Un hôpital dans un pays de l'UE a fait appel à une entreprise informatique pour fournir un système de signalement pour les lanceurs d'alerte. La solution avait pour but de permettre aux membres du personnel de signaler des fautes professionnelles et d'autres pratiques préoccupantes, afin qu'une équipe d'enquête de l'hôpital puisse ensuite assurer un suivi de manière confidentielle.
Cependant, le programme de l'entreprise informatique n'était pas conforme au Règlement Général sur la Protection des Données (RGPD) et n'aurait pas respecté les exigences de confidentialité de la Directive de l'UE sur la protection des lanceurs d'alerte. Cette dernière était également nécessaire, car au moment où le superviseur a sanctionné les deux parties pour leur implication dans l'incident, la directive avait déjà été intégrée dans la législation nationale de ce pays.
Le contexte
Les lanceurs d'alerte sont essentiels pour révéler les fautes au sein des entreprises et des organisations. Ceux qui sont témoins d'activités illégales ou dangereuses sur le terrain peuvent alerter la direction de tels incidents avant qu'ils ne se propagent et ne s'ancrent. Cela peut réduire les risques de sanctions pour non-conformité, de dommages à la réputation et, surtout dans le cas d'un hôpital, de maladie voire de décès.
L'hôpital s'est associé à l'entreprise informatique pour développer un système de lancement d'alerte interne. L'objectif était de permettre aux employés et autres parties prenantes de signaler des fautes, déclenchant une enquête qui pourrait établir les faits et décider des mesures à prendre pour rectifier les problèmes éventuels.
Cependant, le logiciel que l'entreprise informatique a installé ne respectait pas le RGPD. Il enregistrait les utilisateurs qui accédaient au logiciel en consignant leur activité et en la stockant dans des journaux de pare-feu.
Cela signifiait que quiconque ayant accès aux journaux pouvait identifier ses utilisateurs, y compris les lanceurs d'alerte. Personne n'a informé les utilisateurs de cet aspect du traitement de leurs données.
Lorsque cela a été mis en lumière, les deux parties ont été confrontées à des sanctions pour non-conformité au RGPD. Cependant, cela pourrait aussi signifier que ceux qui dénoncent des actes répréhensibles risquent d'avoir leurs informations divulguées, les exposant à des représailles potentielles.
Les deux parties ont reçu des amendes de 40 000 €.
Importance de la confidentialité
Il est crucial que votre système de lancement d'alerte protège les données des lanceurs d'alerte. Cela est important à la fois pour respecter les règles du RGPD et pour donner aux personnes signalantes la confiance dont elles ont besoin pour signaler un acte répréhensible sans craindre de représailles.
Seul le personnel autorisé devrait avoir accès au rapport d'un lanceur d'alerte via votre système de signalement interne. De plus, lorsque les règles de l'entreprise et le droit national le permettent, les personnes signalantes peuvent rester anonymes afin qu'aucune autre partie ne connaisse leur identité.
Dans de nombreux cas, cela est nécessaire pour encourager les lanceurs d'alerte à faire part de leurs signalements et de leurs preuves.
La solution
IntegrityLog prend au sérieux la confidentialité des données des lanceurs d'alerte. Notre système de lancement d'alertes en ligne est conforme au RGPD et sécurisé, de sorte que seules les personnes qui doivent connaître l'identité du lanceur d'alerte aient accès à ces informations. De plus, il existe l'option de permettre la notification anonyme.
L'utilisation d'un système de confiance comme IntegrityLog garantit à vos employés qu'ils peuvent signaler en toute confiance et aide les équipes de conformité à maintenir leur adhésion aux strictes lois européennes sur la vie privée.
Demandez une démonstration pour découvrir comment créer un système de lancement d'alerte conforme pour votre organisation.
Références et lectures complémentaires
- Répondre aux exigeances de la Directive Européenne sur les lanceurs d'alertes
- 4 exemples intéressants de lancement d'alerte en entreprise
- Encourager le lancement d'alerte en entreprise
- Les différences entre code de conduite et code d'éthique