Un système de dénonciation numérique est un canal de signalement qui permet à un dénonciateur de soumettre des informations sur des infractions de manière confidentielle ou anonyme. Ce canal de signalement fait partie du système de gestion de la conformité et sert à la détection précoce des violations des règles et des infractions pénales.
Les lois nationales de protection des dénonciateurs sont basées sur Directive européenne 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 relative à la protection des personnes qui signalent des infractions au droit de l'Union, qui devait être transposée dans le droit national de tous les États membres de l'UE. La loi sur la protection des lanceurs d'alerte stipule que les lanceurs d'alerte doivent disposer de canaux de signalement confidentiels appropriés. En outre, la possibilité d'une communication adéquate entre le bureau de signalement interne et le dénonciateur doit être assurée. Il est nécessaire de disposer d'un logiciel de dénonciation numérique simple et sûr qui, d'une part, réponde aux exigences légales et, d'autre part, garantisse la protection du dénonciateur ainsi que le traitement sécurisé et conforme à la protection des données des données sensibles. La meilleure façon de répondre à ces exigences est d'utiliser un logiciel de dénonciation anonyme et numérique.
Un système de dénonciation numérique permet à un dénonciateur de soumettre un rapport de violation en ligne de manière anonyme ou confidentielle. Il suffit de disposer d'un navigateur et d'une connexion internet intacte.
Le soi-disant SaaS (Software as a Service) est basé sur le cloud, ne nécessite aucune installation sur les terminaux de l'entreprise et permet une mise en œuvre simple et rapide. D'autres avantages sont la réduction des frais d'administration informatique, car il n'est pas nécessaire d'exploiter ses propres serveurs et d'installer des mises à jour. Le logiciel garantit à tout moment un accès indépendant des appareils et du lieu. Les centres de calcul certifiés selon la norme ISO 27001 garantissent la sécurité des données grâce à un système professionnel de gestion de la sécurité informatique. L'espace de stockage peut être étendu à tout moment. Si les exigences changent, il est possible de procéder à des adaptations du logiciel.
La grande flexibilité, la sécurité des données et la préservation des ressources informatiques propres rendent le SaaS très attractif pour les entreprises et les administrations.
Le système de dénonciation numérique de DISS-CO est un logiciel de dénonciation numérique sécurisé qui comporte de nombreux modules sélectionnables, des intégrations et des options de personnalisation. Le logiciel, qui peut également être utilisé comme logiciel de gestion des plaintes, offre des tableaux de bord et une gestion intuitive des dossiers qui stocke les données personnelles sensibles et les données relatives aux dossiers de manière centralisée, conformément à la directive DSGVO et de manière non manipulable. Le dénonciateur a le choix de soumettre un rapport anonyme ou confidentiel. Grâce à une communication cryptée et anonyme, il est possible d'obtenir des informations supplémentaires de la part du dénonciateur. Le fait de garantir l'anonymat du système de dénonciation crée également une sécurité et une confiance considérables dans le bureau de signalement interne et dans l'entreprise. En supprimant les métadonnées des pièces jointes, le système de dénonciation garantit l'anonymat technique. La communication interne et la communication avec les consultants peuvent également se dérouler exclusivement et de manière cryptée sur la plateforme. Cela réduit le risque de fuite de données. Un concept d'autorisation individuelle peut être utilisé pour réglementer l'accès au sein de l'organisation. Si le bureau d'information interne est partiellement ou totalement externalisé, les agents externes ont accès aux informations par le biais d'un concept d'autorisation. Les personnes qui participent à la clarification d'un cas peuvent obtenir facilement et rapidement un accès pour la gestion des tâches sans devoir consulter l'ensemble du cas. Cela permet à la personne responsable du dossier d'avoir à tout moment une vue d'ensemble des tâches et de définir les délais et les dépendances. En outre, un tableau Kanban donne un aperçu de l'état des tâches en suspens et en cours. Pour la sécurité de l'audit, toutes les informations sont enregistrées et ne peuvent être modifiées jusqu'à la suppression définitive de l'ensemble du dossier. Le logiciel rappelle également les délais légaux.
Le traitement centralisé, sécurisé et inviolable des informations, associé à une communication sécurisée, dans le respect de l'anonymat de la personne qui a donné l'alerte, côté système, permet un traitement efficace des cas.
De nombreuses entreprises continuent de mettre à disposition une adresse électronique générale pour signaler les infractions.
Si la personne qui donne l'alerte souhaite rester anonyme, il n'y a pas d'autre solution que de créer un compte de messagerie anonyme. La création d'un compte e-mail auprès d'un fournisseur de messagerie privé est aujourd'hui très simple et gratuite. Toutefois, cette méthode présente un certain nombre d'inconvénients et de risques.
Les e-mails ne sont généralement pas cryptés, ce qui constitue un risque pour la sécurité de l'entreprise. De plus, les collaborateurs sont pratiquement obligés de transmettre des informations internes à l'entreprise via un fournisseur de messagerie privé. Les informations sensibles peuvent être récupérées pendant ou après la transmission. Les fournisseurs de messagerie américains habituels tels que Google et Yahoo transmettent les données sur des serveurs situés aux États-Unis ou ailleurs, ou à des sous-traitants ou à des sociétés partenaires qui, à leur tour, traitent les informations et les transmettent à leurs sous-traitants et partenaires. Pour les utilisateurs/trices, l'écheveau du traitement des données n'est pas transparent. Si, par exemple, les autorités américaines interviennent dans le cadre d'une enquête externe, les fournisseurs d'accès sont tenus de coopérer et doivent transmettre les informations et les e-mails aux autorités. Les personnes concernées ne sont pas informées de cette transmission. Dans les deux cas, la conséquence est que des informations sensibles internes à l'entreprise sont transmises et traitées de manière incontrôlée.
Les collaborateurs utilisent en outre parfois leurs terminaux privés, selon la structure et les directives informatiques de l'entreprise. Soit parce qu'ils n'ont pas besoin de terminaux tels que les ordinateurs portables et les smartphones pour leur travail, soit parce qu'il existe une politique de "bring your own", soit encore parce que l'utilisation de terminaux privés à des fins professionnelles n'est pas réglementée. Pour la personne concernée, cela comporte un risque élevé. Dans le passé, il y a eu à plusieurs reprises des cas de whistleblowing avec des conséquences pénales pour le lanceur d'alerte ou la lanceuse d'alerte en raison du transfert d'informations de l'entreprise dans le domaine privé. Les données ont été transférées physiquement ou numériquement en vue de leur transmission à des services d'alerte externes ou à la presse de l'environnement de l'entreprise, parfois après que la personne ait subi des représailles suite à une alerte interne. Il importe peu que les données soient transférées physiquement dans un ou plusieurs classeurs ou numériquement sur des supports de stockage externes ou par courrier électronique. C'est le transfert en lui-même qui est pertinent. Le volume des données transférées est également important.
Les transmissions de données via les terminaux de l'entreprise et depuis le réseau de l'entreprise peuvent être retracées à l'aide de différentes méthodes. Cela peut révéler l'identité du dénonciateur anonyme. L'utilisation du logiciel de dénonciation numérique Smart Intergity Platfom par DISS-CO et l'application des lignes directrices associées, qui interdisent notamment le suivi de l'utilisation de l'URL spécifique par les services informatiques, sont plus sûres.
Si des fichiers sont joints au rapport, les métadonnées peuvent être utilisées pour déterminer l'identité de la personne qui a fourni l'information. Les métadonnées sont jointes à chaque fichier et fournissent des informations sur l'auteur, les utilisateurs et l'historique du fichier, entre autres. Si la personne qui fournit les informations est suffisamment compétente pour supprimer elle-même les métadonnées, les informations ne peuvent pas être retracées. La pratique nous a appris que seul un faible pourcentage des personnes qui font habituellement des rapports possèdent les connaissances techniques nécessaires ou sont disposées à se documenter en détail sur le sujet. C'est pourquoi le logiciel de dénonciation numérique de DISS-CO supprime automatiquement les métadonnées des rapports anonymes.
En outre, pour des raisons de sécurité, certaines entreprises utilisent des outils appelés Data Loss Prevention (DLP), qui peuvent enregistrer et surveiller toutes les actions. Les outils DLP peuvent être utilisés à titre préventif pour empêcher le vol de données, mais ils conviennent également très bien à la surveillance des collaborateurs et peuvent compromettre l'anonymat du lanceur d'alerte. Les lanceurs d'alerte seraient bien avisés de s'informer au préalable sur l'utilisation des outils DLP s'ils souhaitent utiliser le système d'alerte pour un signalement anonyme.
L'utilisation d'une adresse e-mail comme canal lanceurs d'alerte internes présente de nombreux risques pour l'entreprise et la personne qui dénonce. Les informations sensibles internes à l'entreprise sont traitées et transmises de manière incontrôlée à l'extérieur, peuvent être utilisées de manière abusive et causer des dommages financiers et de réputation. Les conséquences négatives possibles pour le lanceur d'alerte diminuent la confiance dans le système d'alerte, ce qui conduit à une utilisation moindre du système d'alerte. Cela conduit à son tour à ce que les infractions restent plus longtemps non détectées.
En mettant en place un système sécurisé de système de dénonciation numérique comme la plateforme d'intégrité intelligente de DISS-CO, les entreprises et les autorités peuvent assurer la sécurité des dénonciateurs et détecter les risques à un stade précoce.
DISS-CO® est une entreprise innovante de legal tech avec un fort accent sur l'eGRC et la RegTech. Construite par des enquêteurs expérimentés dans la détection de fraudes et autres violations dans divers secteurs.
