Résumé succinct
La directive 2019/1937 est désormais pleinement en vigueur. Voici ce que votre organisation doit mettre en place : des canaux de signalement sécurisés, une tenue de registres, des protections anti-représailles et une procédure de réponse qui résiste à l'examen réglementaire.
- Ce que le flux de travail de conformité doit prouver.
- Quels contrôles et preuves les acheteurs devraient vérifier.
- Comment HubSecure s'adapte sans remplacer les conseils juridiques.
Directive européenne sur le whistleblowing: Guide de conformité pour les entreprises réglementées: Tout ce que les entreprises réglementées doivent savoir sur la directive de l'UE sur le whistleblowing (2019/1937): qui doit se conformer,..
HubSecure est pertinent lorsque les équipes ont besoin de dossiers clients sécurisés, de collecte de documents, de propriété des flux de travail, d'accès fondé sur le rôle et de preuves prêtes à l'audit dans un espace de travail régi.
La directive de l'UE sur le whistleblowing (directive 2019/1937/UE) impose à toute organisation de 50 salariés ou plus d'exploiter une chaîne de déclaration interne confidentielle. Les petites entreprises réglementées — en particulier dans les services financiers, les soins de santé et les services juridiques — doivent faire face à la même obligation, quel que soit leur effectif. Les délais nationaux de transposition ont maintenant été respectés dans tous les États membres de l'UE. Si vous n'êtes pas encore conforme, vous êtes déjà en danger.
Ce guide couvre les exigences essentielles de la directive, les erreurs communes de mise en œuvre et une liste de contrôle pratique en 12 étapes.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Portée : Qui doit se conformer?
La directive a un large champ d'application. Les canaux de déclaration internes obligatoires s'appliquent :
Organisations du secteur privé
- 50 employés et plus — toutes les obligations, y compris les procédures écrites, les délais de réponse et la conservation des dossiers
- 10 à 49 salariés peuvent partager des canaux avec d'autres PME en vertu de la législation nationale, mais les protections de base s'appliquent
- Moins de 50 salariés dans les secteurs réglementés (AML, services financiers, aviation, nucléaire) — obligations complètes quelle que soit leur taille
- Toutes les entités juridiques de services financiers soumises aux actes énumérés à la partie II de l'annexe
Pour la plupart des cabinets d'avocats, des fintechs, des comptables et des organisations de soins de santé, le « secteur réglementé » s'écarte signifie que le seuil des employés n'est pas pertinent.
Les sept exigences fondamentales
Voie de déclaration sécurisée et confidentielle
Le canal doit permettre la production de rapports par écrit (électronique ou papier) et, sur demande, verbalement. Les canaux doivent protéger l'identité du journaliste et de tout tiers mentionné. Les lignes téléphoniques doivent être non-enregistrables à moins que le reporter n'y consente; les appels enregistrés doivent être transcrits et mis à disposition pour examen.
Responsable désigné et impartial
Une personne ou un ministère impartial doit être désigné pour recevoir, suivre et communiquer avec le reporter. Le gestionnaire peut être interne (par exemple, agent de conformité, chef du service juridique) ou externe, mais doit être indépendant de la gestion opérationnelle.
Remerciements dans les 7 jours
Les journalistes doivent recevoir un accusé de réception écrit dans les 7 jours civils. C'est un délai difficile. La plupart des organisations échouent ici simplement parce qu'elles ne disposent pas d'un flux de travail pour déclencher automatiquement la reconnaissance.
Suivi et retour d'information dans les 3 mois
Un suivi diligent doit avoir lieu, et la rétroaction sur les mesures prises (ou les raisons pour lesquelles aucune n'a été prise) doit être fournie dans les trois mois suivant l'accusé de réception. La rétroaction doit être aussi détaillée que possible.
Des informations claires sur les canaux externes
Les journalistes doivent être informés des voies de communication externes — autorités nationales compétentes, institutions de l'UE et, le cas échéant, divulgation publique. La communication de ces renseignements ne dispense pas les rapports internes; c'est une exigence de directive.
Protections contre les représailles
Toute forme de représailles contre un journaliste — licenciement, rétrogradation, harcèlement, contrôle négatif du rendement, mesures disciplinaires — est interdite et doit être annulée. Le fardeau de la preuve revient à l'employeur : vous devez démontrer qu'aucune mesure défavorable n'était liée au rapport.
Tenue de dossiers pendant 5 ans
Tous les rapports, les mesures de suivi et les communications doivent être conservés pendant au moins cinq ans. Les dossiers doivent être conservés de façon sécuritaire, contrôlés par l'accès et disponibles pour vérification. Ils ne doivent pas être conservés plus longtemps que nécessaire — en établissant un équilibre entre la conservation minimale et la minimisation des données au titre du RGPD.
L’intersection du RGPD
L'utilisation d'un canal de dénonciation signifie le traitement des données à caractère personnel — souvent des données sensibles sur des allégations d'inconduite. Cela crée un conflit direct entre votre obligation d'enquêter attentivement et votre obligation de minimiser le traitement des données personnelles.
Principales obligations du RGPD pour les canaux de dénonciation
- Base légale: l'article 6, paragraphe 1, point c), — obligation légale — couvre à la fois l'établissement obligatoire et l'exploitation de la chaîne
- Données de catégorie spéciale : Si les rapports portent sur des allégations criminelles, sur la santé ou sur des activités syndicales, l'article 9, paragraphe 2, points b) ou g), s'applique
- Droits de la personne concernée: les suspects (personnes déclarées) ont des droits limités, et non nuls. Vous pouvez retarder la divulgation d'informations si cela compromettait l'enquête
- Conservation : minimum de 5 ans en vertu de la directive; le RGPD exige que vous ne conserviez pas plus longtemps que nécessaire. Documentez explicitement votre justification de conservation
- Notification DPA: Plusieurs ADP nationaux (y compris l'AP néerlandaise et la CNIL française) ont publié des directives spécifiques exigeant la DPIA pour les systèmes de dénonciation
Pénalités en cas de non-conformité
| Violation | Exposition aux pénalités | Qui fait respecter |
|---|---|---|
| Défaut d'établir un canal | Droit national – typiquement 10K$–1M$+ | Autorité nationale compétente |
| Rétorsion contre un journaliste | Responsabilité civile, réintégration, dommages et intérêts | Tribunaux du travail + autorité compétente |
| Violation de la confidentialité | Responsabilité pénale dans certains États membres | Service des poursuites |
| Entraînement d'un rapport (obstruction) | Amendes pénales et administratives | Autorité compétente |
| Violation du RGPD (manipulation des canaux) | Jusqu'à 20 M$ / 4 % de chiffre d'affaires mondial | Autorité de protection des données |
Erreurs de mise en œuvre courantes
1. Utilisation de l'email comme canal de déclaration. Le courriel ne garantit pas la confidentialité, crée des problèmes de conservation mixtes et ne peut pas imposer les contrôles d'accès. La plupart des ADP nationaux ont signalé des boîtes de courriel génériques comme non conformes.
2. Nommer uniquement le PDG ou le directeur des RH comme gestionnaire. Les journalistes n'utiliseront pas de canal s'ils croient qu'il revient à la direction. Le gestionnaire doit être véritablement impartial, idéalement l'agent de conformité ou un fournisseur externe.
3. Aucune politique écrite n ' a été publiée au personnel. Les employés doivent être informés de l'existence du canal, de la façon de l'utiliser et des protections dont ils disposent. Une politique enfouie dans le manuel des employés ne satisfait pas à cette exigence. Elle doit être communiquée activement.
4. Il manque l ' accusé de réception de 7 jours. Cette date limite est souvent manquée parce qu'il n'y a pas de flux de travail automatisé qui déclenche un accusé de réception. Un seul délai manqué est une violation prouvable de la directive.
5. Ne pas documenter les résultats de «aucune action». Si un rapport est jugé non fondé et qu'aucune mesure n'est prise, il doit être étayé par un raisonnement. Un enregistrement vierge implique que le rapport a été ignoré.
Signalement anonyme : devez-vous l’accepter ?
La directive n'oblige pas les organisations à accepter des rapports anonymes. Toutefois, le droit national varie:
- France : La tradition Sapin II signifie que les rapports anonymes doivent être acceptés et traités
- Allemagne (HinSchG): Chaînes anonymes recommandées mais non obligatoires
- Pays-Bas: Les rapports anonymes devraient être traités "dans la mesure du possible"
- Irlande, Royaume-Uni (après-Brexit PIDA): Informations anonymes acceptées mais moins protégées
La meilleure pratique est d'accepter des rapports anonymes, de les traiter avec la même diligence de suivi et de documenter que le journaliste a choisi de rester anonyme. Si un rapport ne peut faire l'objet d'une enquête sérieuse sans plus d'informations, expliquez pourquoi.
Liste de contrôle de conformité en 12 étapes
Liste de contrôle pour la mise en œuvre
Module de dénonciation intégré
HubSecure comprend un canal de dénonciation conforme au RGPD avec des présentations cryptées, un accusé de réception automatisé de 7 jours, un suivi de 3 mois et une conservation prête à l'audit de 5 ans – aucun outil de mise à jour n'est nécessaire.