Thornton, « en matière de protection des lanceurs d’alerte, la loi ‘ratisse’ plus large, puisque ce sont les entreprises d’au moins 50 salariés qui doivent mettre en place des ‘procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels’, tels les prestataires informatiques en régie, par exemple. »

Une autre loi, celle du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre (consécutive à la catastrophe du Rana Plaza), oblige les sociétés d’au moins 5.000 salariés en France ou 10.000 dans le monde à établir un plan de vigilance intégrant un mécanisme d’alerte. A quoi s’ajoute d’autres dispositifs d’alerte professionnelle, dont ceux issus de la loi Sarbanes-Oxley (2002) pour les entreprises américaines et leurs filiales.

« Il y a un effet mille-feuille, concède Nicolas Guillaume. Suivant les lois, le périmètre, les personnes éligibles et les contraintes diffèrent. Et, dans ce contexte, les entreprises ont adopté des tactiques différentes. Certaines ont un dispositif d’alerte par sujet, d’autres, un seul système global – ce qui est plutôt vertueux et même recommandé, car ce n’est pas au salarié lanceur d’alerte de s’interroger sur le canal à suivre. »

Pour l’associé de Grant Thornton, la directive européenne, qui doit être transposée en France d’ici à avril 2021, « vise à harmoniser l’existant en instaurant des normes minimales communes ». La principale avancée ? Les lanceurs d’alerte auront le choix de saisir en premier lieu la voie interne ou directement les autorités compétentes – en l’occurrence l’Autorité de contrôle prudentiel et de résolution (ACPR) pour le secteur financier.

« Violence »

La loi Sapin 2, elle, privilégie une gradation. Actuellement, l’éligibilité au dispositif de protection nécessite, en effet, d’informer d’abord sa ligne hiérarchique – supérieur direct ou indirect, employeur ou référent désigné par celui-ci –, l’absence de réponse « dans un délai raisonnable » permettant alors d’alerter les autorités, voire les médias en tout dernier ressort. La nouvelle directive stipule également que, faute d’une réponse appropriée au signalement initial du lanceur d’alerte, ou si ce dernier estime qu’il existe une menace imminente pour l’intérêt public ou un risque de représailles, il pourra continuer d’être protégé s’il décide de révéler publiquement les informations dont il dispose.

Parmi les autres dispositions prévues, figurent notamment l’élargissement de la protection à la famille, aux collègues et aux personnes qui peuvent aider le lanceur d’alerte. Les Etats-membres doivent aussi fournir à ce dernier informations, conseils et aide juridique au cours de la procédure.

Problème : «  Aujourd’hui, l’impression est que les lanceurs d’alerte finissent mal », estime Nicolas Guillaume. L’exemple de Stéphanie Gibaud, qui avait dénoncé les pratiques d’évasion fiscale et de blanchiment de fraude fiscale d’UBS, licenciée en 2012 par la filiale française de la banque suisse, en dit long sur certaines pratiques internes. « Je suis une survivante », affirmait-elle en novembre dernier, lors d’une table ronde organisée sur le sujet durant la Conférence européenne sur l’investissement, relatant la « violence » de ce qu’elle avait vécu au sein de son entreprise.

Ce n’est pas un exemple isolé, comme en témoignent les licenciements d’un courtier actions chez Natixis (avant la reprise de cette activité chez Oddo) et d’un directeur conformité, du contrôle interne et des risques de Natixis AM, qui avaient tous deux émis des doutes sur la conformité de certaines opérations. Licenciements déclarés nuls par la justice, en 2016 pour le premier et en 2018 pour le second. Réintégrés sur le papier, ces lanceurs d’alerte ont fini par quitter l’entreprise avec un chèque, précise le SNB de la filiale de BPCE.

« Celui qui dit la vérité doit être exécuté », résume avec amertume Gilles Leclerc, délégué syndical central. Nous sommes régulièrement sollicités pour suivre des formations ‘compliance’, mais ce n’est qu’un moyen, pour la banque, de s’exonérer de ses responsabilités, estime-t-il. Il y a une certaine omerta. Quand on la brise, on peut se faire licencier, avec une impossibilité de retrouver du travail derrière. Les salariés sont du coup très frileux. »

« Nous avons nous-mêmes été lanceurs d’alerte dans l’accident de marché en Asie, en décembre dernier, qui a coûté 260 millions d’euros à la banque, ajoute Lydia Linan, déléguée syndicale nationale SNB. Il y avait un défaut de contrôle de position, un problème de management et un trader qui s’était alarmé de la situation et à qui nous avons servi de bouclier. Mais tout le monde nous a ri au nez ! » (Interrogé par L’Agefi, Natixis ne fait pas de commentaire sur ce point, NDLR) La syndicaliste se dit d’ailleurs ravie de la nouvelle directive européenne, « qui donne le choix d’alerter à l’extérieur de l’entreprise. En interne, il y a trop de copinage, trop de politique. Nous n’avons pas confiance ».

Et c’est bien là que réside l’enjeu pour les organisations, considère Nicolas Guillaume. « Avec Sarbanes-Oxley, nous avons quinze ans de recul sur les systèmes d’alerte et nous considérons qu’il doit y avoir, en moyenne, une alerte par millier de salariés et par an, expose-t-il. Nous disons à nos clients que, s’ils n’en sont pas à ce niveau-là, c’est qu’ils n’ont globalement pas fait les efforts nécessaires pour que les collaborateurs osent se saisir du système et s’expriment en confiance. » Demain, le risque – non négligeable – est de voir directement le régulateur frapper à la porte de l’entreprise. D’où l’importance, souligne l’associé, de bien expliquer aux salariés la finalité du dispositif d’alerte, le mode d’emploi, les engagements de l’entreprise dans le cadre de cette procédure pour les protéger, etc. « En termes d’efficacité, cela fait toute la différence ! »

Mais cela va aussi demander une sérieuse remise en question. Car le traitement des alertes est aussi et avant tout, en France, un problème d’ordre culturel. « Chez les Scandinaves, l’alerte est vue comme un service rendu à l’entreprise. Chez nous, certains collaborateurs peuvent avoir le sentiment de trahir leur employeur. Et bon nombre de nos clients parlent spontanément de ‘délation’. Alors qu’il est ici question de ‘signalement’, par des gens qui sont viscéralement attachés à leur entreprise et qui ne supportent pas de la voir bafouer ses propres valeurs », considère Nicolas Guillaume. Pour qui l’alerte « est l’un des systèmes les plus efficaces pour lutter contre la fraude interne et stopper des dysfonctionnements qui coûtent cher ».