Lanceurs d’alerte: premier rempart contre la fraude
Le 7 novembre dernier, Deloitte Luxembourg, avec l’appui d’experts allemands et français du réseau Deloitte, organisait un événement autour de la prévention de la fraude au sein du secteur public. Les intervenants ont alors pu revenir sur les moyens de l’empêcher ou de la détecter. Gilles Poncin, Partner responsable pour la partie conseil au secteur public, et Michael JJ Martin, Partner Forensic & Restructuring, nous détaillent les sujets développés au cours de la conférence et mettent l’accent sur la directive européenne visant à protéger les lanceurs d’alerte.
Quelles étaient les thématiques abordées lors de votre conférence sur la prévention de la fraude?
MM: Cette conférence s’est naturellement imposée à nous au vu des événements actuels qui se sont déroulés ici au Luxembourg. Il nous a donc semblé primordial de sensibiliser les acteurs du secteur public aux questions liées à ce sujet afin de leur apporter les outils et les conseils nécessaires pour les prévenir.
Parmi les thématiques abordées, nous avons commencé par la description des bases d’un cadre de référence de mise en conformité vis-à-vis de la gestion des risques, en présentant les standards allemands et internationaux à ce niveau. Ces derniers impliquent l’analyse interne des risques de fraude, des moyens de contrôle existants ainsi que des risques résiduels. Ces potentiels préjudices sont ensuite pondérés en fonction de leur probabilité et de la gravité du dommage, afin de prioritiser les mesures à déployer.
Nos intervenants sont également revenus sur les moyens qui existent pour contrer la fraude. Il ressort notamment d’une étude menée par l’ACFE (Association of Certified Fraud Examiners) qu’elle est le plus souvent exposée par des lanceurs d’alerte, et ce, en tenant compte de tous les secteurs.
GP: Les trois cas récents de fraude publique ont accéléré la prise de conscience quant à la nécessité de la prévention.
De manière générale, les transactions pouvant faire l’objet d’une collusion entre un acheteur et un vendeur présentent un risque de fraude plus élevé, surtout pour les transactions qui se font en-dessous du seuil nécessitant un appel à concurrence, donc à plusieurs offres.
Dans ce contexte, nous notons actuellement un intérêt grandissant du secteur public pour des approches pragmatiques de mise en place d’un dispositif de lancement d’alerte. Les instances publiques s’interrogent également de plus en plus sur le déploiement d’outils informatiques de détection de fraude et du type de données que ces outils nécessitent pour fonctionner efficacement.
MM: Les outils informatiques de détection de la fraude sont programmés pour repérer la manière dont ses différentes typologies se traduisent dans les systèmes de données d’un organisme. Ces outils nécessitent un grand volume de données et une analyse préalable approfondie des risques, des types de fraudes et des données disponibles. Le logiciel alertera alors la gouvernance en cas d’anomalie, ce qui ne signifie pas que toute alerte représente automatiquement un cas de fraude.
Quelles sont les pistes privilégiées au Luxembourg pour prévenir de la fraude?
MM: L’équipe Forensic de Deloitte Luxembourg compte deux associés et 38 collaborateurs. Dans nos pays voisins, la fraude a été un sujet moins tabou et les organisations ont commencé à développer des stratégies de prévention contre la fraude plus tôt et sont généralement plus avancées dans ce domaine.
Récemment encore, la dénonciation de pratiques frauduleuses était considérée comme un acte peu gratifiant. Pourtant, on note qu’un changement de mentalité s’opère à ce niveau, si bien que les missions de notre département Forensic luxembourgeois sont passées de l’investigation et de l’expertise judiciaire à une action davantage préventive. Dans ce contexte, la mise en place d’un dispositif de lancement d’alerte est perçue comme le reflet d’une bonne gouvernance.
L’Union européenne a émis la directive 2018/0106 (COD) visant à protéger les lanceurs d’alerte qui devra être implémentée dans la législation nationale dans un délai de deux ans. Toutes les entreprises de plus de 50 salariés ou dont le chiffre d’affaires annuel ou le total de bilan est supérieur à 10 millions d’euros ainsi que les administrations et municipalités de villes de plus de 10.000 habitants devront se munir d’un dispositif officiel de lancement d’alerte protégeant son instigateur. Nous ne savons pas encore comment la directive sera implémentée dans la loi luxembourgeoise, mais cette dernière fournira au lanceur d’alerte un cadre sécuritaire l’encourageant à partager ses informations, et ce, dans tous les domaines.
L’objectif premier ne sera pas forcément financier mais plutôt éthique. Si des collaborateurs prennent conscience d’une fraude sans la dénoncer, on risque d’observer chez eux une démotivation générale dans leur travail… et les pertes liées à la fraude ne feront qu’augmenter. De plus, au niveau public, c’est l’argent du contribuable qui est touché, les administrations ont donc un devoir de bonnes gestion et gouvernance vis-à-vis de leurs administrés.
Quels sont les critères pour une bonne mise en place d’un tel dispositif?
MM: Le dispositif devra donner le choix de l’anonymat vis-à-vis de son employeur, définir plusieurs canaux sécurisés de communication de l’alerte et nommer en interne un référent neutre qui la réceptionnera et jugera de son sérieux.
Au niveau global, Deloitte a développé sa propre plateforme technologique de lancement d’alerte. Appelée «Halo», celle-ci est disponible 24h/7j et garantit la protection de l’identité par rapport à l’employeur. Pour un lanceur d’alerte il n’est pas toujours évident d’identifier les informations utiles à transmettre, c’est pourquoi la plateforme le guide en lui proposant de remplir des champs qui aideront un gestionnaire tiers à déterminer la pertinence de l’alerte. Si elle est jugée sérieuse par ce gestionnaire, l’alerte est transmise à un référent interne de l’entité concernée, en veillant à la reformuler de manière à ce qu’on ne puisse pas identifier la personne qui en est à l’origine.
Il est donc important que l’administration ou l’entreprise concernée désigne des référents de confiance en fonction de son organisation. Elle devra également déterminer les responsabilités et droits de chacun et mettre en place une procédure claire pour la résolution d’une alerte. Bien sûr, l’organisme n’est pas forcé de faire appel à un tiers, bien que cela garantisse un niveau d’indépendance supérieur. A la fin du processus, les référents internes à l’entité concernée devront évaluer impartialement les différents indicateurs de fraude. En cas de nécessité il peut être utile de faire appel à des experts Forensic pour des besoins d’investigation. Le principe de présomption d’innocence reste bien entendu primordial tout au long de ce travail.
Le produit que nous avons développé s’accompagne d’une phase de conseil pour son implémentation. A travers cet accompagnement, nous veillons par exemple à ce que les entreprises et administrations promeuvent cet outil auprès de leurs employés.
Comment le Luxembourg pourrait-il vraisemblablement procéder à l’implémentation de cette directive européenne?
GP: A l’heure actuelle, bien qu’un effort de fusion soit en cours, on compte une centaine de communes luxembourgeoises. Les plus grandes pourraient tout à fait assumer seules la mise en place de ce type de dispositif, mais les plus petites auraient tout intérêt à le mutualiser au niveau régional pour en optimiser les coûts. D’un point de vue pragmatique, la mise en place d’un tel dispositif au niveau national, avec le support du ministère de l’Intérieur, serait probablement l’approche à privilégier. Toutes les communes y auraient alors accès, même celles qui comprennent moins de 10.000 habitants. Par ailleurs, au plus les communes sont petites, au plus l’anonymat semble difficile à respecter; un dispositif commun assurerait donc une meilleure protection du lanceur d’alerte.
MM: On note que des régulateurs, comme la CSSF, possèdent déjà un processus de «whistleblowing» permettant de dénoncer un délit par ce biais. Chez Deloitte nous disposons également d’un tel dispositif géré par un fournisseur externe, par souci d’indépendance et d’impartialité.
Enfin, le dispositif de lancement d’alerte peut s’avérer utile dans le cadre de la lutte contre le blanchiment. Il a été cité comme bonne pratique par le Groupe d’action financière (GAFI).