Formulaires RH & lanceurs d'alerte
Griefs, entretiens de départ, signalements anonymes, enquêtes internes — conçus pour les équipes RH et conformité qui ont besoin de canaux de signalement confidentiels sans confier les données brutes à un fournisseur de formulaires. Connaissance nulle, hébergement suisse, architecture alignée sur la directive européenne sur les lanceurs d'alerte.
Les signalements d'alerte, les griefs au travail et les enquêtes RH partagent une propriété que la plupart des autres données d'entreprise n'ont pas : la volonté du signalant de parler dépend entièrement de sa confiance dans le fait que ce qu'il écrit ne sera pas lu par la mauvaise personne. Cette confiance est difficile à établir avec un outil de formulaire générique dont le fournisseur peut lire chaque soumission avant qu'elle n'atteigne l'équipe d'enquête.
Schweizerform part du postulat inverse. Chaque soumission — un grief, une alerte anonyme, un signalement de harcèlement, une réponse d'entretien de départ — est chiffrée dans le navigateur du signalant avant d'atteindre nos serveurs. Schweizerform ne peut physiquement pas la lire. Pour les organisations qui mettent en œuvre la directive européenne sur les lanceurs d'alerte (2019/1937), qui appuient leurs instances représentatives, ou qui cherchent simplement à entretenir une vraie culture de parole libre, c'est la différence entre un canal auquel les gens font confiance et un canal qu'ils évitent.
À qui s'adresse cette page
Direction des ressources humaines, responsables conformité, juristes, audit interne, médiateurs et représentants du personnel dans des organisations opérant en Suisse, dans l'UE ou dans les deux — et qui ont besoin d'un canal de signalement que les collaborateurs utilisent vraiment.
Pourquoi la plupart des outils de formulaire échouent sur ce terrain
La plupart des outils de formulaire en ligne suivent un modèle SaaS classique : le navigateur du signalant envoie des données en clair via HTTPS, et le serveur du fournisseur les stocke. Ce serveur peut tout lire. Tout comme le personnel du fournisseur, ses partenaires d'intégration, toute personne compromettant son infrastructure et — selon la juridiction — toute autorité qui notifie une ordonnance légale au fournisseur.
Pour la plupart des formulaires — enquêtes marketing, confirmations d'événements — ce modèle convient. Pour un canal d'alerte, il crée un problème spécifique : l'identité du signalant et le contenu de son rapport se retrouvent en clair sur un serveur tiers que l'organisation ne contrôle pas.
- Un employé signale un harcèlement présumé par un responsable nommé ; la base du fournisseur contient un récit lisible, consultable par toute personne disposant d'accès administrateur
- Un comptable signale des écritures suspectes ; le rapport repose à côté des soumissions de formulaires courantes de l'entreprise sur la même infrastructure fournisseur
- Une réponse d'entretien de départ cite des collègues précis comme motif du départ ; la réponse est indexée, sauvegardée et potentiellement exposée à l'analytique
- Une injonction vise le fournisseur ; la demande atteint vos données d'alerte sans que le signalant en soit jamais informé
- Le fournisseur est racheté, modifie sa politique ou subit une fuite ; tous les signalements historiques sont exposés d'un coup
La directive européenne exige la confidentialité dès la conception
La directive (UE) 2019/1937 exige que les canaux internes de signalement soient conçus, établis et gérés de manière à préserver la confidentialité de l'identité du signalant et de toute tierce personne mentionnée (art. 9). Le stockage en clair chez un fournisseur capable de lire les soumissions se concilie mal avec cette exigence quand c'est techniquement évitable.
Comment Schweizerform préserve la confidentialité
Schweizerform est une plateforme de formulaires chiffrée de bout en bout à connaissance nulle. Le chiffrement a lieu dans le navigateur du signalant, avant toute sortie de l'appareil. Seuls les détenteurs du code d'accès du formulaire peuvent déchiffrer les soumissions. Nous — le fournisseur — ne le pouvons pas.
Vous générez un formulaire et un code d'accès
À la création d'un formulaire d'alerte, Schweizerform génère une paire de clés et un code d'accès. La clé publique est dans le formulaire ; le code d'accès reste chez l'équipe d'enquête. Nos serveurs ne le voient jamais.
Le signalant soumet anonymement depuis n'importe quel appareil
Lorsqu'un collaborateur soumet, son navigateur chiffre chaque champ — et chaque document joint — avec un chiffrement symétrique fort, puis encapsule la clé symétrique avec la clé publique du formulaire. Nos serveurs reçoivent des blobs chiffrés qu'ils ne peuvent pas déchiffrer.
L'équipe d'enquête déchiffre dans le navigateur
Lorsqu'un enquêteur autorisé ouvre la soumission, son navigateur récupère le blob chiffré, déballe la clé symétrique à l'aide du code d'accès et déchiffre localement. Le clair ne touche jamais nos serveurs.
Protection d'identité par architecture, pas par politique
Comme nous ne voyons jamais de soumission en clair, nous ne pouvons pas être contraints de la produire, de l'extraire en analytics ou de l'exposer en cas d'incident. La confidentialité est garantie par la cryptographie, pas par la confiance envers le fournisseur.
Canaux de signalement concrets
Alertes anonymes
Le cas d'usage principal. Un formulaire dédié, publié sur l'intranet ou sur une page conformité publique, recueille les signalements de conduite présumée fautive : irrégularités financières, manquements réglementaires, corruption, atteintes environnementales, questions de droit de la concurrence. Le signalant choisit de se nommer ou non ; le canal ne cherche pas à déduire son identité à partir de métadonnées que nous stockerions.
Signalements de harcèlement, discrimination, santé et sécurité
Les signalements qui nomment des personnes exigent la posture de confidentialité la plus stricte. Un canal à connaissance nulle implique que les RH, les supérieurs hiérarchiques et même les administrateurs IT avec accès infrastructure ne peuvent pas voir le contenu d'un signalement non ouvert. Seul le comité d'enquête détenteur du code d'accès le peut.
Entretiens de départ et texte libre d'enquêtes internes
Les collaborateurs qui partent partagent souvent des informations qu'ils n'auraient pas partagées en poste — retours sur la culture, la hiérarchie, certains incidents. Chiffrer ces réponses protège à la fois la personne (contre des représailles) et l'organisation (contre le risque de fuite par un incident fournisseur ou une demande légale).
Soumissions vers les représentants du personnel
Dans les juridictions avec représentation statutaire des salariés (CSE en France, Betriebsrat en Allemagne, structures internes en Suisse), un canal confidentiel entre le personnel et ses représentants bénéficie de la même propriété : aucun cloud tiers n'a d'accès lisible au contenu.
Accueil d'enquête et déclarations de témoins
Pendant une enquête interne, les déclarations de témoins, les téléversements de preuves et les reconstitutions chronologiques se collectent via des formulaires sécurisés. Chaque enquête peut avoir son propre formulaire et son propre code d'accès, afin que le cercle des personnes pouvant lire un dossier reste strictement circonscrit.
Ce que voient salariés, autorités et injonctions
| Perspective | Fournisseur générique | Schweizerform |
|---|---|---|
| Salarié déposant un signalement | Formulaire en clair, stocké sur le cloud du fournisseur | Formulaire en clair, chiffré dans le navigateur avant envoi |
| Support / personnel du fournisseur | Peut lire le contenu des soumissions | Ne peut pas déchiffrer ; ne voit que des blobs chiffrés |
| Injonction visant le fournisseur | Signalements en clair produisibles | Uniquement du chiffré ; inutilisable sans le code d'accès |
| Incident chez le fournisseur | Signalements et identités lisibles exposés | Chiffré exposé ; contenu et identité restent illisibles |
Contexte réglementaire : directive UE et approche suisse
La directive européenne sur les lanceurs d'alerte (2019/1937) oblige la plupart des personnes morales d'au moins 50 salariés, ainsi que les entités publiques au-delà d'un seuil, à fournir un canal de signalement interne. Ses exigences principales incluent la confidentialité de l'identité du signalant et des tiers nommés, un accusé de réception sous 7 jours, un retour sous 3 mois et une protection contre les représailles.
La Suisse, à la date de rédaction, n'a pas adopté de loi fédérale dédiée sur les lanceurs d'alerte ; un projet d'amendement au Code des obligations a été rejeté en 2020. De nombreux employeurs suisses appliquent néanmoins le standard européen, soit parce qu'ils ont des filiales UE concernées, soit par attente des investisseurs ou des cadres ESG, soit en tant que bonne pratique. L'architecture de Schweizerform respecte l'exigence de confidentialité dès la conception dans les deux cas.
La confidentialité n'est qu'une partie de la directive
Un canal interne conforme implique aussi des délais d'accusé de réception définis, une personne ou un service impartial désigné, des obligations de documentation et une interdiction claire de représailles. Schweizerform apporte la couche de confidentialité technique ; votre programme de conformité apporte le processus autour.
Fonctionnalités utiles aux canaux RH et lanceurs d'alerte
- Chiffrement de bout en bout à connaissance nulle sur chaque soumission — pas d'accès en lecture pour le fournisseur
- Véritable mode anonyme — pas de compte requis, pas de métadonnées de signalant collectées par défaut
- Téléversements de documents chiffrés — notes, enregistrements, tableurs et captures chiffrés dans le navigateur
- Formulaires multilingues (EN / DE / FR / IT) natifs — le même formulaire dans toutes les langues officielles suisses et en anglais
- Codes d'accès par formulaire, adaptés à des équipes d'enquête précises — dossiers distincts, codes distincts
- Hébergement suisse avec posture de traitement alignée nLPD — la charge utile des réponses ne quitte pas la Suisse
- Journal d'audit des ouvertures (qui a ouvert une soumission chiffrée et quand) sans exposer le contenu
- Palier gratuit adapté pour piloter un canal unique avant le déploiement à l'échelle
Objections courantes
« Nos signalants ne feront jamais confiance à un formulaire — ils veulent une ligne téléphonique. »
La directive autorise explicitement des canaux écrits, oraux ou les deux. De nombreuses organisations constatent que les canaux écrits attirent des signalements différents, souvent plus détaillés — et qu'un formulaire écrit chiffré est plus facile à échelonner qu'une ligne 24/7 multilingue. Les deux se complètent ; Schweizerform traite la partie écrite.
« Si nous perdons le code d'accès, nous perdons les signalements. »
Exact, et c'est une propriété voulue de l'architecture à connaissance nulle. La pratique recommandée est une procédure de garde documentée — enveloppes scellées chez deux responsables, garde partagée entre conformité et juridique, ou module de sécurité matériel — pour qu'une perte unique n'entraîne pas la perte d'accès et qu'aucune personne ne puisse unilatéralement déchiffrer.
« Nous devons intégrer notre outil de gestion de dossiers. »
Des intégrations existent, mais après déchiffrement. Le poste de l'enquêteur déchiffre la soumission, puis l'exporte dans l'outil. Une intégration côté serveur est par définition impossible — nous n'avons pas les clés.
« Les représentants du personnel craignent la surveillance. »
Cette crainte se dissipe généralement une fois l'architecture expliquée : le fournisseur ne peut pas lire les soumissions, et l'employeur ne peut les lire que s'il détient le code d'accès — typiquement confié à un référent conformité désigné conjointement ou à un médiateur externe. Le détournement devient plus difficile pour tout le monde, employeur compris.
Déployer un canal d'alerte avec Schweizerform
Définir le périmètre et le modèle de garde
Décidez quels signalements le canal couvre (irrégularités financières uniquement ou périmètre complet de la directive), qui détient le code d'accès et comment la garde est répartie pour éviter le risque de personne unique.
Rédiger le formulaire dans les quatre langues
Champs courts et facultatifs. Un champ libre, un sélecteur de catégorie, un téléversement optionnel et un champ de contact optionnel pour les signalants qui veulent dialoguer. Publiez le même formulaire en EN / DE / FR / IT.
Publier clairement le point d'accès
Liez le formulaire depuis l'intranet, la page carrières, le manuel du collaborateur et, le cas échéant, les documents d'onboarding fournisseurs. Une URL stable et visible fait partie de l'attente d'accessibilité de la directive.
Former l'équipe d'enquête au flux d'accès
Les enquêteurs porteurs du code déchiffrent les soumissions depuis leur propre navigateur. Faites-leur parcourir le flux, les délais d'accusé de réception et la trame de documentation.
Réviser chaque année
Testez le canal au moins annuellement : le formulaire est-il joignable, le code d'accès est-il chez les bonnes personnes, le processus d'accusé fonctionne-t-il, la politique de conservation est-elle appliquée ?
En résumé
Un canal de signalement ne vaut que la confidentialité que le signalant lui prête. Un outil de formulaire qui peut lire chaque soumission — quelle que soit la qualité de son interface, quel que soit son prix — échoue à ce test avant même le premier signalement.
Schweizerform propose une autre offre : chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement suisse et posture alignée sur l'exigence de confidentialité dès la conception de la directive européenne et sur les attentes de la nLPD. Pas d'upgrade payant pour la sécurité. Pas de dépendance au cloud américain pour les réponses. Pas de copie lisible par un tiers de signalements sensibles sur un serveur que vous ne contrôlez pas.
Commencez avec un canal unique sur le palier gratuit. Hébergement suisse, chiffrement à connaissance nulle et support complet EN / DE / FR / IT — sans carte bancaire.
Avertissement : Cette page est une information générale et du contenu marketing, non un conseil juridique, de conformité ou en droit du travail. Les références à la directive européenne sur les lanceurs d'alerte (2019/1937), au Code suisse des obligations, à la nLPD, aux cadres de représentation du personnel et aux régimes apparentés sont résumées au niveau conceptuel et sont sujettes à interprétation juridictionnelle et à évolutions législatives. La responsabilité d'un canal de signalement conforme — y compris mesures anti-représailles, délais d'accusé de réception, documentation et enquête impartiale — reste celle de l'employeur. Consultez un conseil qualifié en droit du travail suisse/UE et un spécialiste en protection des données avant toute décision de conformité ou d'achat.