Conformité à la Directive européenne sur les lanceurs d’alerte #
EthicsPortal est conçu pour maintenir votre organisation en conformité avec la Directive européenne 2019/1937 et le RGPD. Chaque fonctionnalité correspond directement à une exigence légale — pas de fonctionnalités superflues, pas de ventes additionnelles.
Directive 2019/1937 — Couverture article par article #
Canaux de signalement (Art. 8) #
Les organisations de 50 employés ou plus doivent mettre en place des canaux de signalement internes sécurisés.
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Canal sécurisé pour le signalement | Portail web chiffré avec URL unique par organisation |
| Confidentialité de l’identité du lanceur d’alerte | Chiffrement de bout en bout de toutes les données personnelles, aucune journalisation des adresses IP, suppression automatique des métadonnées des fichiers joints |
| Accessible à tous les travailleurs | Portail web fonctionnant sur tout appareil, aucune installation d’application ni création de compte requise |
| Personnalisable pour l’organisation | Catégories configurables, couleur de marque et message de bienvenue |
Procédures de signalement (Art. 9) #
| Exigence | Article | Comment EthicsPortal y répond |
|---|---|---|
| Désigner une personne ou un département impartial | Art. 9(1)(a) | Système d’assignation des dossiers avec contrôle d’accès basé sur les rôles — seuls les gestionnaires autorisés voient les signalements |
| Accuser réception dans les 7 jours | Art. 9(1)(b) | Suivi automatique des délais avec notifications par e-mail aux gestionnaires à l’approche ou au dépassement du délai de 7 jours |
| Suivi diligent | Art. 9(1)(c) | Gestion des dossiers avec workflow de statut (reçu, accusé de réception, en cours d’investigation, clôturé), notes internes pour la collaboration entre gestionnaires et journal d’audit complet |
| Communiquer le délai de retour au lanceur d’alerte | Art. 9(1)(d) | Le portail affiche le calendrier de retour de 3 mois ; les lanceurs d’alerte peuvent consulter le statut à tout moment via leur code d’accès |
| Fournir un retour dans les 3 mois | Art. 9(1)(f) | Suivi automatique du délai de 3 mois avec alertes de retard envoyées à tous les administrateurs de l’organisation |
| Proposer un signalement oral (téléphone ou en personne) | Art. 9(1)(e) | Numéro de téléphone configurable affiché sur le portail ; les gestionnaires peuvent enregistrer les signalements par téléphone, en personne et par courrier directement dans le système |
| Informer sur les possibilités de signalement externe | Art. 9(1)(g) | Le portail affiche des informations sur le droit du lanceur d’alerte de contacter les autorités nationales compétentes, en référence à la Directive 2019/1937 |
Champ de la protection (Art. 4) #
La Directive protège non seulement les employés, mais aussi les contractants, fournisseurs, actionnaires et autres tiers.
EthicsPortal affiche des indications claires sur le portail précisant que le signalement est ouvert aux employés, contractants, fournisseurs et tout autre tiers.
Anti-représailles (Art. 6, 19–21) #
Les lanceurs d’alerte doivent être informés que les représailles sont interdites par la loi.
EthicsPortal affiche un avis de protection contre les représailles sur chaque page du portail, en référence à la Directive 2019/1937, avant que le lanceur d’alerte ne soumette son signalement.
Confidentialité de l’identité (Art. 16) #
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Identité non divulguée au-delà du personnel autorisé | Contrôle d’accès basé sur les rôles — seuls les administrateurs et le gestionnaire assigné peuvent consulter un signalement. Les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés |
| Anonymat du gestionnaire vis-à-vis du lanceur d’alerte | Les lanceurs d’alerte voient « Gestionnaire du dossier » dans les messages, jamais le nom réel ni l’adresse e-mail du gestionnaire |
| Données sensibles chiffrées | Les noms des lanceurs d’alerte, leurs coordonnées, les descriptions des signalements et le contenu des messages sont chiffrés au repos avec un chiffrement non déterministe |
Conservation des documents (Art. 17–18) #
| Exigence | Comment EthicsPortal y répond |
|---|---|
| Conserver un registre de chaque signalement | Journal d’audit complet de toutes les actions : soumissions, changements de statut, messages, assignations et consultations de signalements |
| Documents stockés de manière sécurisée | Tous les champs sensibles sont chiffrés au repos |
| Documents récupérables | Export complet du dossier en PDF incluant les métadonnées, le fil de messages, la liste des pièces jointes et le journal d’audit. Rapport PDF de conformité au niveau de l’organisation disponible pour les auditeurs — incluant une checklist de la Directive, des métriques SLA et un résumé de la protection des données sans exposer les données sensibles des signalements |
| Supprimer les documents lorsqu’ils ne sont plus nécessaires | Durée de conservation configurable (12, 24, 36 ou 60 mois) avec suppression automatique des signalements clôturés expirés |
Conformité au RGPD #
| Exigence | Article | Comment EthicsPortal y répond |
|---|---|---|
| Base légale du traitement | Art. 6(1)(c) | Le traitement est nécessaire au respect de la Directive européenne 2019/1937 |
| Information sur le traitement des données | Art. 13/14 | Avis de confidentialité affiché sur le formulaire de soumission de signalement avant que le lanceur d’alerte ne soumette |
| Minimisation des données | Art. 5(1)(c) | Seuls les champs essentiels sont collectés ; le nom et les coordonnées du lanceur d’alerte sont facultatifs |
| Limitation de la conservation | Art. 5(1)(e) | Durée de conservation configurable par organisation avec suppression automatique |
| Intégrité et confidentialité | Art. 5(1)(f) | Chiffrement au repos pour toutes les données sensibles ; aucune journalisation des adresses IP sur les routes du portail ; suppression automatique des métadonnées des fichiers |
| Droit à l’effacement | Art. 17 | Suppression automatique basée sur la durée de conservation ; suppression manuelle disponible pour les administrateurs |
Mesures de sécurité #
| Mesure | Détail |
|---|---|
| Chiffrement au repos | Toutes les descriptions de signalements, noms des lanceurs d’alerte, coordonnées et corps des messages sont chiffrés avec un chiffrement non déterministe |
| Aucune journalisation des adresses IP | Les adresses IP des lanceurs d’alerte ne sont jamais stockées — la limitation de débit utilise des hachages irréversibles à sens unique |
| Suppression des métadonnées des fichiers | Les données EXIF (coordonnées GPS, modèle de l’appareil photo, informations sur l’auteur) sont automatiquement supprimées des images téléchargées avant le stockage |
| Identité anonyme du gestionnaire | Les lanceurs d’alerte ne voient jamais le nom réel du gestionnaire — les messages affichent « Gestionnaire du dossier » |
| Limitation de débit | Les points d’accès publics du portail sont limités en débit pour prévenir les abus |
| Contrôle d’accès | Les permissions basées sur les rôles garantissent que seuls les gestionnaires autorisés peuvent consulter les signalements ; les gestionnaires non-administrateurs ne voient que les dossiers qui leur sont assignés |
| Journal d’audit | Chaque action est enregistrée avec horodatage, acteur et type d’action — immuable et toujours disponible pour un examen réglementaire |
Ce que votre organisation doit encore faire #
EthicsPortal gère les exigences techniques. Votre organisation est responsable de :
- Désigner un responsable des signalements — assignez au moins une personne responsable du traitement des signalements
- Politique interne — adoptez une politique de protection des lanceurs d’alerte et communiquez-la aux employés
- Formation — assurez-vous que les gestionnaires désignés comprennent les obligations de confidentialité
- Application de la non-représailles — assurez-vous que la direction comprend que les représailles constituent une infraction légale
- Consentement à la divulgation de l’identité — si l’identité d’un lanceur d’alerte doit être partagée au-delà des gestionnaires autorisés (par exemple, avec les forces de l’ordre), obtenez d’abord le consentement explicite du lanceur d’alerte (Art. 16(2))
- Informer les travailleurs — partagez l’URL du portail avec les employés (EthicsPortal fournit un lien de partage et un QR code)
Des questions ? #
Les administrateurs peuvent télécharger un rapport de conformité PDF directement depuis la page des paramètres du portail. Il inclut une checklist complète de la Directive européenne 2019/1937, des métriques SLA, les mesures de protection des données et un résumé du journal d’audit — prêt à être remis à un auditeur sans exposer de données sensibles de signalement.
Si vous avez besoin d’aide pour démontrer votre conformité à votre équipe juridique ou à un régulateur, contactez-nous à [email protected].