Whistleblowing EU

Logiciel de signalement open source (Luxembourg)

Vous cherchez une plateforme de signalement sécurisée, éthique et conforme à la directive européenne sur le whistleblowing ?

Essayez GlobaLeaks, le logiciel libre et open-source conçu pour :

En savoir plus dans la documentation officielle.

Documentation Démo

La directive européenne sur le whistleblowing

La directive européenne sur la protection des personnes qui signalent des violations du droit de l'Union impose aux organisations de mettre en place des canaux de signalement sécurisés et confidentiels et de protéger les auteurs de signalement contre les représailles.

Au Luxembourg, la directive est transposée par la loi du 16 mai 2023 portant transposition de la directive (UE) 2019/1937. Tout employeur public ou privé d'au moins 50 salariés doit mettre en place un canal interne de signalement, et l'Office des signalements est l'autorité externe de référence.

Obligations légales et conformité

Référence Obligation Comment GlobaLeaks y satisfait
art. 5 Privilégier le signalement par le canal interne lorsque la violation peut être traitée efficacement en interne et que l'auteur estime qu'il n'y a pas de risque de représailles. GlobaLeaks fournit un canal de signalement interne dédié, auto-hébergé et fondé sur un logiciel libre et open source vérifiable, offrant un dispositif fiable que l'auteur peut privilégier, l'identité du lanceur d'alerte étant protégée à chaque étape.
art. 6 Établir des canaux et procédures de signalement interne pour les entités du secteur privé employant au moins cinquante travailleurs. GlobaLeaks se déploie comme canal de signalement interne conforme, auto-hébergé et fondé sur un logiciel libre et open source vérifiable, adapté aux entités tenues d'instaurer un dispositif à partir de cinquante travailleurs.
art. 7 (1), 1° Concevoir, établir et gérer les canaux de signalement d'une manière sûre garantissant la confidentialité de l'identité de l'auteur et de tout tiers mentionné, et empêchant l'accès des membres du personnel non autorisés. GlobaLeaks garantit un canal sûr et confidentiel : le chiffrement des signalements et des pièces jointes protège l'identité du lanceur d'alerte à chaque étape, tandis qu'un contrôle d'accès granulaire selon le besoin d'en connaître empêche l'accès du personnel non autorisé. L'anonymat complet est possible grâce à l'intégration de la technologie Tor.
art. 7 (2) Permettre le signalement par écrit ou par oral, ou les deux, le signalement oral pouvant se faire par téléphone ou tout autre système de messagerie vocale et, sur demande, lors d'une rencontre physique. GlobaLeaks permet le signalement écrit assorti de pièces jointes et d'un message vocal, ainsi que la possibilité pour l'auteur de demander une rencontre, les échanges se poursuivant par un canal bidirectionnel asynchrone préservant l'anonymat.
art. 7 (1), 2° Accuser réception du signalement à l'auteur dans un délai de sept jours à compter de sa réception. GlobaLeaks délivre immédiatement un accusé de réception, remis dès le dépôt, ce qui satisfait pleinement au délai de sept jours.
art. 7 (1), 3° à 5° Désigner une personne ou un service impartial compétent pour assurer le suivi des signalements, maintenir la communication avec l'auteur et lui fournir un retour d'information dans un délai raisonnable n'excédant pas trois mois. La gestion structurée des cas de GlobaLeaks (délais, minuteries, rappels et tableau de bord) et le contrôle d'accès granulaire selon le besoin d'en connaître permettent à la personne impartiale désignée d'assurer le suivi et de fournir le retour d'information dans le délai de trois mois via le canal bidirectionnel asynchrone.
art. 22 Respecter le devoir de confidentialité en ne divulguant pas, sans le consentement de l'auteur, son identité ni aucune information permettant de l'identifier directement ou indirectement. GlobaLeaks protège l'identité du lanceur d'alerte à chaque étape en autorisant le signalement anonyme ou confidentiel, en ne conservant aucun journal d'adresses IP et en appliquant un contrôle d'accès granulaire qui prévient toute divulgation non autorisée.
art. 23 (1) à (5) Traitement des données à caractère personnel conforme au GDPR, dans le respect de la minimisation. Self-hosting, aucun composant ni service tiers, aucun journal d'adresses IP, minimisation des métadonnées.