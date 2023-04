Le lanceur d’alerte a trois possibilités pour dénoncer un fait dans son entreprise. Il peut soit le relater en interne à l’un de ses responsables, soit aux autorités compétentes, par exemple, à la FSMA s’il travaille dans le secteur bancaire, ou enfin à la presse. Dans ce dernier cas, l’employé estime qu’il y a une urgence à informer le public comme, par exemple, dans le cas d’un médicament jugé nocif ou d’une pollution émise par son entreprise et dont il a connaissance.

S’il veut faire son signalement en interne, le lanceur d’alerte a désormais la garantie de pouvoir le faire anonymement. Mais comment y arriver ? Différentes sociétés, externes à l’entreprise de l’employé, proposent de réaliser ce processus d’anonymisation. C’est le cas de la société GDPR Agency, située à Louvain-la-Neuve, qui a créé son service WhistleLine pour ce nouveau business.

"La Belgique est en retard"

"Nous sommes spécialisés dans la cybersécurité, la gestion des données et l'intelligence artificielle ; bref, tout ce qui tourne autour de la bonne gouvernance", explique Christian Derauw, le cofondateur de l'entreprise. "Pour nous, cela coulait de source de s'embarquer dans ce projet car nous avons la technologie et le personnel certifié à la protection des données. On est prêts depuis un an mais la Belgique est en retard sur la transposition de cette directive européenne."

Plutôt que de dénonciations venues d'employés, M. Derauw préfère parler de "signalement de violation", terme également utilisé par les autorités européennes.

Si la pépite brabançonne a plus de 200 clients dans ses autres projets, elle n'en est encore qu'à ses balbutiements dans la case "lanceurs d'alerte". La législation n'est ainsi entrée en vigueur, partiellement, que le mois dernier en Belgique. "Nous n'avons encore que quatre clients pour ce type de dossiers mais ils sont de taille, avec notamment une institution publique de 1 400 personnes et une grosse entreprise privée dans l'informatique."

guillement On a reçu beaucoup de plaintes à propos de problèmes personnels, mais qui n'ont rien à voir avec la nouvelle loi

Un seul signalement

Pour l'instant, WhistleLine n'a eu à gérer qu'un signalement correspondant aux critères de lanceurs d'alerte. "On a reçu beaucoup de plaintes à propos de problèmes personnels mais qui n'ont rien à voir avec la nouvelle loi. C'est dommage car nous ne pouvons pas traiter ces demandes. Dans ces cas, on donne juste des conseils en envoyant ces personnes vers les services adéquats. Certains ne comprennent pas et s'imaginent qu'ils peuvent signaler tout ce qui arrive dans leur vie."

Pour le reste, WhistleLine prend tout en charge, "de A à Z", permettant à chaque employé de mettre un signalement de manière totalement anonyme. Et aussi aux entreprises de respecter la nouvelle législation belge. "Nous proposons un système d'abonnement à la carte, On propose la plateforme, avec les canaux de signalement que l'entreprise souhaite, cela peut prendre la forme d'une simple adresse e-mail, d'un numéro vert ou d'une plateforme plus sophistiquée." Le tout développé via un système crypté, garantissant l'anonymat du lanceur d'alerte. Mais le gros du boulot de l'entreprise néolouvaniste vient après. "On veut surtout se concentrer sur la facilitation, vérifier que le signalement rentre bien dans les clous de la législation sur les lanceurs d'alerte."

L'entreprise réalise aussi une petite analyse du signalement, recontacte éventuellement le lanceur d'alerte pour demander des précisions - et ce, comme le veut le législateur belge pour les entreprises de plus de 250 personnes, via une adresse spéciale anonyme. "On anonymise surtout complètement son témoignage. On enlève ainsi tous les éléments qui pourraient le faire reconnaître, y compris des données qui ne sont pas personnelles mais qui pourraient l'identifier." Exemple ? Si le lanceur d'alerte est de garde, tel jour à telle heure et qu'il a été témoin d'une violation par son entreprise, le patron peut facilement retrouver son identité. "On a un système permettant de le protéger, d'anonymiser toutes ces données, afin de préparer un dossier de signalement. Nous avons deux juristes et, en moyenne, un signalement est traité en quatre heures."

LE CEO prévenu dans un lieu secret

Le dossier est ensuite transmis à l'entreprise, selon des protocoles mis en place lors de la signature du contrat avec GDPR Agency. "La société mise en cause a tout intérêt à cette discrétion et cette transparence. On définit un lieu de rencontre qui peut être extérieur à l'entreprise et on transmet le dossier au CEO. Ce dernier doit alors expliquer les actions qu'il compte mettre en place face aux faits signalés."

Selon la procédure, WhistleiLne revient alors vers le lanceur d'alerte. "Si celui-ci n'est pas satisfait des actions promises par son patron, il peut soumettre le dossier à l'autorité de contrôle ou à la presse où il ne pourra plus être attaqué en diffamation."

Toute l'opération doit se passer dans les 30 jours après le signalement. "On peut conseiller le lanceur d'alerte, même lui proposer des aides psychologiques. Mais, au final, on reste juste un transporteur de message. Ceci dit, on peut anonymiser totalement un témoignage et les langues vont forcément se délier, estime Christian Derauw. Mais je ne pense pas non plus qu'il y aura des dizaines de milliers de signalements en Belgique. Nous visons surtout le marché européen", conclut-il.