Ne savez peut être pas
CES ENTREPRISES QUI AIDENT OU TRAQUENT LES LANCEURS D’ALERTE
Elle note que des technologies de surveillance spécifiques peuvent être employées par les gouvernements pour viser des journalistes ou des lanceurs d'alerte, engendrant un effet dissuasif : «La connaissance ou la perception d'être surveillé altère la manière dont on exerce sa liberté d'expression.»
La problématique de l'influence du secret de la défense sur la liberté d'expression n'est pas récente. En juin 2013, le programme Open Society Justice Initiative a diffusé un rapport influent, les «Principes de Tshwane», fruit de la consultation de plus de 500 experts de plus de soixante-dix pays. Ces recommandations internationales cherchaient un équilibre entre la sécurité nationale et le droit des citoyens à l'information, concluant que «les intérêts de la sécurité nationale sont en réalité mieux servis quand le public est correctement informé sur les actions de l'État, y compris celles réalisées au nom de la sécurité nationale.»
Malgré l'alignement de la législation française sur les directives européennes depuis 2022, tous les lanceurs d'alerte ne bénéficient pas systématiquement d'une protection effective. Interrogé sur les premières actions à entreprendre pour une personne détenant des informations d'intérêt général, Pierre Farge recommande de «sécuriser immédiatement les informations en sa possession comme mesure de protection en cas de problème.»
Les années passent, mais le problème reste le même : les entreprises face aux lanceurs d’alerte
Afin de contrer les risques de divulgation de documents confidentiels par des lanceurs d'alerte, les entreprises déploient des stratégies innovantes, incluant l'utilisation de logiciels avancés, le profilage et l'analyse comportementale. Des événements tels que la publication des câbles diplomatiques par WikiLeaks en 2010, les révélations d'Edward Snowden sur la surveillance de masse par les ÉtatsUnis en 2013, les affaires LuxLeaks en 2014 et SwissLeaks en 2015, ainsi que les Panama Papers, ont mis en lumière le rôle crucial des lanceurs d'alerte.
Des individus tels que Chelsea Manning, Stéphanie Gibaud, Edward Snowden, Julian Assange, Hervé Falciani, et Antoine Deltour ont joué un rôle déterminant en révélant au grand public les agissements douteux au sein des sphères politiques, judiciaires ou financières, grâce à la fuite de documents internes et confidentiels. Ces actes, allant du vol de données sensibles au téléchargement non autorisé de fichiers et à l'accès impropre à des documents internes, représentent des défis sécuritaires croissants pour les entreprises du monde entier.
Une étude d'octobre 2020 révélait que pour 70% des experts en sécurité, les menaces internes, allant de la divulgation de données par un lanceur d'alerte aux erreurs de manipulation du réseau informatique, constituent une menace plus grande pour la sécurité d'une entreprise que les attaques externes. En réponse, les entreprises, particulièrement celles ayant déjà subi des fuites, cherchent des moyens de se protéger contre ces risques internes.
Après le scandale des émissions polluantes en septembre 2015, Volkswagen a initié un programme de «coopération» avec ses employés, les encourageant à signaler toute irrégularité tout en leur assurant une protection contre le licenciement. Cinquante employés se sont alors manifestés pour rapporter des irrégularités au sein du groupe, selon un article du Monde de novembre 2015.
Suite à la fuite de documents confidentiels par Edward Snowden, ex-collaborateur de la CIA, l'agence a mis en place une nouvelle stratégie pour combattre la divulgation d'informations sensibles par ses agents ou anciens officiers dans les médias, en lançant une campagne pour «réinstaurer la culture du secret» parmi son personnel. La CIA a été confrontée à plusieurs reprises à des fuites délibérées de données, incluant les cas de John Kiriakou en 2007 et d'autres anciens membres de l'agence. Une note interne du directeur de la CIA, John Brennan, destinée à rester secrète et annonçant cette campagne, a ironiquement été elle-même divulguée dans la presse, d'après Le Figaro.
Parmi les mesures de sécurité adoptées par les entreprises, on trouve l'interdiction de l'usage des réseaux sociaux ou des téléphones professionnels pour un usage personnel, la promotion de la «discrétion professionnelle» chez les employés concernant les informations partagées avec des tiers, l'instauration de clauses de confidentialité et de chartes informatiques, la révision régulière des droits d'accès en fonction du poste de l'employé, le classement précis des données selon leur niveau de confidentialité, ainsi que l'éducation et la formation des employés sur les risques de fuites.
Chez HSBC France, ces formations sont devenues une étape indispensable pour les collaborateurs, visant à les sensibiliser sur la protection adéquate des données qu'ils traitent au quotidien et sur les risques liés à des attaques extérieures. Une employée d’HSBC France expliquait à Slate.fr que ces formations, existantes bien avant les fuites médiatisées, enseignent les bons gestes à adopter et soulignent l'importance de sécuriser les informations confidentielles. Elles recommandent notamment de faire preuve de prudence lors de l'utilisation de leur Blackberry professionnel dans des lieux publics, où des individus malveillants pourraient accéder aux données de l'appareil.
Quant au risque de voir des documents internes divulgués par un nouveau Hervé Falciani, HSBC reste discret sur ses mesures de sécurité spécifiques, se concentrant sur la prévention des erreurs passées (évasion fiscale, blanchiment d'argent, manipulation de taux...) et sur la surveillance des opérations bancaires pour détecter toute irrégularité. Le groupe propose également des formations spécialisées sur les procédures à suivre en cas d'activité suspecte sur le réseau informatique par un employé, comme le rapporte un autre collaborateur d’HSBC France.
Ces mécanismes internes offrent aux employés la possibilité de signaler à un supérieur toute opération qu’ils jugent anormale, leur permettant ainsi d'intervenir rapidement, que ce soit face à une utilisation malintentionnée du réseau par un lanceur d’alerte ou à une simple erreur de manipulation. Les spécialistes consultés expriment une certaine résignation quant au risque de voir émerger un nouveau lanceur d’alerte. Chez HSBC, comme dans d'autres entreprises, la possibilité d'une divulgation délibérée de documents repose sur l'intention de l'employé et la confiance placée en lui. Une employée de la banque souligne que les mesures de sécurité informatique ont leurs limites : «Si une personne est déterminée à divulguer des informations, elle peut simplement imprimer des documents et les remettre en toute discrétion à un journaliste. Celui qui souhaite réellement agir de la sorte trouvera les moyens de le faire.»
Concernant l'analyse comportementale, l'évolution des exigences en matière de sécurité informatique a conduit à l'adoption de protocoles avancés, dont le profilage et l'analyse comportementale des employés par des algorithmes figurent parmi les approches les plus innovantes.
Le fonctionnement de ces systèmes est direct : ils scrutent avec précision l'activité des utilisateurs sur le réseau ou leur messagerie, en prenant en compte des éléments comme les horaires et lieux de connexion, la vitesse de frappe, ou encore le type d'opérations menées. En se basant sur ces données, ils établissent un profil spécifique pour chaque employé, ce qui permet d'identifier automatiquement toute action qui sort de l'ordinaire. En cas de détection d'une activité suspecte, une notification est envoyée au responsable de la sécurité informatique de l'entreprise.
Bien que l'analyse comportementale puisse être perçue comme une méthode de surveillance invasive, les fournisseurs de ces technologies soulignent un aspect bénéfique : cette approche contribue également à la protection des employés en cas d'actes de cyberpiraterie ou d'incursions non autorisées dans le réseau de l'entreprise. Ils évoquent le cas du piratage de Sony Pictures en novembre 2014 pour illustrer leur point de vue. Durant cet incident, des informations sensibles telles que les bulletins de salaire, les dossiers médicaux et les numéros de sécurité sociale des employés avaient été exposés.
L'usage du profilage comportemental sert un double objectif au sein des organisations : il aide à détecter rapidement soit une exploitation malicieuse du réseau, soit une erreur de manipulation du système. Romain Quinat, directeur marketing chez Nomios, une entreprise spécialisée dans la sécurité des réseaux informatiques, confirme l'intérêt croissant pour ces outils : «Les entreprises manifestent une attention grandissante à l'égard de ces logiciels», déclare-t-il à Slate.fr. Il note cependant que, en raison de leur coût élevé, leur adoption est actuellement limitée aux grandes entités telles que les banques ou les compagnies d'assurance.
Que dit la loi ?
Le lanceur d'alerte, identifié comme individu signalant des pratiques nuisibles à l'intérêt général, est reconnu depuis la loi "Sapin II" de 2016 qui lui offre une protection juridique face aux éventuelles répercussions de ses révélations. Cependant, la législation existante ayant été jugée insuffisante, le Parlement a récemment adopté une nouvelle loi visant à renforcer cette protection.
Des figures telles qu'Irène Frachon avec l'affaire du Médiator, Edward Snowden et ses révélations sur la surveillance de masse, Antoine Deltour et les "LuxLeaks", ou encore Frances Haugen et les "Facebook Files", figurent parmi les lanceurs d'alerte les plus emblématiques. Leur courage a permis de mettre en lumière des dysfonctionnements majeurs dans divers secteurs tels que la santé, l'environnement, la défense, la finance, et le numérique, malgré les lourdes conséquences personnelles, professionnelles, et financières qu'ils ont dû affronter.
Ces lanceurs d'alerte, qu'ils soient employés, chercheurs, ou journalistes d'investigation, s'exposent à des représailles telles que menaces, pressions, licenciements, ou actions en justice destinées à les réduire au silence. Edward Snowden, par exemple, risque jusqu'à 30 ans de prison pour espionnage et trahison après avoir exposé la surveillance d'internet par les gouvernements américain et britannique, et vit actuellement en exil en Russie. Aux États- Unis, les lanceurs d'alerte bénéficient d'une protection légale depuis longtemps, y compris au sein des services de renseignements, lorsque leurs révélations servent l'intérêt public.
En France, la reconnaissance du lanceur d'alerte est plus récente, émergent à la fin des années 1990 avec les travaux des sociologues Francis Châteauraynaud et Didier Torny. Le droit français connaissait déjà la notion d'alerte, adaptée selon les secteurs, mais c'est avec la loi du 16 avril 2013, dite "loi Blandin", que le terme de lanceur d'alerte est officiellement introduit, bien que limité aux domaines de la santé publique et de l'environnement. Face aux critiques sur son retard en matière de lutte anti- corruption et de transparence dans les affaires, la France a consolidé en 2016 le statut du lanceur d'alerte avec la "loi Sapin II". Cette loi, en transposant la 4e directive européenne contre le blanchiment et la corruption, définit précisément le lanceur d'alerte et établit une procédure de protection incluant la confidentialité et un système de signalement progressif. En 2019, une directive européenne vient compléter le dispositif en offrant aux lanceurs d'alerte la possibilité de choisir entre une divulgation interne ou directe aux autorités, soulignant leur rôle essentiel dans le maintien de la légalité et l'application du droit de l'Union, tout en les protégeant des représailles.
La reconnaissance des limites de la protection offerte aux lanceurs d'alerte a été rapidement unanime, un rapport d'évaluation du 7 juillet 2021 pointant du doigt les insuffisances de la législation actuelle, notamment l'exigence de notifier les anomalies d'abord en interne et le défaut de soutien aux individus concernés.
La proposition de loi présentée le 21 juillet 2021 par le député Sylvain Waserman vise à intégrer la directive européenne tout en préservant les protections établies par la loi "Sapin II". Le texte a traversé la phase de commission mixte paritaire (CMP), et sa version révisée a été approuvée par l'Assemblée nationale le 8 février 2022, puis ratifiée sans changement par le Sénat le 16 février 2022.
Cette législation révise et élargit la portée du terme lanceur d'alerte ainsi que les domaines susceptibles d'être signalés. Elle augmente la protection accordée tant aux lanceurs d'alerte qu'aux individus les aidant dans leur démarche. Ces derniers, nommés "facilitateurs", peuvent être des personnes ou des entités comme des associations ou des syndicats ayant assisté quelqu'un dans la réalisation d'un signalement. Le texte introduit également des assouplissements significatifs dans les conditions requises pour lancer une alerte :
Remplacer l'exigence d'une absence de contrepartie financière par la nécessité d'agir sans intérêt personnel.
Omettre la nécessité d'une connaissance personnelle des faits dans les milieux professionnels, permettant de signaler des faits rapportés par d'autres. Inclure les tentatives de dissimulation de violations légales comme motifs valides d'alerte. Concernant les moyens de signalement, la proposition de loi "Waserman" s'aligne sur la directive européenne en offrant la liberté de signaler l'alerte :
Soit en interne, au sein de l'entreprise ou de l'administration concernée.
Soit en externe, directement auprès des autorités judiciaires ou compétentes.
La divulgation publique demeure une option uniquement dans des circonstances spécifiques ( par exemple, en l'absence de réaction suite à un signalement externe). En outre, les individus ayant révélé leur identité de manière anonyme, y compris les journalistes, peuvent se voir attribuer le statut de lanceur d'alerte.
Le texte améliore les mesures de confidentialité et élargit l'éventail des représailles interdites. Il étend l'immunité des lanceurs d'alerte, les protégeant de toute poursuite civile pour les dommages résultant de leur signalement, ainsi que de toute poursuite pénale pour la capture et la divulgation de documents confidentiels liés à l'alerte ( à condition que l'accès à ces informations ait été légitime).
Lanceurs d'alerte : "Dans une société qui fonctionne normalement, l’alerte devrait être directement instruite par les services de l'Etat"
Bien que le statut et les droits des lanceurs d'alerte soient officiellement reconnus et étendus par la législation française, ces individus demeurent largement vulnérables. Daniel Ibanez, à l'initiative des 8èmes Rencontres annuelles consacrées à cette thématique, souligne que leur rôle émerge souvent de carences au sein de l'administration publique.
Sans leur intervention, des affaires d'ampleur telles que WikiLeaks, Mediator, Clearstream, ou Orpea n'auraient jamais éclaté au grand jour. Ces lanceurs d'alerte ont mis en lumière des scandales majeurs du XXIe siècle. Pourtant, même un an après l'entrée en vigueur de la loi Waserman, qui visait à améliorer leur protection juridique, endosser ce rôle s'avère toujours aussi périlleux. La loi Sapin II, consolidée en mars 2022 par la loi Waserman et une directive européenne, fournit un cadre et une protection légale pour les individus révélant, de manière désintéressée et sincère, des informations concernant un crime, un délit, une menace ou un préjudice pour l'intérêt général, ou encore une violation d'un accord international souscrit par la France.
Néanmoins, l'idée même de signaler des actes répréhensibles ou contraires à l'intérêt public suscite encore de nombreuses réticences. Les craintes de marginalisation, de contrainte à la démission, d'intimidations, ainsi que les répercussions sur la vie personnelle et les difficultés financières liées aux frais de justice constituent autant d'obstacles. Daniel Ibanez, en charge de l'organisation des Rencontres annuelles des lanceurs d'alerte, qui se tiendront les 11 et 12 novembre à Saint- Denis ( Seine- Saint- Denis), a confié à franceinfo l'importance cruciale de soutenir ces citoyens souvent isolés dans leur démarche de dénonciation de faits sérieux, tout en veillant à leur propre sécurité.
Est- il devenu plus aisé d'assumer le rôle de lanceur d'alerte en France à l'heure actuelle, en 2023 ?
Daniel Ibanez : La situation reste complexe. Il est important de souligner que les lanceurs d'alerte sont des individus comme les autres, loin d'être des figures héroïques. Leur motivation à alerter repose sur une atteinte à leurs valeurs républicaines face à ce qu'ils découvrent. Que ce soit pour signaler un médicament dangereux ou des pratiques nuisibles à l'environnement, leur action s'inscrit dans le cadre de la Charte de l'environnement ou de la Déclaration des droits de l'homme. Ainsi, les lanceurs d'alerte se réfèrent simplement aux fondements de la République. Ils prennent la parole car souvent, les institutions publiques n'assurent pas leur rôle de surveillance et de réglementation face à des pratiques contraires à ces principes. La directive européenne sur la protection des lanceurs d'alerte a contribué à améliorer leur condition dans le milieu professionnel. Cependant, de nombreux lanceurs d'alerte échappent encore au champ d'application de cette protection. Par ailleurs, il convient de rappeler que, selon la loi Blandin, le code du travail stipule que tout employé est tenu de signaler sans délai à son employeur tout risque avéré pour la santé publique ou l'environnement. Loin d'être une simple prérogative, signaler est un impératif légal pour les employés, établi par le code du travail suite à la loi Blandin. La véritable question n'est donc pas de savoir si un employé doit alerter ou non, mais plutôt pourquoi des obstacles et des répressions sont imposés à un lanceur d'alerte qui remplit une obligation légale.
Les lanceurs d'alerte sont-ils pleinement conscients des répercussions potentiellement désastreuses de leur action sur leur vie professionnelle, familiale, et sociale ?
Pas nécessairement. Lorsqu'un lanceur d'alerte révèle, par exemple, la toxicité du Mediator, il ne prévoit pas nécessairement qu'il va se retrouver pris dans une spirale de répercussions négatives. De même, un individu qui se filme en train de rejeter de l'acide pour le compte d'une entreprise ne s'attend pas à perdre son emploi ou à subir des effets sur sa vie familiale. Cependant, le véritable risque ne réside pas dans l'acte d'alerter en soi, mais plutôt dans les réactions de ceux qui cherchent à entraver cette alerte. Et, dans trop de cas, les services étatiques ne remplissent pas correctement leur mission de protection. Cela est visible, par exemple, dans le cas des dénonciations par L214 de maltraitances animales ou de problèmes sanitaires dans les élevages, mettant en lumière un manque de contrôle efficace de la part de l'État. Les conséquences subies par les lanceurs d'alerte, telles que la perte d'emploi, découlent souvent d'un défaut d'intervention de l'État. Dans un système fonctionnel, les lanceurs d'alerte ne devraient pas être nécessaires. Les alertes devraient être traitées directement par les autorités compétentes. Or, ces dernières tendent trop souvent à privilégier des considérations économiques et politiques au détriment de l'intérêt général.
Des améliorations significatives
Concernant les améliorations apportées aux réglementations sur les lanceurs d'alerte, les nouvelles mesures incluent la possibilité de signalement anonyme, une définition plus précise de la notion de bonne foi et l'introduction de règles spécifiques à la protection des données personnelles. Dans certaines situations, le recours à des organismes extérieurs tels que l’Office européen de lutte antifraude ( OLAF) ou à d'autres entités est envisagé, comme l'a souligné un représentant parlementaire.
D'après les normes établies, les "irrégularités graves" sont caractérisées comme étant des actions illégales nuisibles aux intérêts de l'Union Européenne, incluant la fraude, la corruption, le vol, les violations significatives des règles des marchés publics ou des agissements dans le cadre professionnel susceptibles de représenter une violation majeure des devoirs des fonctionnaires, du personnel et des membres de l'institution, a expliqué un officiel parlementaire. Pour assurer la sécurité des dénonciations, le développement d'un "système sécurisé de transmission en ligne des alertes au Secrétaire Général" est en préparation, selon un document du Bureau du Parlement européen examiné par Euractiv.
"Une formation obligatoire est également prévue pour les gestionnaires", a ajouté le représentant.
Une formation spécifique destinée aux assistants parlementaires accrédités ( APA) sera proposée dans le cadre d'une mesure distincte, comme l'indique le document. En termes de protection des lanceurs d'alerte eux- mêmes, il est nécessaire de "fournir des précisions supplémentaires sur les démarches à suivre par les lanceurs d'alerte potentiels, sur ce qu'ils peuvent anticiper suite à leur signalement, et sur les informations qu'ils doivent s'attendre à obtenir", a mentionné la source parlementaire.