Même si la première publication de la norme ISO37002 remonte à un an déjà, celle-ci commence à peine à susciter un certain intérêt. Et tout comme d’autres normes, elle semble porter à confusion. Dernièrement, nous avons reçu beaucoup de questions de tous types d’organisations. Comment pouvons-nous nous conformer à la norme ISO37002? SpeakUp® est-il conforme à la norme ISO37002? Pouvons-nous obtenir une certification ISO37002? Quel est le lien entre ISO37002 et la directive européenne sur la protection des lanceurs d’alerte? Voici les éléments à connaître.
ISO37002: Pourquoi et pour qui?
La norme de gestion ISO37002 de type B a été publiée pour la première fois en juillet 2021. Contrairement aux normes de type A, telles que la ISO27001, les normes de type B ne permettent pas de revendiquer une quelconque conformité. En d’autres termes, vous ne pouvez pas obtenir la certification ISO37002.
Voyez plutôt ISO37002 comme un ensemble de directives pratiques qui peuvent contribuer à l’amélioration de votre système de gestion des lanceurs d’alerte (Whistleblowing Management System: WMS). Ces lignes directrices s’appliquent aux organisations de tous types et de toutes tailles, quelle que soit la nature de leurs activités. L’objectif de la norme est d’accompagner les organisations tout au long du processus de mise en œuvre d’un WMS, de sa planification à son exploitation, en passant par sa révision ou encore son amélioration. Les organisations peuvent mettre en œuvre la norme ISO37002 de manière indépendante ou l’intégrer à d’autres normes ISO, car elle suit la même “structure harmonisée” (terminologie et séquence de clauses).
Comparaison entre ISO37002 et la directive sur la protection des lanceurs d’alerte de l’Union européenne
La directive européenne sur la protection des lanceurs d’alerte fournit un cadre juridique européen qui répertorie les exigences des organisations privées et publiques en matière de protection des lanceurs d’alerte. Ce cadre juridique concerne la confidentialité, la sécurité des données, les délais de réponse et les personnes qui traitent les alertes. La norme ISO37002, quant à elle, fournit aux organisations visant à exploiter un WMS efficace et de premier ordre un ensemble de lignes directrices pratiques qui explique comment mettre en œuvre ce cadre juridique.
Trois grands principes
La norme ISO37002 met en avant trois grands principes: la confiance, l’impartialité et la protection. Ce sont les principes sur lesquels vous devez vous concentrer tout au long du processus d’alerte. Par conséquent, vous devriez d’abord considérer votre système actuel et les politiques connexes qui renforcent ces trois éléments. Plus important encore, comment les professionnels de l’entreprise responsables de la gestion des alertes peuvent-ils contribuer à renforcer ces principes?
Dans quelle mesure votre WMS actuel est-il à l’épreuve de la norme ISO37002?
Voici 4 questions qui vous aideront à vous faire une première idée du degré de conformité de votre WMS actuel vis-à-vis de la norme ISO37002.
1. Votre système de gestion des lanceurs d’alerte est-il conçu autour d’un engagement à faire preuve de confiance, d’impartialité et de protection?
Assurez-vous que les professionnels de l’entreprise responsables du traitement des cas de dénonciation sont dignes de confiance. Commencez par passer en revue vos processus d’embauche. Une évaluation de l’intégrité fait-elle partie de votre processus de sélection? Il est impératif de fournir une formation adéquate pour veiller à ce que toutes les personnes impliquées dans la gestion des lanceurs d’alerte intègrent efficacement dans leurs démarches la confiance, l’impartialité et la protection. Les professionnels de l’entreprise peuvent avoir pour objectif une rétroaction active et une communication efficace afin d’établir une relation de confiance avec toute personne qui soulève une préoccupation. Pour cette raison, il est crucial de travailler avec un outil comme SpeakUp®, qui est conçu de manière à encourager le dialogue.
En outre, vous ne devez pas négliger la sécurité de vos canaux de signalement. Sont-ils aussi sûrs que possible? N’oubliez pas non plus d’exiger de votre prestataire de services d’alertes tout élément qui prouve la sécurité des données et la protection de l’anonymat du lanceur d’alerte. La présence d’ISAE3000 de type II ou de SOC2, auxquels viennent s’ajouter d’autres normes ISO pertinentes (ISO 27001, 27002 et 27701) peut vous aider à évaluer le niveau de maturité de votre prestataire dans ce domaine.
2. Les examens et enquêtes sur les signalements et comportements contraires à l’éthique ont-ils lieu en toute impartialité?
Évidemment, ce sont les personnes chargées de traiter les signalements qui ont le plus d’influence sur cette question. Vos chargés de dossier sont-ils des décideurs objectifs et équitables? Établissez des mécanismes de traitement des dossiers au sein de vos procédures internes pour traiter les conflits d’intérêts potentiels de manière adéquate. Naturellement, il convient d’éviter à tout prix les traitements de faveur. Informez les employés que, quel que soit leur poste dans l’organisation, votre WMS traite tous les signalements de la même manière. Essayez de démontrer et de renforcer cette attitude impartiale et ouverte dans toute l’organisation. Une façon d’y parvenir consiste à aborder le sujet dans votre code de conduite et votre politique en matière d’alerte. Vous devriez également créer des campagnes de sensibilisation pour promouvoir la lutte contre les comportements contraires à l’éthique.
Enfin, vous pouvez opter pour un système de signalements anonyme et externe tel que SpeakUp®. Cela peut vous aider à faire preuve d’impartialité de manière pragmatique et à renforcer la confiance. Nous savons d’expérience que les employés se sentent plus à l’aise en utilisant un système d’alerte externe plutôt que des canaux internes. Des solutions telles que les adresses e-mail dédiées ou les “personnes de confiance” ne semblent pas remporter les suffrages. La raison à cela est très simple: ces dispositifs sont perçus comme un compromis en termes de confidentialité. Cependant, en tant que prestataire externe, les employés nous considèrent souvent comme des experts impartiaux, dont la mission est de fournir l’outil de communication le plus sûr et un parfait anonymat.
3. Soutenez-vous suffisamment les lanceurs d’alerte?
Évaluez le soutien que vous fournissez actuellement aux lanceurs d’alerte. Considérez-vous toutes les parties sur un pied d’égalité? Soutenez le lanceur d’alerte, mais ne négligez pas l’accusé ou toute autre personne qui pourrait être impliquée. Le terme soutien comporte plusieurs facettes: il peut s’agir d’un soutien émotionnel, financier, juridique ou encore à la réputation. Vous pouvez également mettre l’accent sur le soutien offert dans votre code de conduite et votre politique SpeakUp, ou même dans votre manuel de l’employé. Après tout, l’objectif est de veiller à ce que vos employés n’aient pas peur de “sonner l’alarme” sans crainte de représailles.
4. Avez-vous établi une culture qui invite chaque personne à s’exprimer à toutes les étapes de votre processus de mise en œuvre de votre WMS?
Cherchez à promouvoir une culture encourageant l’expression ouverte au sein de votre organisation. Comment la direction de l’entreprise contribue-t-elle à renforcer cette culture par sa conduite ? Il est de sa responsabilité d’établir, mais aussi de maintenir cette culture. De plus, il est essentiel que les dirigeants fassent preuve d’un leadership fort et d’un engagement constant vis-à-vis du WMS. Pensez à demander à la direction de vous aider à promouvoir les signalements et l’expression des inquiétudes lors de formations, mais aussi dans les politiques et les autres campagnes de sensibilisation au lancement d’alerte. Dans l’intervalle, assurez-vous d’endosser publiquement, mais prudemment, les alertes. Envisagez de nommer des employés “ambassadeurs SpeakUp”. Ils pourraient promouvoir le système en répondant à des questions ou en expliquant comment fonctionne votre canal de communication SpeakUp®. Dans tous les cas, vous devez faire très attention à ne jamais révéler l’identité de quiconque.
Les étapes suivantes
Comme vous pouvez le voir, un WMS conforme à la norme ISO37002 est le fruit d’un effort collectif. Il exige d’avoir les bons outils, et que ceux-ci soient soutenus par les bonnes politiques, toutes gérées et protégées par les bonnes personnes. SpeakUp® est un outil qui peut vous aider à aligner votre WMS sur la norme ISO37002 en toute simplicité.
Vous êtes prêt à démarrer? Nous pouvons vous aider à lancer SpeakUp®, notre outil complet de lancement d’alerte et de gestion de dossiers, rapidement et en douceur. Contactez-nous pour plus d’informations.
Remarque: Cet article ne doit pas être considéré comme un guide officiel sur la façon de se conformer à la norme ISO37002. Pour plus d’informations, veuillez consulter le site ISO officiel où vous pouvez consulter la version officielle de la norme.
Échangez avec nos experts
Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?