La sortie de la norme ISO 37002 concernant les systèmes de management des alertes est prévue pour cette année. Première norme ISO entièrement dédiée au management des alertes, ses lignes directrices visent à aider les organisations à mettre en place un dispositif d’alertes professionnelles afin qu’elles soient en mesure de gérer les rapports reçus de manière efficace, et ce dans l’optique de gagner de la valeur à long terme.
Des experts de chez WhistleB sont impliqués dans le développement de la norme ISO 37002 qui est mené par le coordinateur ISO, le Dr Wim Vandekerckhove. Jan Stappers de chez WhistleB a interviewé le Dr Vandekerckhove afin de connaître son point de vue sur la manière dont cette norme va aider les organisations à créer une culture de la transparence, de la confiance et de l’éthique grâce à leurs dispositifs d’alertes professionnelles.
« Nous n’avons pas besoin de nouveaux lanceurs d’alerte. Ce dont nous avons besoin, c’est d’être simplement plus à l’écoute des lanceurs d’alerte existants. » Dr Wim Vandekerckhove.
1. Parlez-nous un peu de vous, Wim. Je suis professeur d’éthique des affaires à l’université de Greenwich, à Londres. Je focalise mes recherches sur les aspects institutionnels des alertes professionnelles, et mon plus important champ de recherche concerne la fiabilité des processus et des procédures au sein des structures d’organisation. Je suis codirecteur du CREW, le Centre for Research on Employment and Work. J’y étudie spécifiquement l’impact social de nos recherches en dehors du milieu universitaire. Je suis également rédacteur en chef du journal Philosophy of Management. Voici d’où proviennent nombre de mes inspirations.
2. Pourquoi un professeur en éthique des affaires a-t-il pris part au développement de cette norme ISO sur les systèmes de management des alertes ? Selon moi, les répercussions des recherches menées en dehors du milieu universitaire sont très importantes. Mes centres d’intérêt de recherche ont toujours touché la question institutionnelle des alertes professionnelles, pas côté lanceurs d’alerte, mais du côté des personnes qui reçoivent les rapports émis par les lanceurs d’alerte. Que font-elles de ces rapports ? Quels éléments de ces rapports n’exploitent-elles pas ? La norme ISO 37002 rentre véritablement dans ce cadre.
De nombreuses discussions ont porté sur la forme que devrait adopter cette norme ISO. Nous avons étudié un certain nombre de directives nationales existantes (Australie, Canada, France, Japon et Royaume-Uni) et avons constaté que chacune avait une approche, des lacunes et un style qui lui étaient propres. Pour la norme ISO 37002, il y a eu consensus sur le fait qu’elle devait établir des lignes directrices pour les systèmes de management des alertes. Pourquoi disposer d’un plan d’action ? Pour quel champ d’application ? Comment exploiter et surveiller le système ? Comment le contrôler ? C’est comme un cycle de management classique. Quel est le rôle des dirigeants ? Comment les soutenir ?
3. Selon vous, comment une approche systématique en matière d’alertes professionnelles peut-elle renforcer la transparence dans toute sorte d’organisation ou d’environnement de travail ? Il existe foncièrement un gouffre énorme entre ce qui se passe sur le lieu de travail et ce que les dirigeants des organisations ont connaissance, et ce non seulement en matière d’éthique, de délits ou de plaintes, mais aussi en matière d’aspects opérationnels qui tournent mal ou posent problème sur le lieu de travail. Il est parfois difficile de signaler ces informations aux dirigeants. C’est ainsi que les lacunes en matière de communication s’établissent.
Les systèmes de « libération de la parole » peuvent permettre d’améliorer la transparence et de combler ces lacunes. Pour schématiser, vous avez le personnel opérationnel, les cadres intermédiaires et les cadres dirigeants. Bien entendu, si les cadres dirigeants ne veulent pas en entendre parler, de tels dispositifs d’alertes professionnelles ne fonctionneront pas davantage. De nombreuses organisations – et je dirais même la plupart des cadres dirigeants – veulent avoir connaissance de ces problèmes, mais en fin de compte, ces informations restent bloquées à un certain niveau. Ce n’est pas que les cadres intermédiaires veulent cacher de manière intentionnelle de telles informations, mais ils se retrouvent pris entre deux feux. En ce sens, les dispositifs d’alertes professionnelles peuvent vraiment contribuer à pallier ce problème.
S’ils sont correctement mis en œuvre, ils offrent une meilleure transparence aux cadres dirigeants de l’organisation, mais aussi au personnel opérationnel. En effet, grâce à la mise en place de communications adaptées autour d’un tel dispositif, et grâce à l’apprentissage qu’on peut en retirer, il est possible de montrer au personnel opérationnel qu’un canal impartial existe, que l’organisation est réactive, et que si un problème se produit, il sera résolu. Cette manière de faire est également préventive, car elle avertit les transgresseurs qu’ils ne pourront pas s’en sortir comme ça.
4. En ce qui concerne les fautes professionnelles des entreprises, quels sont les problèmes les plus importants auxquels les organisations sont actuellement confrontées ou le seront dans les années à venir ? Ils auront un lieu direct avec la COVID. Le monde du travail est en train vraisemblablement de se transformer. Les travailleurs vont retourner au bureau, mais sans doute pas à 100 %. Plusieurs régimes de travail, que ce soit en termes de temps et d’espace, vont avoir une incidence sur le moment et la manière dont ces mauvaises conduites se produisent. Comment détecter ces mauvaises conduites par le biais des processus de vérification classiques, par exemple ? Comment construire une culture d’entreprise et un climat éthique pour empêcher ces mauvaises conduites de se produire quand les employés sont en télétravail ? Voici les principaux problèmes auxquels nous aurons à nous occuper.
5. Quels sont les principaux objectifs de la norme ISO 37002 ? Ils concernent le traitement des rapports et non les lanceurs d’alerte. La norme ISO 37002 donne des lignes directrices aux organisations sur la manière dont elles doivent mettre en place un système capable de traiter les rapports. Nous avons principalement porté notre attention sur la réception des rapports, l’évaluation des rapports, notamment leur triage et leur résolution. Certains rapports doivent être examinés, puis la mauvaise conduite doit être sanctionnée. Ensuite, d’autres cas de lancement d’alerte doivent être clôturés. Voici les quatre étapes qui composent le traitement des rapports de lancement d’alerte.
Pour le moment, la norme ISO 37002 n’est pas une norme certifiable comme la norme anticorruption ou celle sur la conformité, mais elle est au service de ces normes. C’est comme une norme autonome qui peut être facilement utilisée conjointement avec d’autres normes connexes.
6.Imaginons que je sois un chef d’entreprise à la recherche de la meilleure manière d’intégrer un dispositif d’alertes professionnelles au sein de ma structure, en quoi la norme ISO 37002 sera particulièrement intéressante pour moi ? Cette norme vous donne la marche à suivre pour intégrer un dispositif d’alertes professionnelles au sein de vos autres systèmes. Les organisations disposent déjà de système de règlement des plaintes. Dans certains pays, certaines exigences spécifiques en matière d’intimidation et de harcèlement doivent être respectées, et des dispositifs similaires y ont déjà été mis en place. La norme ISO 37002 donne des orientations sur la manière d’intégrer un dispositif d’alertes professionnelles adapté à vos besoins, de renforcer vos efforts et d’assurer l’intégrité de votre organisation par d’autres moyens. La norme vous indique ce à quoi vous devez penser lorsque que vous planifiez d’intégrer de tels dispositifs, comment vous en servir et comment les vérifier. Quelles nouvelles connaissances peuvent vous apporter ces dispositifs ? C’est vraiment très utile !
7. Quelles organisations ont collaboré au projet de cette norme ISO 37002 ? Les organismes nationaux de normalisation de plus de 40 pays y ont contribué. Chacun dispose de ses propres comités. Par exemple, au Royaume-Uni, pour la norme BSI, il y avait des experts venant de sociétés d’ingénierie, d’organismes de soins de santé, d’hôpitaux, des personnes travaillant dans les instances gouvernementales et aussi des entreprises qui offraient des services de conseil et d’orientation sur les questions d’intégrité. Je crois que vous aussi, Jan, faisiez aussi partie du comité miroir national des Pays-Bas.
Le groupe de travail ISO avait une composition similaire, sauf qu’il y avait différents représentants des organismes nationaux plus Transparency International, l’OCDE, l’Employee Business Resource Group, laConfédération européenne des syndicats, etc.
8. Comment s’est déroulé jusqu’à maintenant le développement de cette norme ISO 37002 ? À quelle étape en êtes-vous actuellement, quand cette norme sera-t-elle disponible et de quelle manière le sera-t-elle ? Nous en sommes actuellement à l’étape finale. La première version a été terminée. La deuxième version a ensuite été rédigée, puis a été soumise à commentaires. Nous avons d’ailleurs reçu des centaines de commentaires de la part des comités nationaux. Ensuite, le groupe de travail ISO a effectué un certain nombre de modifications jusqu’à arriver à une nouvelle version. Celle-ci a ensuite été transmise pour vote et aux fins de commentaires. Les difficultés soulevées ont été résolues et nous en sommes désormais à l’étape de la version finale qui a été transmise pour approbation finale et corrections mineures.
Le projet se déroule comme prévu et devrait se terminer en avril de cette année, ou bien en mai. Les normes sont rendues accessibles sous forme de documents qui peuvent être achetés et de plusieurs types de licences qui peuvent être souscrites.
9. Comment les directives données par la norme ISO 37002 viennent-elles compléter la directive européenne sur les lanceurs d’alerte et sont parfaitement alignées avec celle-ci ? Dans la directive européenne, les exigences que doivent respecter les organisations en matière de dispositifs internes d’alertes professionnelles sont, à mon sens, tout à fait minimes. Toute organisation doit disposer d’un tel dispositif et celui-ci doit être confidentiel. Toutefois, disposer d’un dispositif interne d’alertes ne garantit en rien son efficacité. J’ai souvent dit que nous n’avons pas besoin de nouveaux lanceurs d’alerte, ce dont nous avons besoin, c’est d’être simplement plus à l’écoute des lanceurs d’alerte existants. De nombreuses entreprises croient encore que ce qui importe le plus, c’est le nombre de rapports, qu’une mauvaise conduite ne peut pas être résolue si elle n’est pas signalée. Je pense que c’est une erreur, car même si c’est très souvent le cas, l’information n’arrive pas nécessairement aux personnes compétentes ou n’est tout simplement pas correctement traitée.
D’ailleurs, cette question n’est pas abordée dans la directive européenne. Indirectement, c’est comme si les personnes allaient être protégées si elles signalent toute mauvaise conduite à un régulateur en interne ou aux médias. Donc indirectement, cela veut dire que les organisations doivent améliorer le traitement de leurs rapports en interne. Des recherches menées au Royaume-Uni, aux États-Unis et en Australie montrent que plus de 90 % des rapports de signalement sont effectués, au départ, en interne. Les organisations ont alors l’occasion de sanctionner les mauvaises conduites dans le cadre de leurs attributions. La question est simple : êtes-vous en mesure d’écouter vos lanceurs d’alerte ? Si non, vous avez besoin de canaux performants.
Ce que les recherches effectuées en Australie nous ont également appris (Whistling while they work, université Griffith) c’est que lorsque vous disposez d’un canal de signalement, vous recevez des cas qui concernent clairement un problème d’intérêt public, un problème d’intégrité. De l’autre côté, vous avez des cas qui relèvent clairement de plaintes personnelles. La majorité des autres cas se trouvent entre les deux. Même si ces cas peuvent concerner une tension entre collègues ou un antécédent manifeste, ils soulèvent de réelles inquiétudes. Comment s’en occuper ? Dans le cadre de cette recherche, les lanceurs d’alerte et les personnes qui traitaient les rapports ont tous été interrogés, et tous ont dit la même chose. Ces types de cas sont ceux qui tournent mal et qui sont les plus difficiles à traiter.
Ce que je retire de cette recherche, c’est que les rapports sont souvent trop rapidement classés sans suite. Par exemple, on se dit : « Oh, c’est juste une plainte ». Pourquoi fait-on cela ? Serait-ce parce qu’un responsable de la vérification de la conformité, sous couvert de son poste, dit « Ce n’est pas conforme, classe-le sans suite » ? Cet aspect est crucial à l’amélioration du processus de traitement. Tout ce qui est fait pour améliorer le traitement est profitable à tous. C’est la raison pour laquelle je suis content que cette norme ISO accorde beaucoup d’attention à l’étape de triage. La directive européenne n’en parle pas, mais la norme ISO donne des orientations là où la directive européenne reste muette.
10. La loi européenne sur la protection des lanceurs d’alerte a été prévue pour accélérer l’adoption des dispositifs d’alertes professionnelles dans toute l’Europe. Quel regard portez-vous sur le fait que les entreprises peuvent tirer plus largement profit de leur mise en conformité avec cette nouvelle loi ? Cela dépendra de la taille de l’organisation. Si on prend une organisation d’une taille respectable, celle-ci va recevoir une centaine de rapports par an, va pouvoir exploiter ces informations et analyser les différentes cultures d’entreprise présentes en son sein. En mettant en place un dispositif d’alertes professionnelles, tout ce que cette organisation recevra, ce sont des plaintes personnelles. Que cela révèle-t-il de sa propre culture d’entreprise ? Rien ne sert de blâmer le système. En fait, cela veut dire quelque chose sur sa culture d’entreprise, et l’heure est à l’action.
Par conséquent, en plus de pouvoir remédier très tôt à de mauvaises conduites, les dispositifs d’alertes professionnelles fournissent des informations additionnelles à exploiter qui vont aider l’organisation à devenir plus réactive. Je connais de nombreuses organisations qui disposent d’un canal de signalement, mais elles utilisent toutes la même technologie pour avoir aussi un canal de questions. Il permet aux personnes de tester le système. Si un employé veut signaler une mauvaise conduite, mais qu’il n’est pas tout à fait sûr de ce qu’il a vu, il peut tout simplement poser une question vague à ce sujet. Cette question ne constitue en rien une accusation. Il est donc facile d’y répondre et de communiquer aux personnes concernées la politique de l’entreprise. Ce processus inspire la confiance, une confiance qui peut parfois décider certaines personnes à signaler une mauvaise conduite. Quand on filtre les accusations, les questions reçues sur le canal de questions peuvent être rendues accessibles au sein de toute l’organisation. L’organisation signale ainsi qu’elle est ouverte aux questions concernant les problèmes d’éthique et qu’elle s’engage à y répondre. Il est alors possible de penser de manière plus large. Il ne s’agit plus simplement d’observer la loi, mais de se demander : « Qu’est-ce que cela peut nous apporter en plus ? ». C’est d’une grande force pour construire une culture éthique et montrer le caractère responsable de l’organisation.
À la fin de la journée, il doit exister un véritable lien de confiance entre l’organisation et ses lanceurs d’alerte en interne. Quand on enquête et que l’on constate des mauvaises conduites, il n’est pas toujours possible de transmettre tous les détails se reportant à l’enquête à la personne qui l’a signalé. Les lanceurs d’alerte doivent avoir confiance en le fait que l’organisation a vu leur déposition et qu’elle prend les mesures qui s’imposent, même si les actions entreprises ne sont pas toujours visibles. Je pense que disposer d’un dispositif d’alertes professionnelles peut aider en ce sens. Il ne permet pas uniquement d’observer la loi. Il permet aussi d’instaurer la confiance.
11. Avez-vous une opinion sur le rôle que la technologie peut jouer dans le fait d’inciter les personnes à signaler les mauvaises conduites et activités suspectes dont elles ont pu être témoins ? Oui, j’en ai une. Ces systèmes informatiques existent. Ils sont dits « anonymes dans les deux sens ». Vous pouvez communiquer avec une personne, celle-ci peut rester anonyme et vous aussi. Vous pouvez poser d’autres questions et votre interlocuteur restera anonyme. Ce que les recherches nous ont appris, c’est que si les gens ne lancent pas l’alerte, ce n’est pas parce qu’ils ont peur. En fait, ce qu’ils craignent, c’est que leur confidentialité ne soit pas respectée. Les systèmes en ligne ou ceux disponibles via une appli sont ici d’une grande aide. Le fait de pouvoir signaler en ligne une mauvaise conduite via un système qui respecte l’anonymat dans les deux sens va permettre de faire avancer les choses.
La technologie facilite aussi grandement le traitement efficace des rapports et permet d’horodater correctement chaque action de traitement. Avec les législations à venir, les organisations vont devoir de plus en plus montrer qu’elles ont fait ce qu’on pouvait raisonnablement espérer d’elles en matière de responsabilité. Tout cela a également été intégré à la norme ISO 37002. Je pense que cette solution est beaucoup plus simple que les hotlines téléphoniques. En mettant en place un système de communication qui reste anonyme dans les deux sens, il est alors aussi possible d’instaurer la confiance.
