Les entreprises concernées par la loi sur les lanceurs d’alerte d’intérêt public : 5 étapes à suivre cette année.

​Si l’année dernière, en décembre, est entrée en vigueur la loi 361/2022 sur la protection des lanceurs d’alerte dans l’intérêt public, établissant le cadre général concernant la protection de la personne qui signale des violations de la loi (le lanceur d’alerte dans l’intérêt public), uniquement pour les institutions publiques et les entreprises privées de plus de 249 salariés, à partir de cette année (le 17 décembre pour être exact), les dispositions seront également applicables aux personnes morales privées qui comptent entre 50 et 249 salariés.

La loi définit le cadre nécessaire et obligatoire de transparence et d’équité à travers lequel une bonne culture d’intégrité organisationnelle peut être créée et maintenue aussi bien par les entreprises roumaines que par les entités publiques.

En vertu de cette loi, comme les institutions et les entreprises qui sont soumises à ces dispositions depuis l’année dernière, les petites et moyennes entreprises (en termes de nombre d’employés) auront des obligations très clairement énoncées dans la loi. Il s’agit avant tout de l’obligation d’établir des canaux de signalement, répondant à plusieurs critères : confidentiels, internes (accessibles aux tiers), qui sont conçus, établis et utilisés de manière sécurisée, de manière à permettre de maintenir la communication avec le lanceur d’alerte. L’obligation d’information est ajoutée, ce qui signifie une confirmation de la réception du signalement au lanceur d’alerte dans un délai de sept jours et un retour d’information dans un délai de trois mois. Tout aussi importante est la réalisation d’enquêtes internes suite à la notification du lanceur d’alerte, grâce auxquelles les problèmes signalés comme irréguliers sont vérifiés et résolus. Aussi, les entreprises ont l’obligation d’assurer la protection de l’identité (confidentialité), la protection des lanceurs d’alerte contre les représailles, à laquelle s’ajoute celle de fournir une information claire et accessible sur les procédures de signalement externe. De plus, pour le fait qu’elles n’aient pas assuré la confidentialité des lanceurs d’alerte au moyen de procédures de travail claires, la loi prévoit la sanction la plus drastique pour les entreprises, à savoir 40 000 lei (environ 8 000 euros l’équivalent).

Les 5 étapes essentielles à la conformité

1. Comprendre l’organisation et fixer des objectifs, en fonction de la taille, de la culture, du type d’activité et de la gouvernance d’entreprise.

La première et la plus importante étape consiste à définir les objectifs que l’entreprise souhaite atteindre en appliquant la loi sur les lanceurs d’alerte, et la réponse peut être du simple (juste le respect, car c’est ce que la loi exige) au complexe, auquel cas l’entreprise vise plus que cela, respectivement, la création d’une culture d’intégrité.

2. Élaborer un plan d’action et établir les responsabilités

Il est important d’établir les responsabilités et de compléter le cadre procédural avec un déontologue, chargé de recevoir les signalements et de gérer le canal de reporting convenu en interne. Ce responsable peut être une personne ou une équipe, interne ou externe. Dans le cas du choix de l’option interne, elle peut être composée d’employés du service juridique, des ressources humaines, de la conformité, etc., car ce sont des employés qui, de par la nature de leurs fonctions, veillent également à l’intégrité des employés. et l’entreprise. L’option de l’externalisation doit être prise en compte, au moins du point de vue de l’efficacité, de la rapidité et de l’indépendance dans la résolution des rapports. De plus, n’oublions pas le haut niveau de spécialisation d’un potentiel manager externe, qui se chargera de prendre en charge, de trier et de résoudre les réclamations. Aussi, dans la mise en œuvre du plan d’action concernant l’application de la loi, la mise en place du ou des canaux de signalement doit être prise en compte comme une étape essentielle.

3. Identifier le canal de signalement approprié

La loi ne fait pas de mention particulière et, pratiquement, cet aspect est laissé à la discrétion de chaque entreprise et du responsable de l’entreprise. De plus, il n’est pas obligatoire de disposer d’un canal de signalement anonyme, mais une confidentialité maximale des signalements doit être garantie. Le canal de signalement doit être conçu pour protéger la vie privée (voire l’anonymat) des lanceurs d’alerte, facilement accessible, idéalement avec plusieurs options de signalement (par exemple e-mail, téléphone, site Web ou application mobile), une protection contre les représailles, mais aussi l’impartialité, grâce à une gestion claire. des processus et de l’indépendance de la personne désignée.

En revanche, il doit être clair et fiable, permettant de recueillir suffisamment d’informations pour ouvrir une enquête. Il est également important de désigner la personne désignée, qui devra être formée en permanence pour recevoir des signalements, comprendre les différents types d’activités frauduleuses, afin d’appliquer avec précision les politiques et procédures établies.

4. Mise en place du processus de reporting, rédaction et mise en œuvre des procédures

La procédure de gestion des dossiers est aussi importante, voire plus, que la politique de dénonciation, car elle permet de traiter rapidement les cas sensibles. Cette procédure doit donc être bien pensée, créée en fonction de la réalité de l’entreprise et mise en œuvre à travers des formations périodiques pour rappeler aux personnes responsables comment elles doivent agir et ce qu’elles doivent faire pour atteindre les objectifs fixés par la Politique de Dénonciation. Les entreprises peuvent opter pour une politique de reporting intégrée au règlement intérieur existant ou créer un règlement distinct (option recommandée).

5. Campagne de communication et formation du personnel concerné

Selon nous, deux catégories de formation devraient être créées pour assurer une bonne application de la loi, respectivement une pour les salariés et une pour l’équipe de reprise et d’intervention. Dans ce dernier cas, des détails sur la forme et les options de déclaration – aux autorités ou à la divulgation publique (avec risque de réputation associé), en dehors du rapport interne, sont obligatoires.

Nous avons recommandé aux entreprises auxquelles nous accompagnons dans le domaine de la formation du personnel dans le cadre de la mise en œuvre de la loi d’alerte de traiter séparément les deux catégories de personnel, car la tâche de l’équipe de reprise et d’intervention comprend plusieurs attributions.

Il est important de mentionner que le plan d’action a des implications dans le domaine de la concertation avec les représentants des salariés/le syndicat. Ainsi, cela devient une obligation légale pour l’entreprise de l’informer de son intention de mettre en œuvre une telle politique. En d’autres termes, une consultation devrait avoir lieu, avant la mise en œuvre, pour voir si la manière dont le canal de signalement a été conçu est conforme, ainsi que les modalités de garantie de la sécurité des données, le mode d’accès et la base juridique du traitement.

Sanctions prévues par la loi 361/2022

À première vue, il semble que le législateur ait prévu des sanctions relativement faibles ou, en tout cas, pas si drastiques, que les entreprises roumaines s’inquiètent au cas où elles se trouveraient confrontées à des lacunes dans l’application de la loi. Pour les trois principales obligations, les montants varient entre 3 000 et 40 000 lei, ce qui, selon la taille de l’entreprise et le chiffre d’affaires, peut (ou non) avoir un impact significatif. Au-delà du risque de mesures punitives financières, nous parlons d’un risque bien plus important, à savoir le risque de réputation de l’entreprise qui aurait violé les dispositions légales concernant l’intégrité de l’entreprise et de ses employés.

Il ne fait aucun doute qu’un mécanisme de signalement sécurisé et confidentiel, créé et fourni aux employés d’une entreprise, augmentera la confiance au sein des organisations. Cela se traduit par un environnement de travail plus ouvert et transparent, favorise et contribue à créer une culture d’intégrité. Un rapport de dénonciation correctement préparé et soumis peut fournir les preuves nécessaires lors de la conduite d’enquêtes sur des pratiques frauduleuses ou d’autres comportements contraires à l’éthique.

Garantir le respect de la loi sur la protection des lanceurs d’alerte garantit non seulement le respect des obligations légales imposées aux organisations, mais démontre également les avantages d’une culture d’intégrité pour les employés, les clients, les investisseurs et les autres parties prenantes.

Article signé par Andreea Simion, responsable des services de criminalistique et d’intégrité, EY Roumanie et Anca Atanasiu, avocate, associée directrice principale, Banque, Deacon et associés

Article soutenu par EY Roumanie