Système interne d'information

L'objet du présent protocole est d'établir un système efficace de gestion, d'enquête et de réponse aux informations reçues qui seraient soumises par les personnes incluses dans le champ subjectif du présent protocole auprès de la/les personnes et organes préalablement désignés à cet effet, en raison de la commission d'actes contraires à la légalité.
Ce système interne sera un canal préférentiel pour signaler les faits et sera traité efficacement, sans risque de représailles.
De cette manière, BESTILE, S.L. met en place une procédure formelle et obligatoire qui comprendra les actions à mener dès réception d'une information jusqu'à ce que, le cas échéant, l'infraction commise soit sanctionnée, y compris l'évaluation de l'incidence et la proposition de mesures à prendre en faveur du/de la déclarant(e) ou des personnes affectées, si nécessaire.
Le présent protocole vise à garantir une protection adéquate aux personnes qui signalent les représailles que pourraient subir et à encourager la culture du signalement ou de la communication comme mécanisme de prévention et de détection des menaces d'intérêt.

SECTOR PUBLIC

• L'administration générale de l'État, les administrations des communautés autonomes et des villes ayant un statut spécial d'autonomie, ainsi que les entités qui composent l'administration locale.
• Les organismes et entités publics liés ou dépendants d'une administration publique, ainsi que les autres associations et corporations dans lesquelles participent les administrations et organismes publics.
• Les Autorités Administratives Indépendantes, la Banque d'Espagne et les entités gestionnaires et services communs de la Sécurité Sociale.
• Les universités publiques.
• Les sociétés de droit public.
• Les fondations du secteur public.
• Les sociétés commerciales dont le capital social est détenu à plus de 50 %, directement ou indirectement, par les entités mentionnées ci-dessus, ou dans les cas où ce pourcentage n'est pas atteint mais où il s'agit d'un groupe de sociétés.
• Les organes constitutionnels, ceux qui sont de nature constitutionnelle et les institutions régionales analogues aux précédents.

SECTOR PRIVÉ

• Personnes physiques ou morales employant 50 salariés ou plus
  Personnes morales relevant de la portée des actes de l'Union européenne en matière de services, de produits et de marchés financiers, de prévention du blanchiment d'argent et du financement du terrorisme, de sécurité des transports et de protection de l'environnement, quel que soit le nombre de salariés
• Personnes morales exerçant des activités en Espagne par l'intermédiaire de succursales ou d'agents, ou par la fourniture de services sans établissement permanent.
• Partis politiques, syndicats, organisations professionnelles et fondations créées par eux lorsque celles-ci reçoivent ou gèrent des fonds publics.

Groupes d'entreprises

Dans le cas de groupes d'entreprises (au sens de l'article 42 du Code de commerce), il sera tenu compte des éléments suivants :

• La société dominante approuvera une politique générale relative au système interne d'information.
• La société dominante veillera à l'application de ses principes dans toutes les entités qui la composent, avec les modifications ou adaptations nécessaires dans chaque société composante afin de respecter les règles applicables dans chaque cas.
• Le/La responsable du système peut également être responsable de l'ensemble du groupe, ou un/une responsable pour chaque société membre.
• Le système interne d'information peut être unique pour l'ensemble du groupe.
• L'échange d'informations entre les différents responsables système du groupe, le cas échéant, sera autorisé afin d'assurer une coordination adéquate et une performance optimale de leurs fonctions.

La présente procédure, conformément à l'article 64 du Statut des travailleurs, doit être communiquée à la représentation légale des personnes travailleuses afin de respecter leur droit d'être informées et consultées par l'employeur sur les questions qui peuvent les concerner.

De quoi peut-on être informé ?

Le champ d'application visé ne se limite pas aux infractions à l'ordre juridique européen, mais comprend également les violations du droit national.

À titre indicatif et non limitatif, des informations sur les infractions dans les domaines suivants peuvent être fournies:

• Laboral (harcèlement, confidentialité, égalité, discrimination)
• Finances (vol, corruption, blanchiment d'argent, détournement)
• Environnement (déchets, déversements, pollution)
• Infractions du droit de l'UE
• Penalty Shootout
• Infractions administratives graves ou très graves
• Etc.

Quel est le contenu d'une information ?

Les personnes qui effectuent des communications ne doivent fournir que les informations spécifiques et objectives nécessaires pour déterminer si l'objet de leur communication est pertinent aux fins de l'information.

Sur ce, les personnes concernées devront éviter, sauf si cela est indispensable pour comprendre la portée de leur communication, de fournir des données personnelles qui révèlent l'origine ethnique ou raciale, les opinions politiques, les convictions religieuses ou philosophiques, l'affiliation syndicale, ainsi que des données biométriques, des données relatives à la santé ou des données relatives à la vie sexuelle ou aux orientations sexuelles de la personne concernée ou de l'informateur, des autres personnes affectées ou de tiers.

QUE EST-ON EN TRAIN DE PROTÉGER ?

Les informations et communications concernant les infractions au droit communautaire, ainsi que les infractions pénales et administratives graves ou très graves.

QUI EST CÉPENDANT AUTORISÉ À UTILISER LE SYSTÈME D'INFORMATION ?

En ce sens, on distinguera un domaine d'application pleine pour les personnes physiques qui ont la qualité d'informateurs, et un domaine d'application partielle pour les personnes qui, sans être informateurs, que ce soit en prêtant leur assistance ou en faisant partie de leur entourage, pourraient être victimes de représailles et qui, par conséquent, doivent bénéficier d'un régime de protection.
Ainsi, seules les personnes physiques, agissant individuellement, qui ont obtenu des informations sur des infractions dans un contexte professionnel ou de travail au sens large seront considérées comme « informateurs ». La protection est donc étendue à toutes les personnes ayant des liens professionnels ou de travail avec des entités du secteur public comme du secteur privé, ainsi qu'à celles ayant terminé leur relation professionnelle, ou qui sont des stagiaires, des bénévoles, des personnes en période de formation ou en stage, voire des personnes participant à des processus de recrutement, ou encore du personnel de sous-traitants, entre autres.

À QUI SE PROTÈGE-T-ON ?

Les personnes qui maintiennent un lien avec l'organisation, en particulier :

• Personnes physiques autonomes, actionnaires, associés, membres de l'organe d'administration, de direction ou de surveillance d'une entreprise ; personnel des entreprises de constructeurs, sous-traitants et fournisseurs ; ayant une relation de travail achevée ou à venir, y compris les bénévoles, stagiaires et travailleurs en période de formation, rémunérés ou non.
• Personnes physiques qui, dans le cadre de l'organisation pour laquelle l'informateur/l'informatrice fournit ses services, l'assistent dans le processus.
• Personnes physiques qui entretiennent une relation avec l'informateur ou l'informatrice et susceptibles de subir des représailles, telles que des collègues de travail ou des membres de la famille.
• Personnes morales pour lesquelles le/la déclarant travaille ou avec lesquelles il/elle entretient une autre relation professionnelle, ou dans lesquelles il/elle détient une participation significative.

Le système d'information, quelle que soit sa forme de gestion, devra :

• Autoriser toutes les personnes à communiquer des informations sur les infractions.
• Être conçu, mis en place et géré de manière sécurisée afin de garantir la confidentialité de l'identité du ou de la dénonciateur et de toute personne mentionnée dans la communication.
• Autoriser la présentation de communications écrites ou orales, ou les deux.
• Intégrer les différents canaux internes d'information qui pourraient être mis en place au sein de l'organisation.
• S'assurer que les communications peuvent être traitées efficacement.
  Être indépendants et apparaître distincts des systèmes d'information internes d'autres entités ou organismes.
• Avoir une personne responsable du système.
• Disposer d'une politique ou d'une stratégie énonçant les principes généraux en matière de système interne d'information.
• Définir les garanties pour la protection des lanceurs d'alerte.

En cas d'externalisation du système à des tiers, des garanties adéquates devront être fournies afin de respecter l'indépendance, la confidentialité, la protection des données et le secret des communications. Le tiers externe chargé de la gestion du Système d'Information sera considéré comme responsable du traitement aux fins de la législation sur la protection des données personnelles et sera régi conformément à l'article 28 du RGPD.

Si vous avez un site web, les informations sur le Système d'Information interne doivent être disponibles sur la page d'accueil, dans une section distincte et facilement identifiable.

De plus, elle devra contenir les informations suivantes:

• L'utilisation de tous les canaux internes d'information mis en place.
• les principes essentiels de la procedure de gestion

Les personnes informantes ont droit à la confidentialité, à la protection contre les représailles, à l'anonymat et à l'information, conformément à la présente politique.

Il est garanti le droit à la confidentialité totale concernant l'identité de la personne informant et le contenu intégral des informations fournies par elle, ainsi que de toutes les personnes directement ou indirectement impliquées ou affectées, conformément aux dispositions du présent document.
Il est interdit à l'organisation d'adopter toute forme de représailles ou tentative de représailles à l'encontre de la personne informant en raison des informations fournies.

Chaque personne informant sera en mesure de communiquer directement ses informations à l'Autorité Indépendante de Protection du Signalement (A.A.P.S.) par le biais de son canal officiel (qu'il s'agisse de l'autorité nationale ou régionale). Elle pourra le faire directement ou après l'avoir fait par le biais du canal interne de l'entreprise.

1. L'A.A.I. n'a pas encore été constituée, ni au niveau national ni au niveau local, à la date d'approbation de cette politique interne.

Pendant le traitement du dossier, les personnes affectées par la communication bénéficieront de la présomption d'innocence, du droit de défense et du droit d'accès au dossier dans les termes prévus par la présente loi, ainsi que de la même protection que les personnes informantes, leur identité étant préservée et la confidentialité des faits et données de la procédure garantie.
Les personnes affectées exerceront pleinement les droits et les garanties fondamentales légalement reconnus, à savoir :

• Droit à la présomption d'innocence.
• Droit à la défense pendant la procédure.
• Droit d'accès au dossier, sous réserve des limitations prévues par la loi 2.

L'organe d'administration ou d'organe de gouvernance de chaque entité, publique ou privée, est responsable de la mise en œuvre du système interne d'information, après consultation de la représentation légale des travailleurs, et sera considéré comme responsable du traitement des données personnelles. De même, les entités doivent désigner un/une responsable du système interne d'information qui peut être une personne physique ou un organe collégial et dont la nomination, le remplacement ou la révocation doivent dépendre de l'organe d'administration ou de gouvernance de l'entité. Ce poste peut être confié à la personne responsable de la fonction de conformité réglementaire lorsqu'elle occupe un poste de direction, dans le secteur privé, et, dans tous les cas, doit s'agir d'une personne indépendante et autonome.
La nomination, le remplacement ou la révocation du responsable seront formalisés par écrit.

L'utilisation du système interne d'information doit se faire de manière responsable et conformément à l'objectif qui lui est assigné. Par conséquent, l'utilisation de ce canal de communication à des fins autres que celles établies dans le présent document ne sera pas tolérée. De plus, des mesures disciplinaires pourront être prises à l'encontre de ceux qui feront une utilisation abusive de celui-ci.

Afin de garantir le droit de défense de la personne concernée, celle-ci aura accès au dossier sans révéler d'informations permettant d'identifier la personne qui a signalé les faits, et pourra être entendue à tout moment. Elle sera informée de son droit de se faire assister par un avocat.

Au moins une fois par an, la personne responsable du système évaluera l'efficacité du protocole, vérifiera sa conformité à la réglementation applicable et mettra à jour le contenu si nécessaire, en tenant compte des modifications apportées dans le contrôle de version du présent document. L'évaluation pourra être réalisée, par exemple, au moyen de questionnaires anonymes évaluant la connaissance, l'utilisation et la satisfaction des employés vis-à-vis du canal. La direction de l'organisation approuvera cette politique et la personne responsable du système en sera chargée de l'exécution diligente.

Voici la procédure interne décrite ci-dessous : notification, analyse, enquête et résolution.

CANAL INTERNO

Les communications seront autorisées :

• Par écrit, par courrier postal à l'adresse CAMINO AZAGADOR DE LA TORRETA, 5., 12110, Alcora, Castellón, et à l'attention du/de la Responsable du système.
• Par voie électronique. Via le lien et/ou l’adresse électronique indiqués sur la page web de
  l’entité dans la section Canal Éthique.
• Verbalement, par téléphone ou par système de messagerie vocale, via le numéro indiqué sur la page web de l'entité dans la section Canal Éthique.
• Par l'intermédiaire d'une réunion en personne, sur demande du/de la déclarant(e), en informant le/la
  Responsable du système sur rendez-vous par les moyens indiqués sur la page web dans la section Canal Éthique.
  Dans le cas de communications verbales ou de réunions en personne3, elles seront documentées comme suit, après consentement du/de la déclarant(e):
• Par une enregistrement sécurisé, durable et accessible de la conversation.
• Soit par le biais d'une transcription complète et exacte de la conversation réalisée par le personnel responsable de la traiter.
  En tout cas, l'informateur/l'informatrice aura la possibilité de vérifier, corriger et accepter par sa signature la transcription de la conversation.

CANAL EXTERNE

En tout état de cause, la personne informante pourra saisir le canal externe de l'Autorité Indépendante de Protection du Lanceur d'Alerte, A.A.I., ou, le cas échéant, les autorités ou organes compétents des communautés autonomes.

DIVULGATION PUBLIQUE

On entend par divulgation publique la mise à disposition du public d'informations relatives à des actions ou omissions.
Lorsque les canaux internes ou externes n'ont pas fonctionné, soit parce que le/la lanceur d'alerte les a utilisés sans résultat, ou lorsqu'il existe une menace imminente pour l'intérêt public, ou un risque de représailles ou d'un traitement inefficace, le/la lanceur d'alerte peut recourir à la voie ou au canal de la divulgation publique, c'est-à-dire utiliser des plateformes web, des réseaux sociaux, des médias ou leurs équivalents pour rendre son information publique.

Si l'organisation a connaissance des informations divulguées publiquement, elle sera également soumise aux obligations et exigences de la présente politique, ainsi qu'à l'exécution de ses phases.

La personne responsable du Système, c'est-à-dire la personne physique chargée de gérer le système interne d'information, exercera ses fonctions selon les principes de confidentialité, d'exhaustivité, de respect et de dignité tout au long de la procédure.

NOMINATION, DÉMISSION OU CESSATION

Sa nomination, révocation ou cessation d'emploi doit dépendre de l'organe d'administration ou de gouvernance de l'organisation et être formalisée par écrit. De même, tant la nomination que la cessation de la personne physique individuellement désignée, doivent être notifiées à l'Autorité Indépendante de Protection du Dénonciateur, A.A.I., ou, le cas échéant, aux autorités ou organes compétents des communautés autonomes dans le cadre de leurs compétences respectives, dans un délai de dix jours ouvrables suivant, en précisant, dans le cas de cessation, les raisons qui la justifient.

Les irrégularités devront être communiquées avec les informations disponibles à ce sujet. Une liste minimale d'informations requises auprès du demandeur pourrait être :

• Information à communiquer
• Personne(s) concerné(e)(s)
• Date et lieu des faits (quand ils se sont produits)

De même, les informations doivent être accompagnées de tous les éléments de preuve dont dispose le/la déclarant(e).

Il sera nécessaire de tenir un registre des informations reçues et des enquêtes internes
qui ont donné lieu, garantissant dans tous les cas les exigences de confidentialité.
Ce registre sera privé et ne pourra être fourni qu'à la demande motivée de l'Autorité Judiciaire compétente dans le cadre d'une procédure judiciaire, dans laquelle l'accès au contenu du registre pourra être accordé en totalité ou en partie. Les données personnelles relatives aux informations reçues et aux enquêtes internes de ce registre ne seront conservées que pendant la période nécessaire et proportionnée aux fins de se conformer à cette loi4. En aucun cas les données ne pourront être conservées au-delà d'une durée de dix ans.

Les conditions de protection des personnes informantes seront mises en place dans les circonstances suivantes :

• Avoir des motifs raisonnables de croire que l'information référencée est véridique au moment de la communication ou de la divulgation, même sans apporter de preuves concluantes, et que ladite information relève du champ d'application de ce système interne d'information.
• La révélation publique a été effectuée dans le cadre des paramètres établis par cette loi.

De leur côté, les personnes informantes qui communiquent ou révèlent sont exclues de la protection:

• Informations contenues dans des communications qui ont été rejetées.
• Informations relatives à des réclamations concernant des conflits interpersonnels ou affectant uniquement le/la déclarant(e) et les personnes auxquelles se réfère la communication ou la divulgation.
• Informations qui sont déjà entièrement publiques ou qui ne sont que de simples rumeurs.

INTERDICTION DE MESURES RÉPÉTITIVES

Il est expressément interdit les actes constitutifs de représailles, y compris les menaces de représailles et les tentatives de représailles contre les personnes qui présentent une communication par le biais du système interne.

On entend par représailles tout acte ou omission prohibé par la loi, ou qui, directement ou indirectement, impliquent un traitement défavorable plaçant les personnes qui en sont victimes dans une situation de désavantage particulier par rapport à d'autres, dans le contexte professionnel ou du travail, uniquement en raison de leur statut d'informateur ou suite à une révélation publique. Certains exemples, à titre purement indicatif, seraient :

• Suspension du contrat de travail, licenciement ou extinction de la relation de travail ou statutaire, y compris le non-renouvellement ou la résiliation anticipée d'un contrat de travail temporaire après la période d'essai, ou la résiliation anticipée ou l'annulation de contrats de biens ou de services, l'imposition de toute mesure disciplinaire, dégradation ou refus de promotions et toute autre modification substantielle des conditions de travail, ainsi que le défaut de conversion d'un contrat de travail temporaire en contrat indéterminé, le cas échéant, lorsque le salarié a des attentes légitimes quant à l'offre d'un emploi permanent.
• Dommages, y compris de nature réputationnelle, ou pertes économiques, contraintes, intimidations, harcèlement ou exclusion sociale.
• Évaluation ou références négatives concernant la performance professionnelle ou le travail.
• L'inclusion dans des listes noires ou la diffusion d'informations dans un domaine sectoriel particulier, qui entravent ou empêchent l'accès à l'emploi ou à la commande de travaux ou de services.
• Refus ou révocation d'un permis ou d'une licence.
• Refus de formation.
• Discrimination, traitement défavorable ou injuste.

Au cours du traitement du dossier, les personnes affectées par la communication bénéficieront de la présomption d'innocence, du droit de défense et du droit d'accès au dossier dans les termes prévus par la présente politique, ainsi qu'au même niveau de protection que celui accordé aux lanceurs d'alerte, en préservant leur identité et en garantissant la confidentialité des faits et données de la procédure.

MESURES DE SOUTIEN

De même, certaines mesures de soutien sont prévues pour les personnes qui fourniront des informations, telles que des conseils gratuits sur les procédures et les ressources disponibles, une assistance effective des autorités en matière de protection contre les représailles ou, le cas échéant, un soutien financier ou psychologique.

RECEPTION ET ANALYSE PRÉLIMINAIRE DE L'INFORMATION

Une fois les informations reçues, elles seront enregistrées et un accusé de réception vous sera envoyé dans un délai de sept jours ouvrables, sauf si vous avez expressément indiqué que vous ne souhaitez pas recevoir de communications relatives à l'enquête.

L'analyse qui suit sera effectuée, ce qui pourra donner lieu à l'archivage de votre dossier ou à l'ouverture d'un dossier si des indices de criminalité, de non-respect des règles pénales et/ou administratives ou du règlement interne de l'organisation sont découverts.

Phase de classement ou d'admission des informations

La décision d'archivage ou d'admission ne dépassera pas dix jours ouvrables.
Si les informations s'avéraient infondées, sortaient du champ d'application du canal ou s'il n'existait pas suffisamment d'éléments pour les considérer comme une irrégularité ou un acte contraire au Code Éthique, aux normes et aux politiques internes de l'organisation ou comme un manquement à une loi, à une réglementation ou à un règlement, le Responsable du système procédera à l'archivage desdites informations, en notifiant la personne informante dans les cinq jours ouvrables suivant la décision, sauf si l'informant a expressément indiqué ne pas souhaiter recevoir de communications relatives à l'enquête. Les données personnelles qui pourraient figurer dans les informations seront supprimées ou anonymisées du canal conformément à la réglementation sur la protection des données.
Si les informations faisaient apparaître des éléments laissant penser à leur fondement, elles seraient admises et le Responsable du système en informerait la personne informante dans les cinq jours ouvrables suivant la décision, sauf si l'informant a expressément indiqué ne pas souhaiter recevoir de communications relatives à l'enquête. Dans le même délai, il sera également transmis aux personnes affectées ce qui suit:

• Faits rapportés succinctement.
• De son droit de présenter des observations.
• Et son droit à la protection des données.

En aucun cas, l'identité du dénonciateur ne sera divulguée aux personnes concernées, ni leur donnera-t-on accès à la communication concernant les informations fournies.

PHASE D'INSTRUCTION

Après l'admission des informations et pendant le traitement de la procédure, l'organisation pourra prendre, de sa propre initiative ou à la demande du Responsable du système, les mesures provisoires appropriées visant à mettre immédiatement fin à la non-conformité constatée. L'adoption de ces mesures devra être confirmée par écrit.

Dans ce document, les points suivants seront traités en détail :

• Les raisons et les besoins qui conduisent à l'adoption de mesures conservatoires.
• La durée que les mêmes
• L'identification des mesures concrètes qui sont adoptées,
• Un jugement de proportionnalité entre les mesures adoptées et les fins poursuivies par celles-ci.

Le recours aux mesures provisoires sera exceptionnel et la mesure la moins restrictive possible sera privilégiée, parmi celles qui sont les plus efficaces, nécessaires et utiles pour atteindre les objectifs poursuivis.

Avec les mesures nécessaires en matière de transparence et de confidentialité, une fois confirmé que l'information satisfait aux exigences réglementaires, le processus d'enquête sera lancé, dont la durée maximale sera de 3 mois à compter de la réception et de la confirmation de la communication à la personne informante, même si aucun accusé de réception n'a été envoyé en raison de sa décision de ne pas recevoir de communications. L'enquête pourrait être prolongée à six mois lorsque cela sera nécessaire en raison de circonstances spécifiques du cas, notamment la nature et la complexité de l'objet de l'information, qui pourraient justifier une enquête plus longue.
Pendant cette période, la personne responsable du système effectuera les tests nécessaires à une enquête efficace sur les faits (entretiens avec les personnes concernées, demande de documents, obtention d'informations par le biais d'autres personnes ou de sources externes, etc.).
Durant la phase d'enquête, la personne misse en cause sera informée de la communication, avec un bref résumé des faits, et aura accès au dossier sans que des informations permettant d'identifier la personne informante soient révélées.
Dans le cadre de la phase d'enquête, et lorsque cela sera possible, un entretien pourra être mené avec la personne concernée, en respectant scrupuleusement la présomption d'innocence, afin de recueillir sa version des faits et lui permettre de fournir les éléments de preuve qu'elle jugera utiles et pertinents. Afin de garantir le droit de défense de la personne concernée, celle-ci aura accès au dossier sans révéler d'informations permettant d'identifier la personne informante, et pourra être entendue à tout moment.
La personne responsable du système interne aura les pouvoirs nécessaires pour contacter tout département ou personne de l'organisation afin de solliciter leur collaboration spécialisée et d'obtenir les informations ou la documentation nécessaires.

Le processus d'enquête sera mené avec le plus grand rigueur afin de vérifier la véracité des faits, en respectant la présomption d'innocence, le droit au respect de la vie privée et les autres droits des personnes concernées.
Toutes les personnes participant au processus seront tenues de garder le secret sur les informations dont elles auront connaissance à l'occasion de cette mission.

Phase de résolution et mesures

Une fois l'enquête terminée, un rapport d'instruction dûment justifié sera publié, proposant à l'organe directeur de l'organisation l'une des recommandations suivantes :

• Le dossier d'information sera fermé si la vérification fait suite à une absence de manquement aux règles. Les parties devront être informées de ce point et le dossier sera clôturé.
• Les mesures correctives ou sanctions qui s'avèrent nécessaires en cas de manquement normatif prouvé. Ces mesures, en fonction des résultats de l'enquête et du dossier traité, peuvent consister en l'imposition d'une sanction conformément aux manuels internes de l'entité (Code de Déontologie, Manuel de Conformité, règlement interne, etc.) ou dans le transfert des faits au juge ou au ministère public en raison de leur caractère pénal, ainsi que, le cas échéant, l'adoption des mesures préventives jugées opportunes pour éviter que des manquements similaires ne se reproduisent.

De plus, le rapport qui sera publié devra contenir, au moins, les points suivants :

• Une présentation des faits relatés ainsi que la date d'enregistrement.
• La classification de la communication aux fins de déterminer sa priorité ou non dans son traitement.
• Les actions entreprises afin de vérifier la vraisemblance des faits.
• Les conclusions tirées de l'instruction et de l'évaluation des diligences et des indices qui les sous-tendent.

Dans les cas où l'organisation procède à la communication des faits constatés et examinés à la justice, elle mettra à la disposition des autorités judiciaires compétentes le dossier complet issu de l'enquête, y compris l'intégralité des preuves obtenues dans le cadre de celle-ci.

De même, le cas échéant, l'organisation apportera une coopération totale avec l'autorité judiciaire compétente afin d'assurer une enquête et un éclaircissement appropriés des faits.

Quelle que soit la décision prise concernant la clôture de l'enquête, ladite décision devra être documentée dans le dossier correspondant.

Cette phase, qui est considérée comme la fin de la phase 3 précédente, sera incluse dans le délai de 3 mois (phases 3 et 4 conjointes).

Ci-dessous, vous trouverez une description des considérations relatives à la protection des données conformément aux dispositions légales suivantes:

• Règlement (UE) 2016/679 relatif à la protection des données (RGPD).
• Ordonnance organique n° 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD).
• Loi organique 7/2021 du 26 mai relative à la protection des données personnelles traitées à des fins de prévention, de détection, d'enquête et de poursuite en matière pénale, ainsi qu'à l'exécution des sanctions pénales.

LICITÉ DU TRAITEMENT

Lorsque l'implantation du système interne d'information sera obligatoire, il sera présumé licite en vertu d'une obligation légale applicable6. À défaut d'être établi comme obligatoire ou par le biais d'une divulgation publique, le traitement des données sera fondé sur le respect d'une mission d'intérêt public ou sur l'exercice de pouvoirs publics confiés au responsable7.

De même, dans les cas de communication de données au sein de l'organisation, toujours de manière confidentielle et aux personnes autorisées, cette communication sera considérée comme licite sur la base de critères normatifs.
Lorsque des traitements de données de catégorie spéciale seront effectués pour des raisons d'intérêt public essentiel, ce traitement sera licite en vertu de l'article 9.2.g) RGPD.

TRANSPARENCE ET INFORMATION

Les personnes informantes qui utilisent le canal doivent être informées conformément à l'article 13 du RGPD et à l'article 11 de la LOPDGDD.
Les personnes informantes et celles qui procèdent à une divulgation publique seront également informées expressément de ce que leur identité sera en tout cas réservée, qu'elle ne sera pas communiquée aux personnes dont il est question dans les faits relatés ni à des tiers.
Les personnes dont il est question dans les faits relatés ne seront en aucun cas informées de l'identité de la personne informante.
De même, les employés et les tiers doivent être informés du traitement des données personnelles dans le cadre des systèmes d'information.

En cas d'employés, ils/elles doivent avoir été informés/ées au préalable de l'existence de ces systèmes et du traitement des données impliquant la formulation d'une communication. L'information peut être fournie par divers canaux :

• Directement dans le contrat de travail.
• Individuellement ou collectivement lors de la mise en œuvre ou de la modification du système.
• Par le biais de circulaires d'information destinées au personnel et à ses représentants, en informant de l'existence et du but d'un traitement de données lié à ces boîtes aux lettres ou systèmes d'information internes.

DROITS DES PERSONNES INTÉRESSÉES

Les personnes intéressées pourront exercer leurs droits en matière de protection des données. Toutefois, dans le cas où les personnes dont il est question dans les faits relatés exerceraient le droit d'opposition, il sera présumé, sauf preuve contraire, qu'il existe des motifs légitimes impérieux justifiant le traitement de leurs données personnelles.

ACCÈS AUX DONNÉES

L'accès aux données contenues dans le système interne d'information sera limité exclusivement à:

• Le/la responsable du système et la personne qui en assure directement la gestion.
• La personne responsable des ressources humaines ou l'organe compétent dûment désigné, uniquement lorsque des mesures disciplinaires pourraient être prises à l'encontre d'un salarié.
• Le/La responsable des services juridiques de l'entité ou de l'organisme, le cas échéant, pour prendre des mesures légales concernant les faits décrits dans la communication.
• Les responsables du traitement (s'il existe pour cette procédure).
• Le/la délégué(e) à la protection des données (le cas échéant, désigné(e) en interne).

L'accès aux données par des personnes autres que les précédentes sera valable uniquement lorsque cela sera nécessaire pour la mise en œuvre de mesures correctives au sein de l'entité ou pour le traitement des procédures disciplinaires ou pénales, le cas échéant.

MINIMISATION DES DONNÉES

Les données personnelles dont la pertinence n'est pas manifeste pour traiter une information spécifique ne seront pas collectées. Si celles-ci sont collectées accidentellement, elles seront supprimées sans délai indu.

En aucun cas, les données personnelles qui ne sont pas nécessaires à la connaissance et à l'étude des actions ou omissions ne feront l'objet d'un traitement. Elles seront supprimées immédiatement si nécessaire. De même, tous les autres données personnelles qui auraient pu être communiquées et qui se rapportent à des comportements n'entrant pas dans le champ d'application de la loi seront supprimées.

DONNÉES PARTICULIÈRES QUI DISPOSENT D’UNE PROTECTION SPÉCIALE

Si les informations reçues contenaient des données personnelles appartenant aux catégories spéciales de données, elles seraient immédiatement supprimées, et leur enregistrement et leur traitement ne seraient pas effectués.

CONSERVATION DES DONNÉES

Les données faisant l'objet d'un traitement pourront être conservées dans le système d'information uniquement pendant la durée nécessaire pour décider de l'opportunité d'ouvrir ou non une enquête sur les faits rapportés.

Si des informations fausses ou en partie fausses sont établies, elles doivent être immédiatement supprimées dès que l'on a connaissance de ces faits, sauf si cette fausseté peut constituer un délit pénal, auquel cas les informations sont conservées pendant la durée nécessaire au déroulement de la procédure judiciaire.

Dans tous les cas, passé un délai de trois mois à compter de la réception de la communication sans qu'aucune mesure d'enquête ait été engagée, celle-ci devra faire l'objet d'une suppression, sauf si la finalité de la conservation est de prouver le fonctionnement du système.

Les communications qui n'ont pas donné suite ne pourront être enregistrées qu'anonymement, sans que la procédure de blocage prévue par la réglementation en matière de protection des données ne s'applique.

CONFIDENTIALITÉ

L'identité de la/des personne(s) qui signale/signalent ne sera pas divulguée à des tiers.
Les systèmes d'information, qu'ils soient internes ou externes, ne doivent pas recueillir de données permettant d'identifier le/la déclarant.

De plus, ces systèmes devront être dotés de mesures techniques et organisationnelles appropriées pour préserver l'identité et garantir la confidentialité des données relatives à la/aux personnes concernées et à tout tiers mentionné dans les informations fournies, notamment l'identité du ou de la personne ayant signalé les faits, si celle-ci a été identifiée.

L'identité de l'informateur/de l'informatrice ne pourra être communiquée qu'à l'autorité judiciaire, au ministère public ou à l'administration compétente dans le cadre d'une enquête pénale, disciplinaire ou administrative. Dans ces cas, l'informateur/l'informatrice sera informé(e) préalablement à la révélation de son identité, sauf si de telles informations risquent de compromettre l'enquête ou la procédure judiciaire.

JOURNAL DES ACTIVITÉS DE TRAITEMENT

Le traitement des données personnelles réalisé au moyen du système interne d'information nécessite la création d'un registre des activités de traitement. Celui-ci devra contenir, au moins :

• Les objectifs du traitement.
• Une description des catégories de parties intéressées et des catégories de données personnelles.
• Les catégories de destinataires auxquels les données personnelles ont été communiquées ou seront communiquées, y compris les destinataires situés dans des pays tiers ou des organisations internationales.
• Dans son cas, les transferts de données personnelles vers un pays tiers ou un organisme international, y compris les garanties adéquates.
• Lorsque cela sera possible, les délais prévus pour la suppression des différentes catégories de données.
• Lorsque cela est possible, un aperçu des mesures techniques et organisationnelles de sécurité.

ANALYSE DES RISQUES

Le traitement des données personnelles réalisé par le biais du système interne d'information nécessite une analyse des menaces auxquelles il peut être exposé en matière de protection des données, via une analyse des risques.

Compte tenu de tout ce qui précède dans cette politique, les points de contrôle suivants sont décrits ci-dessous afin de mettre en œuvre les obligations de cette loi.

À PROPOS DE LA PERSONNE RESPONSABLE DU SYSTÈME :

• Il doit être désigné formellement, connaître ses fonctions et obligations, et gérer le système interne d'information de manière diligente et responsable.
• De même, son destitution ou son licenciement devra également être formalisé.

À PROPOS DE LA CONCEPTION DU SYSTÈME SUR LE WEB :

• Une section spécifique doit être créée. Par exemple : « Système d'information interne ».
• Cette nouvelle section web doit contenir les exigences d'information suivantes :
  Disposer d'une politique ou d'une stratégie énonçant les principes généraux en matière de système interne d'information.
  L'utilisation de tous les canaux internes d'information mis en place.
  Les principes essentiels de la procédure de gestion.

Le système conçu sur la page web doit répondre à certains exigences techniques afin de protéger les intérêts du/de la lanceur d'alerte, des personnes concernées, ainsi que de l'organisation elle-même afin de faire face à d'éventuelles responsabilités. Ceci est :

• Option de soumettre des informations anonymes, et que les communications ultérieures restent anonymes.
• Cryptage des données en transit, garantissant la confidentialité des informations transmises via Internet.
• Contrôle d'accès, accordant l'accès au Système Interne d'Information uniquement aux personnes autorisées conformément à la loi.
• Journal des activités, permettant de savoir à tout moment et sans l'ombre d'un doute toutes les actions effectuées sur les informations, dès leur arrivée dans le système interne jusqu'à la clôture du dossier. Autrement dit, quel utilisateur (autorisé) consulte, modifie ou supprime une information dans le système, et à quel moment exact chaque action est-elle réalisée.
• L'informateur doit être autorisé à connaître l'état ou le traitement de ses informations.

SUR L'INCLUSION DE LA PROTECTION DES DONNÉES DANS LA CONCEPTION DU SYSTÈME SUR LE WEB :

• L'utilisation d'un formulaire d'information9 doit contenir des informations de base complètes sur la protection des données.
• Si vous optez pour la voie téléphonique, celle-ci devra comprendre une annonce fournissant des informations claires et complètes sur la protection des données.
• Si vous optez pour la messagerie vocale, un message d'information claire et complète sur la protection des données devra être diffusé.
• Si vous choisissez de demander/accepter un rendez-vous en personne, un formulaire sur papier devra être utilisé lors de la réunion physique avec le responsable du système, lequel comprendra un avis sur les informations de base et complètes relatives à la protection des données.

À PROPOS DE LA TRANSPARENCE ENVERS LE COMITÉ OU LES DÉLÉGUÉS DU PERSONNEL:

• Conformément aux obligations de responsabilité et de transparence, la présente politique sera portée à la connaissance du comité d'entreprise ou de la représentation des travailleurs, selon le cas.

À PROPOS DE LA TRANSPARENCE ENVERS LES SALARIÉS :

• Conformément aux obligations de responsabilité et de transparence, les employés seront informés de l'existence et de l'objet du canal, après communication préalable au comité d'entreprise ou à la représentation des salariés.

À PROPOS DU LIVRE D'INFORMATIONS 

• Il est nécessaire de tenir un registre des informations reçues et des enquêtes internes qu'elles ont déclenchées.

À PROPOS DES AUTRES EXIGENCES EN MATIÈRE DE PROTECTION DES DONNÉES :

• Créer l'enregistrement des activités de traitement pour ce canal.
• Effectuer une analyse des risques pour ce canal.