Par système d'alerte, on entend un canal de signalement qui permet à une personne signalant un dysfonctionnement de fournir des informations de manière confidentielle ou anonyme. Un tel canal de signalement fait partie intégrante du système de gestion de la conformité et sert à la détection précoce de violations des règles et de délits.
La loi sur la protection des lanceurs d'alerte (HinSchG) a été adoptée par le Bundestag le 16.12.2022. La HinSchG stipule que des canaux de signalement anonymes appropriés doivent être mis à la disposition du lanceur d'alerte. En outre, la possibilité d'une communication appropriée entre le service interne de signalement et le lanceur d'alerte anonyme doit être garantie. Il faut un système de signalement simple et sûr qui, d'une part, réponde aux exigences légales et, d'autre part, garantisse la protection de la personne qui signale et le traitement sûr et conforme à la protection des données des données sensibles. La manière la plus appropriée de répondre à ces exigences est de mettre en place un système d'alerte anonyme et numérique.
Digital Logiciel d'alerte permet à une personne de signaler une infraction sur le web de manière anonyme ou confidentielle. Les conditions préalables sont un navigateur ainsi qu'une connexion Internet intacte.
Le soi-disant SaaS (Software as a Service) est basé sur le cloud, ne nécessite aucune installation sur les terminaux de l'entreprise et permet une mise en œuvre simple et rapide. D'autres avantages sont la réduction des frais d'administration informatique, car il n'est pas nécessaire d'exploiter ses propres serveurs et d'installer des mises à jour. Le logiciel garantit à tout moment un accès indépendant des appareils et du lieu. Les centres de calcul certifiés selon la norme ISO 27001 garantissent la sécurité des données grâce à un système professionnel de gestion de la sécurité informatique. L'espace de stockage peut être étendu à tout moment. Si les exigences changent, il est possible de procéder à des adaptations du logiciel.
La grande flexibilité, la sécurité des données et la préservation des ressources informatiques propres rendent le SaaS très attractif pour les entreprises et les administrations.
Le système de signalement digital de DISS-CO est un logiciel de signalement sécurisé basé sur le web avec de nombreux modules, intégrations et possibilités de personnalisation sélectionnables. Le logiciel, qui peut également être utilisé comme logiciel de gestion des plaintes, offre des tableaux de bord et une gestion intuitive des cas, qui stocke de manière centralisée des données sensibles relatives aux personnes et aux cas, conformément au RGPD et de manière inviolable. La personne qui signale un cas peut choisir d'envoyer un message anonyme ou confidentiel. Une communication cryptée et anonyme, comme l'exige la HinSchG, permet d'obtenir des informations supplémentaires de la part du lanceur d'alerte. La garantie de l'anonymat du système d'alerte crée en outre une énorme sécurité et confiance dans le service d'alerte interne et l'entreprise. En supprimant les métadonnées des fichiers joints, le système d'alerte assure l'anonymat technique. La communication interne ainsi que la communication avec les conseillers peuvent également se faire exclusivement et de manière cryptée sur la plateforme. Le risque de fuite de données est ainsi réduit. Grâce à un concept d'autorisation individuel, les accès peuvent être réglementés au sein de l'organisation. Si le service interne de signalement est partiellement ou totalement externalisé, les personnes externes chargées de traiter les informations ont accès à celles-ci via un concept d'autorisation. Les personnes qui aident à élucider un cas peuvent obtenir facilement et rapidement un accès pour la gestion des tâches, sans avoir à consulter l'ensemble du cas. Ainsi, la personne responsable du cas garde à tout moment une vue d'ensemble des tâches et peut définir des délais et des dépendances. De plus, un tableau Kanban offre une vue d'ensemble du statut des tâches à venir et en cours. Pour la sécurité de la révision, toutes les informations sont saisies et ne peuvent pas être modifiées jusqu'à la suppression définitive de l'ensemble du cas. Le logiciel rappelle en outre les délais légaux.
Le traitement centralisé, sécurisé et inviolable des informations, associé à une communication sécurisée, dans le respect de l'anonymat de la personne qui a donné l'alerte, côté système, permet un traitement efficace des cas.
De nombreuses entreprises continuent de mettre à disposition une adresse électronique générale pour signaler les infractions.
Si la personne qui donne l'alerte souhaite rester anonyme, il n'y a pas d'autre solution que de créer un compte de messagerie anonyme. La création d'un compte e-mail auprès d'un fournisseur de messagerie privé est aujourd'hui très simple et gratuite. Toutefois, cette méthode présente un certain nombre d'inconvénients et de risques.
Les e-mails ne sont généralement pas cryptés, ce qui constitue un risque pour la sécurité de l'entreprise. De plus, les collaborateurs sont pratiquement obligés de transmettre des informations internes à l'entreprise via un fournisseur de messagerie privé. Les informations sensibles peuvent être récupérées pendant ou après la transmission. Les fournisseurs de messagerie américains habituels tels que Google et Yahoo transmettent les données sur des serveurs situés aux États-Unis ou ailleurs, ou à des sous-traitants ou à des sociétés partenaires qui, à leur tour, traitent les informations et les transmettent à leurs sous-traitants et partenaires. Pour les utilisateurs/trices, l'écheveau du traitement des données n'est pas transparent. Si, par exemple, les autorités américaines interviennent dans le cadre d'une enquête externe, les fournisseurs d'accès sont tenus de coopérer et doivent transmettre les informations et les e-mails aux autorités. Les personnes concernées ne sont pas informées de cette transmission. Dans les deux cas, la conséquence est que des informations sensibles internes à l'entreprise sont transmises et traitées de manière incontrôlée.
Les collaborateurs utilisent en outre parfois leurs terminaux privés, selon la structure et les directives informatiques de l'entreprise. Soit parce qu'ils n'ont pas besoin de terminaux tels que les ordinateurs portables et les smartphones pour leur travail, soit parce qu'il existe une politique de "bring your own", soit encore parce que l'utilisation de terminaux privés à des fins professionnelles n'est pas réglementée. Pour la personne concernée, cela comporte un risque élevé. Dans le passé, il y a eu à plusieurs reprises des cas de whistleblowing avec des conséquences pénales pour le lanceur d'alerte ou la lanceuse d'alerte en raison du transfert d'informations de l'entreprise dans le domaine privé. Les données ont été transférées physiquement ou numériquement en vue de leur transmission à des services d'alerte externes ou à la presse de l'environnement de l'entreprise, parfois après que la personne ait subi des représailles suite à une alerte interne. Il importe peu que les données soient transférées physiquement dans un ou plusieurs classeurs ou numériquement sur des supports de stockage externes ou par courrier électronique. C'est le transfert en lui-même qui est pertinent. Le volume des données transférées est également important.
Les transmissions de données via les terminaux de l'entreprise et depuis le réseau de l'entreprise peuvent être retracées par différentes méthodes. L'identité du lanceur d'alerte anonyme peut ainsi être découverte. Il est plus sûr d'utiliser le logiciel de dénonciation basé sur le web Smart Intergity Platfom de DISS-CO et d'appliquer les directives correspondantes, qui interdisent entre autres le suivi de l'utilisation de l'URL spécifique par le service informatique.
Si des fichiers joints sont encore joints à la déclaration, les métadonnées permettent d'établir l'identité de l'auteur du signalement. Les métadonnées sont jointes à chaque fichier et fournissent entre autres des informations sur l'auteur, les utilisateurs et l'historique du fichier. Si la personne qui a signalé le fichier est suffisamment expérimentée pour supprimer elle-même les métadonnées, les informations ne peuvent pas être retrouvées. L'expérience nous a appris que seul un faible pourcentage des personnes qui signalent habituellement des informations disposent des connaissances techniques ou sont disposées à s'informer en détail. C'est pourquoi le logiciel de signalement de DISS-CO supprime automatiquement les métadonnées des signalements anonymes.
En outre, pour des raisons de sécurité, certaines entreprises utilisent des outils appelés Data Loss Prevention (DLP), qui peuvent enregistrer et surveiller toutes les actions. Les outils DLP peuvent être utilisés à titre préventif pour empêcher le vol de données, mais ils conviennent également très bien à la surveillance des collaborateurs et peuvent compromettre l'anonymat du lanceur d'alerte. Les lanceurs d'alerte seraient bien avisés de s'informer au préalable sur l'utilisation des outils DLP s'ils souhaitent utiliser le système d'alerte pour un signalement anonyme.
L'utilisation d'une adresse e-mail comme canal lanceurs d'alerte internes présente de nombreux risques pour l'entreprise et la personne qui dénonce. Les informations sensibles internes à l'entreprise sont traitées et transmises de manière incontrôlée à l'extérieur, peuvent être utilisées de manière abusive et causer des dommages financiers et de réputation. Les conséquences négatives possibles pour le lanceur d'alerte diminuent la confiance dans le système d'alerte, ce qui conduit à une utilisation moindre du système d'alerte. Cela conduit à son tour à ce que les infractions restent plus longtemps non détectées.
La mise en œuvre d'un système de signalement sécurisé basé sur le web, comme la Smart Integrity Platform, permet aux entreprises et aux autorités d'offrir une sécurité aux personnes qui signalent des problèmes et de détecter les risques à un stade précoce.
