« Improviser, ça ne s’improvise pas » est l’adage bien connu des ténors du barreau et des artistes de scène.
Article original publié dans le numéro 99 du Journal du Management Juridique d’Entreprises, paru le 6 mai 2024 et accessible sur le site du Village de la Justice.
Mais ce pourrait tout aussi bien être la devise des compliance officers pour le traitement des alertes professionnelles et la gestion des enquêtes internes.
En ouvrant une ligne d’alerte à ses employés et aux tiers, l’entreprise rend possible la transmission d’allégations dont elle n’a pas connaissance par ailleurs. Il n’est donc pas possible de prévoir quelles allégations vont être reçues, et encore moins d’anticiper les mesures d’enquêtes à mettre en œuvre.
Est-ce à dire qu’il suffit de mettre en place une ligne d’alerte professionnelle et d’attendre que les lanceurs d’alertes l’utilisent pour traiter chaque alerte au cas par cas ? A la lumière de l’adage précité, cette question est bien évidemment rhétorique.
L’ouverture d’un dispositif d’alerte professionnelle est certes un élément indispensable de la mise en conformité de l’entreprise avec la réglementation en vigueur (cf. lois Waserman et Sapin 2 notamment). Mais cette étape technique est loin de suffire à couvrir tous les risques de non-conformité visés par ces mêmes textes. Dans le traitement des alertes et la conduite d’enquête, une « improvisation improvisée » peut elle-même exposer l’entreprise à des risques de non-conformité et/ou endommager gravement sa réputation.
En la matière, la préparation à l’improvisation doit s’organiser comme toute gestion d’incident par la rédaction de procédures écrites, connues et approuvées par les organes de direction de l’entreprise ainsi que par le recours à des professionnels compétents. Ces procédures peuvent être simplement rassemblées au sein d’un même document : le protocole de traitement des alertes et de conduite des enquêtes internes.
Un tel protocole définit notamment les critères mêmes d’ouverture d’une enquête. Si ces critères ne sont pas définis, la direction risque d’être perçue comme complaisante ou injuste quand elle décide, à travers son Compliance Officer, de ne pas ouvrir d’enquête. En cas de décision inverse, les personnes visées par l’enquête pourront reprocher Compliance Officer (de bonne ou mauvaise foi) le caractère discrétionnaire de ses décisions.
Il faut donc coucher noir sur blanc les conditions qui doivent être remplies pour qu’une enquête soit ouverte, ne serait-ce que pour éviter de générer une charge de travail considérable en ouvrant une enquête pour chaque alerte reçue. La fonction chargée de centraliser les allégations et les soupçons doit disposer d’un processus d’évaluation solide, transparent et rationnel afin de s’assurer que les intérêts de toutes les parties concernées sont pris en considération lorsqu’il s’agit de décider d’enquêter ou non.
Un protocole d’enquête doit également définir les objectifs d’une enquête interne et ses conditions d’exécution. Même s’il est impossible de prévoir à l’avance tous les cas spécifiques qui se présenteront, certaines décisions peuvent être anticipées. Il est même préférable de définir à l’avance, sereinement, les paramètres de conduite des enquêtes internes, plutôt qu’au cas par cas, sous la pression d’une allégation.
Au nombre de ces paramètres figurent bien évidemment la compétence et l’indépendance des personnes chargées de l’enquête, mais aussi la liste des destinataires du rapport d’enquête. La réflexion sur un tel protocole permettra à l’entreprise d’anticiper certaines questions épineuses comme celle des droits et devoirs des employés faisant l’objet d’une enquête ou les implications d’une enquête en matière de protection des données personnelles. La rédaction d’un tel protocole est par ailleurs l’occasion pour l’ensemble des fonctions de l’entreprise (RH, Finance, Audit, Juridique) de bien définir leurs rôles respectifs dans la conduite d’une enquête et d’éviter que chacun agisse en silo lorsqu’une allégation est portée à sa connaissance.
Enfin, la définition d’un protocole d’enquête permettra de distinguer la gestion d’incident de la gestion de crise en envisageant les cas d’alertes les plus sérieux. Certaines alertes peuvent en effet contenir des allégations crédibles contre les dirigeants eux-mêmes, viser des comportements engageant la responsabilité pénale de l’organisation ou mettant en péril ses relations commerciales.
Pour ce type d’alertes, plus encore que pour les plus courantes, l’improvisation peut avoir des conséquences désastreuses pour l’entreprise. Ces cas doivent donc être eux aussi anticipés à travers la définition du rôle de l’instance dirigeante et l’identification des prestataires externes à mobiliser (cabinets d’avocats, agence de communication, etc.) pour former une « cellule de crise ». Ce type de crise peut être simulé dans le cadre d’un exercice auquel tous les contributeurs potentiels participeraient afin de bien connaître leur rôle et d’être plus serein dans le traitement d’une alerte authentique. Des sujets concrets comme la confidentialité des communications ou les échanges avec les régulateurs pourront être abordés dans ces exercices.
Plutôt que d’improviser sa démarche de gestion des alertes, l’entreprise doit adopter une démarche d’anticipation et d’adaptation qui lui permettra de développer sa résilience et de tirer le meilleur parti de son dispositif d’alerte.