Comment choisir un logiciel de conformité pour les lanceurs d’alerte #

La Directive européenne sur la protection des lanceurs d’alerte impose à votre organisation de disposer d’un canal de signalement interne sécurisé. Mais tous les outils qui revendiquent la conformité à la Directive ne la garantissent pas réellement.

Voici comment évaluer ce qui compte.

Ce qu’un outil de signalement doit réellement faire #

Les exigences de la Directive se traduisent en cinq fonctions essentielles :

1. Un signaleur soumet un rapport via un canal sécurisé.
2. Le signalement est stocké de manière confidentielle dans un système chiffré.
3. Un gestionnaire désigné l’examine et y répond.
4. Le système suit les délais d’accusé de réception (7 jours) et de retour d’information (3 mois).
5. Chaque action est enregistrée dans une piste d’audit immuable.

Ces cinq fonctions constituent le socle de conformité. Tout outil que vous évaluez doit démontrer comment il gère chacune d’entre elles.

Les fonctionnalités essentielles pour la conformité #

Lors de l’évaluation des plateformes, concentrez-vous sur ce que la Directive exige réellement :

• Signalement anonyme — L’Article 6(1) exige la confidentialité. L’implémentation la plus robuste signifie l’absence de journalisation IP, de suivi, et la suppression automatique des métadonnées des fichiers (EXIF, GPS, auteur).
• Communication bidirectionnelle — L’Article 9(1)(b) exige un suivi avec le signaleur. Cela implique une messagerie sécurisée sans que le signaleur ait besoin de créer un compte.
• Suivi des délais — Les Articles 9(1)(b) et 9(1)(f) fixent les délais de 7 jours et 3 mois. Le suivi automatisé avec notifications prévient les manquements.
• Piste d’audit — L’Article 18 exige une documentation. Un journal immuable de toutes les actions fournit les preuves attendues par les régulateurs.
• Résidence des données dans l’UE — Le RGPD s’applique à toutes les données de signalement. L’hébergement au sein de l’UE simplifie la conformité.
• Contrôle de la rétention des données — L’Article 17(1)(d) exige des périodes de conservation définies. La suppression automatique configurable garantit que les données ne sont pas conservées au-delà du nécessaire.

Les fonctionnalités impressionnantes mais absentes de la Directive #

Certaines plateformes mettent en avant des capacités qui vont au-delà des exigences de conformité :

• « Scoring de risque alimenté par l’IA »
• « Analyse de sentiment »
• « Tableaux de bord d’analyses prédictives »
• « Benchmarking avec plus de 10 000 organisations »

Ces fonctionnalités peuvent servir les grandes organisations ayant des programmes de conformité matures. Mais elles ne sont pas exigées par la Directive, et leur présence ne rend pas un outil plus conforme.

La transparence tarifaire comme indicateur #

La Directive s’applique à des organisations de tailles très différentes. L’outil que vous choisissez doit correspondre à votre échelle.

Certaines plateformes publient leurs tarifs ouvertement. D’autres nécessitent un processus commercial. La transparence tarifaire vous permet d’évaluer l’adéquation plus rapidement.

Questions à poser lors de l’évaluation #

1. Où sont stockées les données ? Confirmez l’hébergement et la résidence dans l’UE.
2. Comment les signaleurs sont-ils protégés ? Vérifiez l’anonymisation IP et la suppression des métadonnées.
3. Comment les délais sont-ils suivis ? Confirmez le suivi automatique avec notifications.
4. La piste d’audit est-elle immuable ? Assurez-vous que les journaux ne peuvent être ni modifiés ni supprimés.
5. Que se passe-t-il en cas de résiliation ? Comprenez les politiques d’export et de suppression des données.
6. Un DPA est-il disponible ? Requis pour la conformité RGPD.

Comment EthicsPortal répond à ces exigences #

EthicsPortal est conçu spécifiquement pour la conformité à la Directive UE 2019/1937 :

• 49 €/mois, toutes les fonctionnalités incluses
• Signalement anonyme avec anonymisation IP et suppression des métadonnées
• Messagerie sécurisée bidirectionnelle via code d’accès
• Suivi automatique des délais avec notifications de retard
• Piste d’audit immuable et export PDF des dossiers
• Hébergé chez Hetzner à Nuremberg, Allemagne — toutes les données restent dans l’UE

Consultez notre analyse de conformité article par article pour les détails.