afa & loi sapin 2 11 décembre 2018 - institut du risk et compliance · 2019-01-21 · 1. le...
Post on 20-May-2020
3 Views
Preview:
TRANSCRIPT
Lanceurs d’alertes
Conférence Atelier petit-déjeuner
Compliance : AFA & loi Sapin 2
11 décembre 2018
Jean-JacquesQUANG
Director,GovernanceRiskInvestigationDisputesDuff&Phelps
• Jean-JacquesQUANG,• DirectorchezDuff&PhelpsEnchargedesactivitésGovernanceRiskInvestigationsDisputes
• Domainedecompétences:• Compliance–programmeanti-corruption
• Third-partyriskmanagement–duediligencetiersKrollComplianceRiskDiligence(divisiondeDuff&Phelps),leadermondialenbusinessintelligence
• Investigations–corruption,fraude,«whitecollarcrime»
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20182
Sommaire
• Ledispositifdelanceurd’alerte
• Cadreréglementaire• Lescaractéristiques• Ledispositifdelanceurd’alerteetRGPD
• Laperceptiondudispositifenentreprise
• Ledispositif–enpratique
• Retoursd’expérience• Commenttraiterlesalertesremontées
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20183
1. Le dispositif - Cadre réglementaire
• Loi«Sapin2»relativeàlatransparence,àlaluttecontrelacorruptionetàlamodernisationdelavieéconomiquedu9décembre2016,article8III:
• Dispositifetprocéduresinternesderecueildessignalements/alertes,obligationdepuisle1erjanvier2018
• l’alertegénérale:lesentreprisesd’aumoins50salariés,établissementspublics
• l’alertepropreàlacorruption:lesentreprisesde500salariéset100millionsdechiffred’affaires(article17)
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20184
1. Le dispositif - Les caractéristiques
• Avoirconnaissancepersonnellementetreporterdesfaitssusceptiblesdeporteratteinteoupréjudicesgravesà«l’intérêtgénéral»etcommiseauseindel’entreprisedanslaquellelelanceurd’alertetravaille==>scandalesenvironnementaux,sanitaires,alimentaire,éthique,corruption….(exemptions:secretdéfense,secretmédical,secretrelationclient-avocat)
• Lanceurd’alerte:• Unepersonnephysique• Unsalariéouuncollaborateurextérieuràl’entreprise(intérimaire,détaché)• Agitdebonnefoietdemanièredésintéressé
• Protectiondulanceurd’alerte• Immunitépénale• Garantiedeconfidentialité• Protectioncontrelessanctionsdisciplinairesetlelicenciement
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20185
1. Le dispositif - Les caractéristiques
• Procéduregraduelleàrespecter
• 1erniveau:Alerteportéeàlaconnaissancedul’employeur,selondispositifetprocéduresmisenplace
• 2eniveau:Enl’absencedediligencedansundélairaisonnable,alerteàl’autoritéjudiciaire,ordresprofessionnels
• 3eniveau:Adéfautdetraitementdel’alertedeniveau2,dansundélaide3mois,lesignalementpeutêtrerendupublic
(exception:dangergraveetimminent,alerterdirectementàl’autoritéjudiciaireetordresprofessionnels)
PS:Régimesspéciaux(Banque&assurances,Domainedurenseignement,Sécuritéaérienne)
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20186
1. Le dispositif - Les caractéristiques
Procédureinterneetdispositifàmettreenœuvre
• Modalitéderecueildessignalements
• Modalitéd’accusé-réceptiondessignalements
• Informationàlapersonnefaisantl’objetdel’alerte
• Lesgarantiesdeconfidentialitéentourantletraitementdel’alerte
• L’existenced’untraitementautomatisédesalertesmiseenœuvre,aprèsautorisationdelaCNIL
• Qualificationdusignalementenalerteetlessuitesàdonner
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20187
1. Le dispositif – … et RGPD
• Undispositifdelanceurd’alerteavecuntraitementautomatisédesdonnéesàcaractèrepersonnellesrecueillies:
• Soit:afaitl’objetd’unedéclarationetd’uneAutorisationUniqueAU-004auprèsdelaCNIL,préalableàl’entréeenvigueurdeRGPD(25mai2018)
• Soit:doitfairel’objetd’uneanalysed’impactrelativeàlaprotectiondesdonnées(AIPD)
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20188
1. Le dispositif – … et RGPD
Analysed’Impact
• Article7RGPD:• Descriptifdeprocessusetdesopérationsenvisagées
• Descriptifdesdonnéescollectées:nature,description,…
• Descriptiondesacteurs("datacontroller"/"dataprocessor")concernés
• Evaluationdesrisquesimpactantl'intégritédesdonnées:sécurité,breach
• Mesuresderémédiation• Mesuressupressions,modification,anonymisationdesdonnéescollectées
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre20189
1. Le dispositif – La perception en entreprise
• Evolutiondesmentalités,àl’aunedeslanceursd’alerterécents:• Médiatisationdescas:Wikileaks,NSA-Snowden,Panamapapers,Luxleaks,Renault-Nissan…
• L’amplificationdulevier«réseauxsociaux»
==>Touslescasontœuvréàplusdetransparence, danslemondedesaffaires
==>Contribueàplusd’éthique
==>Aspirationssociétalesd’aujourd’hui
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201810
1. Le dispositif – La perception en entreprise
• LafonctionCompliance,partieintégrantedesfonctionscorporateenentreprise
• Communicationetformationsurlesobligationsréglementaires• Sensibilisationàl’utilisationdeslignesd’alerte,commeoutilsupportàunebonnegouvernance
• Uneapprochedelagestiondesrisquesélargie
• Traiterlesalertesremontéeseninterne:
• ==>moinsd’expositionàdesincidentscommuniquéssurlaplacepublique
• ==>gestionproactivedurisqueréputationnel
11 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
1. Le dispositif – La perception en entreprise
• EtudepubliéedansHarvardBusinessReview(1):
• Usagededispositifsdelanceursd’alerte==>indicationdebonnesantéd’uneentreprise/bonnegouvernanceeffective
• Dispositifdelanceursd’alerteinternes==>moinsd’enquêtesexternesparlesrégulateurs/moinsdepoursuites/résolutionsamiables(CJIP)
==>meilleureproactivitéetcommunicationinternepourlarésolutiondescasremontés
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201812
(1):HarvardBusinessReview-StephenStubben&KyleWelch–Octobre2018
2. En pratique – retours d’expérience Application ?
• Danslesgrandsgroupes
• «Portail»dédié,etélargiàtouslespaysdanslesquelslegroupeopère• Nonrestreintauxsalariés,accessibleaugrandpublic• Dispositifsous-traitéauprèsdesociétésspécialiséesdanslerecueiletletraitementde1erniveau
• Groupesdetailleintermédiaire
• Adresseemailgénérique• Applicationdédiée:internaliséeouexternalisée
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201813
2. En pratique – retours d’expérience Bonnes pratiques
• Nécessitédebieninformerlessalariésdudispositifexistantetdumodeopératoire
• Formation:
• guidepratiquesurintranet,filmpédagogique,didactiquesurlesmodalitésd’utilisationdudispositifdelanceurd’alerte
• AccuséRéception/sign-offdessalariésayantétéinforméouformésurl’existenceetl’utilisationdudispositifdelanceurd’alerte.
• Communicationclairesurlapolitiquedenon-représaillepourdessalariés
Peud’alertesremontées==>dispositifadapté?Comprisparlessalariés?
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201814
2. En pratique – retours d’expérience Comment traiter les remontées ?
• Dèsl’instaurationd’uneligned’alerte,unvolumedesignalementscroissantestconstatédanstouteslesentreprises
• TouslessignalementsremontésnecorrespondentpasauspectredéfiniparlaLoiSapin2:
• Risqued’instrumentalisationdelaligned’alerte
• Unegrandemajorité=doléancesrelevantdudomainedesressourceshumaines
Nécessitédetouteslestraiter,auregarddesobligationsdelaloiSapin215 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
2. En pratique – retours d’expérience Comment traiter les remontées ?
1. Accuserréception/Établirdesuiteunelignedecommunicationaveclelanceurd’alerte
2. Triagedessignalementscollectées
3. Effectuerlesvérificationspréliminaires
4. Effectuerdesinvestigationsavancées
Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre201816
2. En pratique – retours d’expérience Comment traiter les remontées ?
1. Etablirlecontactaveclelanceurd’alerte
• Accuséréceptiondusignalementdansles48heures
• Informerduprocessusetdesétapesdansletraitementdusignalement
• Etablirunecommunicationaveclelanceurd'alerte• Récolterunmaximumd'informationsdecontexte
• Constitueretdocumenter,àl'aidedulanceurd'alerte,lecaspotentielàdesfinsd'évaluationd'impactsultérieure
• Gestiondel’anonymat
17 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
2. En pratique – retours d’expérience Comment traiter les remontées ?
2. Etapedetriageetcatégorisationdanslessignalements:
• Signalementscalomnieux• Signalementsrelevantdesressourceshumaines
• Unsignalement=qualifiéenalertelorsquelebien-fondéestavéré
• Atitred’exemplepourungrandgroupemondialiséanglo-saxon:• 4000signalementsparan
• 75%relevantdesressourceshumaines• 25%fontl’objetdevérificationspréliminaires• Environ250investigationsavancéesdiligentées
18 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
2. En pratique – retours d’expérience Comment traiter les remontées ?
3. Effectuerlesvérificationspréliminaires:
• Caractériserlessignalementsremontés
• Matérialiserlesallégationsreportées:• Qui?• Quoi?• Risques?Préjudices?• Y-a-t-ildespreuvesapportées?Sioui,vérificationsnécessaires
• Evaluerl’impactpotentiel:business,organisation,humain,entreprise
Crédibleoupascrédible?Potentielleexpositionàdesfaitsdecorruptionoupas?
19 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
2. En pratique – retours d’expérience Comment traiter les remontées ?
4. Initierdesinvestigationsavancées:
«Doit-onenvisagerdesinvestigationsavancées?»
• Lefaitdes’interrogersurl’opportunitéd’investigationsavancées,induitd’oresetdéjàlanécessitédelesentreprendre
• L’espritdelaLoiSapin2etattentesdurégulateur,encasdecontrôle:a-t-onentreprislesdiligencesnécessairespour«détecteretprévenir»lesfaitsdecorruption
• Lesinvestigationsdoiventêtremenéesen«incidentmanagementteam»,• modeopératoireminutieusementpréparé• uneteamavecdescompétencespluridisciplinaires;internes/externes
20 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
Conclusion Dispositif de lanceurs d’alerte… ce qu’il faut retenir
• Gestionproactivedurisquedepoursuitejudiciaire,d’imageetréputationnel
• Traitereninterneetenamontavantquelesallégations/possiblesfaitssoientmissurlaplacepublique
• Démontrerundispositifanti-corruptionefficace,telquerequisparlerégulateur,etquiparticipeàunebonnegouvernanced’entreprise
• Dispositifefficace<==>unvolumecroissantd’alerteàtraiter
• Nécessitéd’unedémarchestructuréepourtraiterlessignalements:filtrer,catégoriser,investiguer,remédier
• Uneapplicationdédiée,interneouexterne,favorisecettestructuration.
• Absoluenécessitédetracerlesuividessignalementsetdestraitementsapportés;auditableparl’AFA
21 Jean-JacquesQUANG-Conférence-Atelier-LoiSapin-Lanceurd'alerte-11décembre2018
top related