Alertes et enquêtes internes : deux référentiels pour protéger et agir
Sécuriser le traitement des alertes et la qualité des enquêtes internes : c’est le cœur des normes ISO 37002 et ISO 37008. Accompagnées par le cabinet SLA Consultants, Feugère Moizan Avocats (Paris) et Ethicorp sont les premières structures ayant intégré ces deux normes dans leur pratique.
Harcèlement moral, atteinte sexuelle ou encore corruption : ces sujets éclaboussent régulièrement des entreprises de toutes tailles, et de tous secteurs d’activités. Face à un enjeu sociétal, la législation apporte une réponse : la loi Sapin 2 de 2016, qui instaure par exemple la protection des lanceurs d’alerte à l’origine de signalements. En 2022, la loi Waserman, transposition d’une directive européenne, renforce encore ce cadre qui les protège.
« De multiples entreprises sont concernées, souligne William Feugère, associé du cabinet Feugère Avocats et fondateur d’Ethicorp. Dès 50 salariés, elles sont tenues de déployer un dispositif qui assure la confidentialité des lanceurs d’alerte, le traitement de leur signalement et le suivi effectif par une enquête interne. » De nombreuses entreprises font le choix de déléguer cette activité à des structures spécialisées comme Ethicorp et Feugère Moizan Avocats. « Il ne faut pas prendre la question à la légère. Les dommages d’une affaire mal gérée sont catastrophiques en termes d’image, de réputation et de marque employeur. Les entreprises doivent tout mettre en œuvre pour identifier les éventuels problèmes et prendre toutes les mesures nécessaires pour les régler. C’est aussi le sens de la compliance. »
Des normes volontaires pour respecter ses obligations
Pour s’assurer d’un traitement correct des signalements, des référentiels normatifs existent au sein de la norme ISO 37001, qui porte sur la lutte anti-corruption. Elle comprend deux sous-domaines dédiés aux lanceurs d’alerte. D’abord la norme ISO 37002, qui définit un système de management du lancement d’alerte : qui peut adresser une alerte, comment en garantir la confidentialité, quelles modalités de traitement ? Ensuite, ISO/TS 37008, qui détaille la manière de gérer les enquêtes internes consécutives aux signalements.
« L’enjeu consiste à protéger le lanceur d’alerte, pour s’assurer qu’il ne subisse aucunes représailles, mais aussi à apporter un traitement efficace de l’alerte, avec une enquête objective et complète, souligne Pascale Yon, chef de projet Bureau Veritas. Ce référentiel cadre les actions et inscrit l’entreprise dans une approche éthique. »
Les normes ISO 37002 et 37008 ne se limitent d’ailleurs pas à l’anti-corruption, elles ont vocation à s’appliquer à tout type d’alerte et d’enquête. Harcèlement moral ou sexuel, discriminations, comptent d’ailleurs parmi les exemples les plus fréquents de signalements, ce qui a donné lieu le 5 février 2025 à une Décision-cadre de la Défenseure des droits dédiée aux enquêtes sur ces délits.
Pour aller plus loin :
Un pilotage de bout en bout
Feugère Moizan Avocats et Ethicorp ont pris en compte les exigences de ces référentiels pour élaborer un outil, utilisé à la fois en interne, mais aussi pour le compte de clients qui confient cette mission au cabinet.
Bureau Veritas Certification a audité ces deux entités en décembre 2024. L’audit s'est déroulé en 2 temps : d’abord, une journée de travail documentaire, pour s’assurer de toutes les actions mises en place. Puis, une journée sur site, pour mener des entretiens avec les équipes et pour auditer le dispositif, notamment les règles de confidentialité et les méthodologies d’enquête. Au terme de cet audit, un rapport a été remis, précisant la décision rendue, les points forts et les points d’amélioration. Cette démarche renforce la confiance et prouve la réalité des actions mises en place.
Feugère Moizan Avocats et Ethicorp disposent à présent d’une « attestation d’audit avec vérification de la prise en compte des directives des normes ISO37002 et ISO37008 », attestation remise par Bureau Veritas Certification. Parmi les solutions déployées : la sécurité des données collectées, stockées sur un serveur protégé et localisé en France pour éviter toute incursion par un pays étranger.
« La réglementation contribue à l’augmentation sensible du nombre de signalements à traiter, constate William Feugère. Face à ce mouvement de fond, les entreprises doivent apporter une réponse structurée. S’appuyer sur un tiers, qui fait contrôler ces méthodes par un organisme comme Bureau Veritas, renforce la confiance et assoit la crédibilité de la démarche auprès de ses collaborateurs comme de ses parties prenantes. Avec cette approche robuste, la compliance et l’éthique deviennent un outil de pilotage. Plus que jamais, le droit s’impose comme un véritable business partner, au cœur des enjeux de l’entreprise. »
