Pourquoi la norme ISO 37002 a-t-elle été créée ?

Évolution du paysage juridique relatif au lancement d'alerte

Le lancement d’alerte et son cadre légal ont considérablement évolué ces dernières années. Plusieurs cas très médiatisés ont donné lieu à de nouvelles réglementations et législations sur la protection des lanceurs d’alerte à travers le monde. Parmi eux, on peut se rappeler du scandale des émissions de Volkswagen (2015), impliquant l'utilisation de logiciels illégaux pour falsifier les tests d'émissions des véhicules diesel. Les lanceurs d’alerte au sein de Volkswagen ont fourni des informations cruciales qui ont conduit à la révélation de la fraude. Ce scandale a occasionné une enquête réglementaire d’ampleur mondiale et suscité de nouvelles mesures juridiques. Cela a également généré des discussions sur l'amélioration des lois sur la protection des lanceurs d'alerte et sur la responsabilité des entreprises. D’autres cas comme Edward Snowden et la surveillance établie par la NSA (2013), ou le scandale des données Facebook Cambridge Analytica (2018) ont mis en évidence des faiblesses préoccupantes dans la culture d’entreprise, la protection des lanceurs d’alerte, la confidentialité des données, etc.

En Europe, la Directive européenne pour la protection des lanceurs d’alerte et ses transpositions dans les différentes législations locales renforcent et harmonisent la protection des lanceurs d’alerte. Des lois similaires ont été adoptées dans le monde entier, par exemple aux États-Unis, en Australie, en Nouvelle-Zélande, ou au Japon.

Suite à ces évolutions, les entreprises du monde entier ont dû s’équiper et mettre en œuvre de nouvelles plateformes de lancement d’alerte, ou réévaluer l’efficacité de leurs systèmes de signalement interne existants.

Fournir une norme mondiale pour le signalement interne et la gestion des alertes professionnelles

Au sein des entreprises, les directions générales sont de plus en plus conscientes de la nécessité de reconnaître et résoudre les problèmes en interne. Cependant, de nombreux employés préfèrent encore faire leur rapport publiquement, ou pas du tout.

Il y a plusieurs raisons possibles à ce comportement :

• Méfiance dans la capacité de leur organisation à répondre à leur rapport
• Méconnaissance des politiques internes de prise de parole
• Incertitude quant à savoir si le rapport sera pris au sérieux
• Doutes sur la confidentialité
• Peur d'être victimisé ou de subir des représailles
• Etc.

Les entreprises doivent mettre en place des systèmes, des processus et des politiques pour soutenir leur programme de lancement d’alerte. Mais le plus souvent, elles ont peu d’expérience et ne savent pas par où commencer.

C’est là qu’intervient la norme ISO 37002, qui fournit des conseils et lignes directrices pour mettre en œuvre un programme de lancement d’alerte efficace et conforme afin de répondre aux préoccupations réelles et légitimes des potentiels lanceurs d’alerte.

Écosystème de directives et certifications relatives au lancement d'alerte

Certifications internationales

Parmi les normes et certifications internationales, on peut souligner trois normes liées au lancement d’alerte :

ISO 37002 → Systèmes de management des alertes

ISO 37301 → Systèmes de gestion de la conformité

ISO 37001 → Systèmes de management anti-corruption

Bien que les normes ISO 37301 et ISO 37001 permettent d’obtenir des certifications, elles ne couvrent que des aspects spécifiques de la gestion d’un programme de lancement d’alerte.

ISO 37002 est la première norme mondiale entièrement dédiée à la gestion des alertes. Elle s’applique à tout type d’organisation, qu’elle soit privée, publique ou à but non lucratif, quelle que soit sa taille, la nature de son activité ou sa situation géographique.

Cette norme ne contient que des recommandations et bonnes pratiques pour les organisations : ce n’est pas une certification.

Législation et directives ISO 37002 : quelle est la différence ?

ISO 37002 est une norme volontaire que les organisations peuvent adopter si elles le souhaitent. Cependant, pour certaines entreprises et industries, le respect de la norme devient une exigence légale ou contractuelle. C’est par exemple le cas des marchés publics et des chaînes d’approvisionnement.

Les législations et la norme ISO 37002 vont de pair et se complètent.

Les législations indiquent ce qui doit être fait, tandis que la norme ISO 37002 donne une liste détaillée d'instructions spécifiques sur la façon de le faire et informe sur les bonnes pratiques.

ISO 37002 : principes fondamentaux et lignes directrices

Principes clés et composants de la norme

La norme ISO 37002 repose sur 3 principes fondamentaux : confiance, impartialité et protection.

Dérivées de ces principes, les lignes directrices englobent trois éléments principaux :

• Sécurité de l’information
  
• Assurance de communications anonymes avec les lanceurs d’alerte
  
• Protection des lanceurs d’alerte
  

Cette norme met un réel accent sur la manière dont les signalements des lanceurs d'alerte doivent être appréhendés et traités. Cependant, bien que recevoir des rapports soit encourageant, cela ne suffit pas en soi.

Mythe : tant que vous inciterez davantage de personnes à signaler des actes répréhensibles, vous améliorerez la santé de votre entreprise.

Réalité : il ne s’agit pas seulement de recevoir des signalements d’actes répréhensibles, mais également d’être en mesure de traiter les rapports reçus de manière efficace. Dans le cas contraire, cela peut entraîner une démotivation des employés, des démissions, une escalade des actes répréhensibles, des scandales médiatisés, …

La norme ISO 37002 fournit des lignes directrices détaillées pour la mise en œuvre, le contrôle, l’évaluation, la maintenance et l’amélioration d’un système de gestion des alertes robuste et efficace. En établissant des normes mondiales de bonnes pratiques, ISO 37002 guide les organisations dans la gestion de l’ensemble du cycle de lancement d’une alerte, divisé en 4 phases :

1. Signalement de préoccupations concernant des actes répréhensibles
Les employés doivent recevoir la formation et les informations nécessaires pour connaître et savoir utiliser les canaux de signalement internes de leur organisation. Ces éléments doivent être clairs et accessibles pour qu’ils puissent correctement soumettre un signalement via le système de lancement d’alerte en place.

2. Évaluation des rapports
Une fois qu'un rapport a été soumis avec succès, des procédures spécifiques doivent être suivies pour évaluer et trier les alertes, en tenant compte des éventuels conflits d'intérêts, des domaines d'expertise et des risques que l'événement signalé peut induire.

3. Traitement et résolution des actes répréhensibles signalés
Les méthodes de traitement des signalements soumis, telles que la création de procédures spécialisées pour les différents types d'alerte, doivent être mises en œuvre au sein du système de lancement d'alerte.

4. Clôture des cas signalés
Pour résoudre les problèmes soulevés par les employés ou les tiers, le système de lancement d'alerte doit prévoir des règles d'enquête spécifiques, ainsi que des mesures de protection et de suivi adéquates pour les lanceurs d'alerte et les autres personnes susceptibles d'être impliquées dans le signalement.

Les facteurs de succès du lancement d’alerte en entreprise résident dans le fait de gagner la confiance des personnes qui ont quelque chose à signaler. En fournissant une norme commune sur la manière dont les organisations peuvent instaurer cette confiance de manière durable, ISO 37002 rend le traitement des rapports en interne plus facile et plus efficace.

Comment Whispli peut vous aider à respecter les standards de la norme ISO 37002 sans effort

Whispli est suffisamment flexible pour s’adapter aux exigences de toute organisation. La plateforme peut être opérationnelle en quelques semaines seulement. Voici quelques-unes des fonctionnalités répondant directement aux normes ISO 37002, rendant votre conformité aussi simple que possible :

• Anonymat et communications avec les lanceurs d’alerte
  

Whispli fournit une boîte de réception sécurisée et des fonctionnalités de chat anonyme. Cela garantit aux lanceurs d’alerte un moyen sécurisé de signaler leurs préoccupations sans crainte de représailles ou d’autres conséquences négatives auxquelles ils pourraient être confrontés en révélant leur identité. Cette manière intuitive de communiquer avec les gestionnaires d’alerte vous aide à renforcer la confiance dans le système d'alerte et à démarrer un cycle vertueux d'amélioration continue.

La boîte de réception sécurisée de Whispli permet aux auteurs de signalement de remonter des actes répréhensibles. Ils peuvent utiliser cette boite pour rester en contact avec les gestionnaires d’alerte via une application sécurisée, anonyme et très conviviale, accessible sur le Web et sur mobile. Ils peuvent à tout moment partager des fichiers, répondre à des questions supplémentaires et soutenir les gestionnaires d’alerte dans leurs enquêtes. Plus important encore, les gestionnaires d’alerte peuvent les tenir informés de l'évolution du dossier et les orienter vers des ressources psychologiques si nécessaire.

• Automatisations avancées
  

Whispli offre la possibilité d'automatiser de nombreuses tâches dans le système :

• Messages automatiques aux auteurs de signalement : accusés de réception, demandes de renseignements complémentaires, messages de suivi, messages de recevabilité ou irrecevabilité de leurs alertes, etc.
  

• Notifications emails aux gestionnaires d’alerte lorsqu'un lanceur d’alerte n'a pas été informé pendant une durée déterminée ou qu’une alerte prend trop de temps pour être traitée.
  

• Attribution automatique des rapports à différentes personnes sur la base des informations fournies par les lanceurs d’alerte (gestion du conflit d’intérêt, attribution locale ou centrale, par typologie, par entité, etc.)
  

• Application automatique de tags, pour une meilleure identification et gestion des alertes
  Etc.
  

Les gestionnaires de cas peuvent ainsi gagner du temps pour se concentrer sur les enquêtes principales et rationaliser leurs processus.

• Hébergement de données fiable et flexible
  

Selon la législation locale, vous pouvez être amené à héberger les données de votre système d'alerte dans un ou plusieurs lieux géographiques spécifiques. Whispli propose une large gamme d'options dans le monde entier, conformes au RGPD, à la loi PIPL, etc.

Côté sécurité, toutes les plateformes Whispli sont certifiées ISO 27001 et SOC2 Type1.

Whispli propose beaucoup d’autres fonctionnalités pour optimiser le lancement d’alerte, pour tout type d’organisation.

En savoir plus

Les équipes d'Auchan Retail ont constaté une diminution drastique du nombre de signalements sans suite et des échanges plus fluides avec les lanceurs d'alerte.
- Stéphane Bernardeau | Directeur Conformité chez AUCHAN RETAIL

30%
Avant la mise en œuvre de Whispli, près de 30 % des alertes reçues n’avaient pas pu être traitées correctement faute d’informations suffisantes fournies par les lanceurs d’alerte.

Les gens ont confiance dans la sécurité de la plateforme, notamment dans la possibilité de choisir d’être anonyme ou non. Cela a plutôt bien fonctionné, à tel point que lorsqu'un auteur de signalement qui avait fait un rapport s'est rendu compte que nous répondions via la boîte de discussion et que nous prenions cela très au sérieux, il en a parlé avec ses collègues et ils ont eu la confiance nécessaire pour envoyer plus tard leurs propres rapports sur le même problème.
- Jean-Baptiste Loriot | Responsable d'alertes chez DECATHLON

+64%
La confiance dans la plateforme se confirme par l'augmentation du nombre de signalements d'année en année : +64% chaque année en moyenne entre 2019 et 2023. 

Quels avantages les organisations tirent-elles du respect des directives ISO 37002 ?

Avantages internes pour les organisations

Mettre en place un système de gestion des alertes peut s’avérer délicat. En se référant aux directives de la norme ISO 37002, les organisations peuvent amorcer leur programme de lancement d'alerte avec un ensemble de lignes directrices claires pour mettre en place rapidement et avec succès leur plateforme.

Ces directives fournissent également des orientations pour comparer les offres des éditeurs de solution de lancement d’alerte.

En établissant un système de signalement interne fiable, les organisations peuvent utiliser leur plateforme de lancement d’alerte pour encourager une culture de prise de parole. Les employés étant encouragés à faire part de leurs préoccupations en interne, les risques sont détectés tôt et peuvent être appréhendés avant qu'ils ne s'aggravent. De plus, la transparence sur les processus en place et les mesures prises donnent une bonne image de votre organisation. La marque employeur en bénéficie, permettant d’attirer les nouveaux talents et d’augmenter la rétention des employés.

Bénéfices externes pour les organisations

Le respect des directives ISO 37002 a un impact positif au-delà des murs de votre organisation :

• Avantage compétitif et preuve tangible

Se conformer à la norme ISO 37002 fournit une preuve tangible des efforts de votre organisation pour prévenir, détecter et résoudre les préoccupations concernant les actes répréhensibles. En démontrant votre engagement en matière d’éthique et de conformité, vous pouvez renforcer votre réputation et gagner la confiance des parties prenantes, des actionnaires, des clients, des nouvelles recrues et des investisseurs. Les résultats du programme de lancement d’alerte peuvent être inclus dans le rapport ESG annuel, conduisant ainsi à un avantage concurrentiel.

• Le risque de réputation

Vos employés sont plus susceptibles de signaler leurs préoccupations en interne s’ils font confiance au programme de lancement d’alerte de leur entreprise. Votre plateforme de lancement d’alerte vous aide à atténuer les risques de réputation pour votre organisation. Lorsque vous fournissez des informations claires sur la manière dont les employés peuvent signaler un incident et, surtout, sur la manière dont ces signalements sont traités, vous réduisez le risque que des problèmes soient partagés dans la presse ou sur les réseaux sociaux, protégeant ainsi votre image de marque et votre réputation.

• Reconnaissance mondiale

Les organisations opérant à l’échelle internationale trouveront les directives fournies par ISO 37002 particulièrement utiles. Cette norme permet de garantir que les organisations se conforment aux diverses lois et réglementations locales concernant les systèmes de lancement d’alerte. Quelle que soit la taille ou le secteur d’activité de votre organisation, le respect des directives ISO 37002 peut vous aider à établir une fondation solide pour votre système de lancement d’alerte, basée sur des normes mondialement reconnues.

Questions fréquemment posées sur la norme ISO 37002

1. Qui dans l'organisation est impliqué dans la mise en œuvre et la gestion de la norme ISO 37002 ?

Les services conformité ou les comités d'éthique sont généralement chargés de mettre en œuvre et de gérer le programme de lancement d'alerte, mais les rôles et responsabilités se situent également à d'autres niveaux :

• La Direction Générale est chargée de soutenir le programme en s’assurant que :

  • des ressources suffisantes sont allouées à la mise en œuvre de la plateforme

  • des processus sont en place pour prévenir les représailles contre les lanceurs d’alerte

  • chaque collaborateur est informé du soutien de la Direction Générale au lancement d’alerte

• Les équipes de communication sont chargées de promouvoir régulièrement le programme afin de garantir que tous les collaborateurs :

  • sachent comment signaler un acte répréhensible (affiches, vidéos, etc.)

  • aient accès aux informations clés sur la gestion du programme d’alerte (reporting ESG…)

• Les équipes RH sont chargées de former les collaborateurs au Code de Conduite et au programme de lancement d’alerte, lors de l'onboarding, mais aussi régulièrement en cours d’année
• Les collaborateurs ont la responsabilité de se conformer aux politiques de dédiées au lancement d’alerte et de signaler les cas de non-conformité rencontrés. 

2. Combien de temps faut-il pour être conforme ?

La mise en place d’un programme d’alerte peut se faire très rapidement, notamment en suivant les directives ISO 37002. Une plateforme d’alerte peut être opérationnelle en quelques semaines.

Toutefois, la conformité à la norme ISO 37002 et aux autres réglementations en matière de lancement d’alerte s’inscrit dans un processus continu et n’est pas un événement ponctuel. Les organisations doivent réévaluer régulièrement leur programme pour s'adapter aux nouvelles réglementations mondiales et peuvent bénéficier d'une amélioration progressive de leurs pratiques à mesure qu'elles acquièrent de l'expérience.

3. Whispli peut-il m'aider à déployer une plateforme conforme ?

C'est exactement ce que nous faisons ! Lorsque vous faites confiance à Whispli pour le déploiement de votre plateforme de lancement d’alerte, vous bénéficiez d’années d'expertise dans la mise en place de solutions performantes, pour lancer et traiter les alertes. Whispli accompagne des clients de toutes tailles, du monde entier, dans tous les secteurs. Nous sommes experts dans la mise en place efficace de plateformes, en fournissant régulièrement des bonnes pratiques, des exemples de configuration et de nouvelles fonctionnalités pour rationaliser la communication avec les lanceurs d’alerte et optimiser la gestion des rapports.

Créée par un lanceur d’alerte devenu ensuite Compliance officer, Whispli bénéficie de cette double expérience pour concevoir les meilleures interfaces et fonctionnalités

En savoir plus