Politique générale Information sur le système interne

1 INTRODUCTION

La transposition de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 en droit espagnol, avec la mise en place d'un système de gestion de l'information, est en cours. Loi 2/2023, du 20 février, réglementant la protection des personnes dénonçant des infractions réglementaires et la lutte contre la corruption.Cela implique l'incorporation d'instruments spécifiques afin que ceux qui ont connaissance d'actions illégales ou irrégulières puissent fournir des données et des informations utiles, en garantissant une protection pleine et effective de ces informateurs.

En ce sens, la législation susmentionnée réglemente les aspects minimaux auxquels doivent satisfaire les différents canaux d'information internes et externes, ainsi que le régime spécial de protection des informateurs qui agissent de bonne foi et avec une conscience honnête, de manière désintéressée.

Conformément à ce qui précède, l'Entité a mis en place un système d'information interne (SIIF)qui constitue un axe fondamental de supervision, de contrôle et de prévention dans le domaine de la conformité réglementaire. Ce système constitue un canal préférentiel et un outil obligatoire pour canaliser l'information avec diligence, afin de renforcer la culture de l'information au sein de l'organisation elle-même.

Le SIIFIF a été conçu comme un instrument de contrôle et de prévention, qui envisage des canaux d'information gérés à la fois en interne et par une société externe spécialisée. Ces canaux bénéficient des plus hauts niveaux de professionnalisme, d'expérience, d'indépendance, de confidentialité, de respect des règles de protection des données et des autres cadres réglementaires applicables. De même, le SIIF garantit les principes de base de l'anonymat, de l'enregistrement adéquat, de la conservation et de la non-altération, de la prévention des conflits d'intérêts, de la protection de l'informateur et de l'interdiction des représailles.

Conformément à la loi susmentionnée, il est indispensable que le SIIF dispose d'un système de gestion de l'information. une politique énonçant les principes généraux du système et de la défense des dénonciateursdûment diffusée au sein de l'entité. Par conséquent, avec la procédure de gestion des informations reçues, cette politique est un élément essentiel de la configuration et du fonctionnement de la SIIF.

2 PRINCIPES D'ACTION ET GARANTIES ESSENTIELLES

Les principes d'action et les garanties essentielles Système d'information interne (SIIF) est l'un des principaux axes des systèmes de conformité réglementaire et de prévention criminelle. Conformément aux normes de diligence les plus élevées dans ce domaine, l'entité a doté le SIIF d'une série de garanties destinées à assurer son efficacité, avec la collaboration et le soutien de l'expert externe BONET consulting. Plus précisément, les principes de base et les garanties fondamentales qui régissent le processus et les actions de l'Entité en ce qui concerne le SIIF sont les suivants :

  • Indépendance, autonomie, impartialité et absence de conflits d'intérêts : Lors de la réception et du traitement des informations relatives aux infractions, des mécanismes de réaction ont été définis pour gérer et contrôler les éventuels conflits d'intérêts et/ou le manque d'indépendance, lorsque les responsables de la gestion, du contrôle et/ou de la supervision présentent une série de caractéristiques qui compromettent et conditionnent l'exercice de leurs fonctions. De même, toutes les communications reçues font l'objet d'une analyse avec les exigences d'indépendance nécessaires, qui garantissent l'équité et la justice dans leur traitement.

  • Professionnalisme et expérience : Des professionnels spécialisés dans la conformité réglementaire, la prévention criminelle et la bonne gouvernance sont chargés du traitement et de la bonne gestion des communications, en préservant les droits des dénonciateurs et des personnes mises en cause.  Exhaustivité, intégrité et confidentialité des informations : Les participants aux différentes phases de l'enquête ont un devoir de confidentialité à l'égard de toute information à laquelle ils peuvent avoir accès ou dont ils peuvent avoir connaissance en raison de l'exercice de leurs fonctions. En outre, l'accès à ces informations par des personnes non autorisées doit être empêché et elles doivent être conservées de manière durable et sûre, grâce à la création de copies de sauvegarde des informations et de dossiers indépendants.

  • Protection des données et secret des communications : Le traitement des données est conforme aux mesures et politiques de protection des données personnelles les plus strictes, conformément à la réglementation applicable en matière de protection des données personnelles. De même, il existe une obligation de secret concernant tout aspect lié aux informations communiquées. 

  • Anonymat et anonymisation : La possibilité de présenter et de traiter ultérieurement des communications anonymes est prévue, ainsi que l'obligation générale de préserver l'identité de l'informateur qui s'est identifié lors de la communication, en gardant l'anonymat et en ne divulguant pas son identité à des tiers.

  • Utilisation abordable, simplicité et gratuité : La simplicité de la communication est garantie, ce qui permet un accès universel au système sans aucun coût associé, et l'application effective des principes de légalité et d'éthique qui régissent l'activité de l'entité. 

  • Enregistrement adéquat et indépendant : Les informations reçues et les enquêtes internes auxquelles elles ont donné lieu font l'objet d'un registre privé garantissant leur traitement, leur gestion et leur non-altération, en toute indépendance et sans conflit d'intérêts, pendant une période nécessaire et proportionnée conformément à la législation en vigueur. En aucun cas, les données ne seront conservées pendant une période supérieure à dix ans.

  • Bonnes pratiques de suivi et de recherche : Afin de vérifier la véracité des communications, la collecte correcte des preuves et de garantir les droits des personnes concernées, le cycle de vie des communications est régi par une procédure interne efficace et transparente. Ces pratiques seront documentées dans la procédure de gestion des informations reçues.

  • Protection de l'informateur et des personnes concernées : Les personnes qui signalent ou divulguent des actes répréhensibles ont droit à des mesures de protection et ne peuvent faire l'objet de représailles ou de conséquences négatives en raison de leur coopération, y compris les menaces de représailles et les tentatives de représailles. De même, les personnes concernées par la communication ont droit à la même protection que celle prévue pour les dénonciateurs, leur identité étant préservée et la confidentialité des faits et des détails de la procédure étant garantie.

  • Diligence, responsabilité et bonne foi de la part de l'informateur : L'utilisation du système repose sur les principes de responsabilité, de diligence et de bonne foi, selon lesquels tout informateur doit avoir des motifs raisonnables de croire que l'information est véridique au moment où il la communique. La communication de faits non fondés, faux ou déformés, ainsi que la transmission d'informations obtenues de manière illégale, avec une attitude malveillante et moralement malhonnête, constituent une violation du principe de bonne foi et peuvent donner lieu à des mesures disciplinaires. 

RESPONSABLE DU SYSTÈME D'INFORMATION INTERNE

Pour l'efficacité du système d'information interne système d'information interne (SIIF), il est essentiel de désigner une personne responsable de son bon fonctionnement, de son organisation et du traitement diligent de l'information. Cette personne sera également chargée de veiller à la bonne communication et à la diffusion des IFRS, ainsi qu'à l'exécution et à la mise à jour du plan de formation correspondant.

L'organe d'administration ou de direction de l'Entité est chargé de désigner et de notifier à l'autorité compétente la personne physique ou l'organe collégial responsable de la gestion dudit système et de procéder à sa révocation ou à son licenciement (ci-après, le "Directeur"). Gestionnaire du système).

Le gestionnaire du système exerce ses fonctions de la manière suivanteindépendant et autonome par rapport aux autres organes de l'Entité, en évitant les situations éventuelles de conflit d'intérêts dans l'exercice normal de ses fonctions. Toutefois, le gestionnaire du système peut faire appel à d'autres tiers pour bénéficier d'un soutien spécialisé et/ou se conformer aux exigences d'indépendance, afin d'assurer la bonne exécution de ses fonctions.

En particulier, pour l'exercice de ses fonctions, le gestionnaire du système se coordonne avec les parties suivantes :

  • le chef des ressources humaines, lorsque des mesures disciplinaires peuvent être prises à l'encontre des personnes concernées et/ou pour coordonner l'application de mesures de protection.
  • Les responsables de la conformité réglementaire et/ou les services juridiques de l'entité, au cas où il serait nécessaire d'adopter des mesures de nature juridique ou de conformité réglementaire qu'ils doivent prendre en considération en ce qui concerne les communications reçues dans le SIIF.
  • Les éventuels responsables du traitement des données.
  • Le délégué à la protection des données / le responsable de la protection des données.
  • D'autres personnes et/ou entités impliquées dans la gestion du SIIF.

AUTORITÉ INDÉPENDANTE POUR LA PROTECTION DE L'INFORMATEUR

Le système d'information interne (SIIF). Le système d'information interne (SIIF) de l'entité est le moyen prioritaire et obligatoire de signaler les actes répréhensibles ou les infractions connus, car il garantit l'adoption correcte de mesures de protection et favorise une culture du signalement au sein de l'organisation.

Toutefois, d'autres canaux d'information "externes" ont été déterminés, afin d'offrir aux citoyens une alternative où ils peuvent soumettre un rapport et/ou une plainte, dans le cas où les canaux internes ne respectent pas les garanties requises par la réglementation applicable, où les mesures de protection pertinentes ne sont pas appliquées ou où les personnes sont exposées à des représailles en raison de leur statut de dénonciateur.

Par conséquent, toute personne physique peut s'adresser directement à la Commission européenne. Autorité Indépendante pour la Protection des Lanceurs d'Alerte, I.A.P.A.. de toute action ou omission constituant une violation de la loi, par le biais du canal d'information externe de cette autorité publique spécialisée. L'accès à ce canal d'information externe et les coordonnées de l'Autorité sont publiés sur son site web.

CONFIDENTIALITÉ ET PROTECTION DES DONNÉES PERSONNELLES

Le traitement des données à caractère personnel provenant du système d'information interne (SIIF) sont régis par les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la loi organique 3/2018 du 5 décembre et de la loi organique 7/2021 du 26 mai. Par conséquent, au moment de la collecte, les personnes concernées sont informées du traitement de leurs données et de leurs droits, conformément à la réglementation en vigueur.

Conformément au principe de minimisation des donnéesLes données personnelles collectées sont celles qui sont nécessaires et pertinentes pour le traitement de la communication. Si des données sont collectées par accident et qu'elles ne sont pas nécessaires à la connaissance et à l'investigation des actions ou des omissions, elles seront supprimées dans les meilleurs délais. Les données sont également conservées aussi longtemps que nécessaire pour décider de l'opportunité d'ouvrir une enquête.

D'autre part, la conception du SIIF garantit la sécurité des données. la confidentialité de l'identité de l'informateur et de tout tiers mentionné dans la communication, ainsi que des actions menées dans le cadre de la gestion et du traitement de celle-ci. En ce sens, l'accès aux données personnelles et autres informations contenues dans le système est limité aux responsables de la gestion, dans le cadre de leurs pouvoirs et fonctions. Par conséquent, des mesures techniques et organisationnelles appropriées sont mises en place pour préserver l'identité des personnes concernées et empêcher l'accès de personnes non autorisées.

En cas de doute ou de question concernant le traitement des données à caractère personnel effectué au sein de l'entité en relation avec les IFRS, toute personne intéressée peut s'adresser à Délégué à la protection des données / Délégué à la protection des données désigné, en utilisant les coordonnées qui lui ont été communiquées au préalable et qui sont à sa disposition.

MESURES DE PROTECTION

Les personnes qui communiquent ou divulguent des infractions à l'aide de l'application Système d'information interne (SIIF) de l'entité ont droit à la protectionL'entité a droit à une protection dans les mêmes conditions que les personnes qui font des déclarations par des voies externes, à condition qu'elles aient des motifs raisonnables de croire que l'information est vraie au moment de la communication ou de la divulgation, même si elles n'apportent pas de preuves concluantes.

À cet égard, les pratiques suivantes sont expressément interdites les représaillesy compris les menaces et les tentatives, à l'encontre des personnes qui soumettent une communication sont expressément interdites. Par représailles, on entend

  • les actes ou omissions interdits par la loi.

  • Les actes ou omissions qui entraînent directement ou indirectement un traitement défavorable, plaçant la personne dans une situation désavantageuse par rapport à une autre personne.

À titre d'exemple et de manière non limitative, les représailles sont considérées comme telles :

  • La suspension du contrat de travail, le licenciement ou la rupture de la relation, la résiliation anticipée, l'annulation du contrat de travail et/ou du contrat commercial, les mesures disciplinaires, le blâme ou toute autre sanction, la rétrogradation ou le refus de promotion, la modification substantielle des conditions et la non-conversion du contrat temporaire en contrat à durée indéterminée ou toute autre mesure équivalente.
  • Dommages (y compris à la réputation), pertes financières, coercition, intimidation, harcèlement ou ostracisme.
  • Évaluation négative des performances professionnelles ou des références à celles-ci.
  • Mise sur liste noire ou diffusion d'informations qui entravent ou empêchent l'accès à l'emploi/aux contrats de travaux ou de services.
  • Refus ou révocation d'une licence ou d'un permis.
  • Refus de formation.  Discrimination, traitement défavorable ou injuste.
  • Refus d'incitations, d'avantages, de primes, de commissions et de tout autre type de rémunération.
  • Résiliation anticipée, suspension, modification ou annulation de contrats de biens ou de services.

Ces actes sont nuls et non avenus et donnent lieu, le cas échéant, à des mesures disciplinaires correctives ou à des mesures de responsabilité, qui peuvent inclure l'indemnisation correspondante des dommages subis par la partie lésée. Afin de garantir le droit à la protection de l'informateur et des personnes concernées par la communication, l'entité a mis en place les mesures techniques et organisationnelles suivantes, qui sont appliquées dès la réception de la communication :

  1. Configuration du SIIFLe SIIF a été conçu avec les mesures techniques et organisationnelles appropriées pour garantir la protection de l'identité de l'informateur, ainsi que des données et des informations dérivées des communications soumises. À cet égard, l'entité a mis en place une série de canaux de signalement internes qui permettent des signalements anonymes. Ces canaux sont les suivants

    Canal en ligne / numériquePlate-forme numérique pour la soumission de communications écrites.

    Canal en face à faceLe système de réception des soumissions par réunion en face à face ou par vidéoconférence.

    Quel que soit le canal utilisé, SIIF veille à la mise en œuvre effective des principes fondamentaux et des garanties spécifiés dans la présente politique, afin de se conformer aux exigences du cadre réglementaire et de protéger les droits des personnes déclarantes et des personnes concernées.

  2. Responsable pour SIIFAfin de garantir la bonne mise en œuvre du SIIF, l'Entité a désigné un responsable dont le rôle est de superviser, de suivre et de contrôler le fonctionnement du SIIF. À cet égard, le responsable, en collaboration avec l'expert externe, adopte les mesures de protection nécessaires et veille à ce qu'elles soient dûment suivies et mises en œuvre. La participation de l'expert externe confère aux fonctions du contrôleur les éléments d'autonomie et d'indépendance requis par la réglementation en vigueur. De même, le contrôleur est chargé d'effectuer une analyse préliminaire des communications reçues afin de déterminer l'opportunité d'adopter des mesures de protection spécifiques à l'égard de l'informateur et/ou des tiers concernés. En outre, en fonction de la nature et de la portée des informations, le responsable du traitement bénéficie du soutien et des conseils des responsables des différents domaines opérationnels de l'entité pour mener à bien l'enquête. Il peut également faire appel à d'autres tiers spécialisés pour les questions nécessitant l'avis d'un expert.

  3. Garde, gestion et sécurité des informations SIIFL'entité dispose d'un système de gestion des documents assorti de mesures de sécurité et de contrôle appropriées pour garantir l'efficacité des IFRS. Il convient de noter que ce système comprend des processus d'anonymisation, afin de ne pas permettre l'identification des informateurs. En outre, l'entité a adopté des mesures techniques raisonnables pour le stockage, l'extraction et l'élimination sécurisés des informations, ainsi que pour la mise en œuvre de contrôles d'accès afin d'empêcher toute utilisation non autorisée.

Toutefois, les informations soumises qui sont fausses, déformées, manifestement dépourvues de toute crédibilité et de tout fondement ou pour lesquelles il existe des indices raisonnables qu'elles ont été obtenues par la commission d'un délit sont exclues de la protection susmentionnée. En effet, toutes les communications doivent être effectuées selon le principe de la confidentialité. bonne foi et l'informateur doit donc avoir des motifs raisonnables de croire que l'information est véridique au moment de la communication. En bref, le principe de bonne foi exige qu'en aucun cas on ne puisse déduire qu'il y a mensonge, contrevérité, intention de vengeance ou intention de nuire à un tiers.

Il est important de rappeler que les mesures de protection ne sont pas uniquement destinées aux dénonciateurs. Les personnes auxquelles les faits relatés dans la communication se rapportent peuvent également bénéficier de ces mesures. (personnes concernées) sont protégées de manière unique contre le risque que les informations, même si elles semblent vraies, aient été manipulées, soient fausses ou soient motivées par d'autres raisons. Pendant le traitement de l'affaire, ces personnes ont droit à la présomption d'innocence, à la protection judiciaire et à la défense, à l'accès au dossier, ainsi qu'à la confidentialité des faits et des données de la procédure et à la confidentialité de leur identité. En conclusion, elles bénéficient de la même protection et des mêmes droits que l'informateur.

RÉGIME DISCIPLINAIRE

Le non-respect de la réglementation applicable et les comportements contraires aux instructions, politiques, codes, procédures et protocoles de l'entité sont des motifs d'application du régime disciplinaire de l'UE. régime disciplinaire au niveau du travail et au niveau commercialLe régime disciplinaire de l'entité est appliqué en coordination avec les dispositions de la convention collective applicable, du statut des travailleurs et des autres réglementations applicables.

L'entité notifie et sanctionne toute action ou omission contraire à la présente politique commise par des employés, des collaborateurs ou tout membre lié à l'entité et, en particulier :

  • l'omission de signaler toute infraction ou non-conformité suspectée ou avérée au cadre réglementaire et aux protocoles et règles internes de l'Entité par l'intermédiaire de l'IFRS.
  • Toute tentative ou action effective visant à entraver la présentation des rapports ou à empêcher, contrecarrer ou ralentir leur suivi.
  • L'utilisation des IFRS de mauvaise foi, par exemple en fournissant des informations ou des documents en sachant qu'ils sont faux.
  • Prendre des mesures de rétorsion à la suite du rapport à l'encontre des déclarants ou d'autres personnes concernées.
  • La violation des garanties de confidentialité et d'anonymat, la révélation de l'identité des personnes concernées et la violation de l'obligation de secret de l'information.
  • Violation de l'obligation de collaborer à l'enquête d'information.

COMMUNICATION, RÉVISION ET MISE À JOUR

La présente politique, ainsi que toutes les informations nécessaires sur l'utilisation du site web de l'Union européenne, sont mises à jour régulièrement. système d'information interne (SIIF) sont disponibles dans une section distincte et facilement identifiable, de manière à ce que toutes les parties intéressées puissent les consulter d'une manière claire et facilement accessible. Toutefois, toute personne peut demander des informations supplémentaires à l'entité en utilisant les coordonnées du contrôleur.

L'entité Administrateur du système réexamine périodiquement et, le cas échéant, propose à l'organe de gestion ou de direction de l'entité la mise à jour de la présente politique, afin de l'adapter aux circonstances et aux changements qui peuvent survenir, ainsi qu'à la réglementation ou à la jurisprudence qui peut être émise. Tout cela dans le but d'adapter les IFRS aux exigences maximales de conformité réglementaire pour leur bon fonctionnement et leur efficacité.

De même, l'Entité est ouverte à toute suggestions et/ou propositions susceptibles d'améliorer ses performances éthiques et de favoriser une culture de respect des réglementations, en soulignant la nécessité pour tous les employés et membres liés à l'Entité ou à des tiers de collaborer afin de se conformer à ses valeurs et principes.

CANAUX D'INFORMATION INTERNES

Afin de se conformer aux dispositions de la loi 2/2023, l'entité a mis en place un système configuré selon les exigences techniques et procédurales requises par ladite loi pour le traitement adéquat des communications. L'objectif est d'offrir aux informateurs un environnement de communication sécurisé, confidentiel, voire anonyme, avec l'entité, et de traiter les informations de manière efficace, professionnelle et indépendante.

À cette fin, l'entité s'est dotée de ressources matérielles, techniques et humaines afin de mettre en place divers canaux internes pour la présentation de communications écrites ou orales. Ces canaux sont configurés, conçus et soutenus par un expert externe afin d'assurer les plus hauts niveaux de professionnalisme, d'expérience, d'indépendance, de confidentialité, de protection des données et des dénonciateurs, ainsi que d'autres domaines applicables à ce type de canal.

Il convient de noter que les informations fournies par l'un des canaux internes seront traitées de manière confidentielle et que seul le personnel autorisé y aura accès en vue d'une gestion et d'un traitement adéquats.

Les canaux mis à la disposition de tout employé ou tiers lié à l'entité pour la présentation de communications sont détaillés ci-dessous :

Canal en ligne/numérique

L'Entité dispose d'un outil numérique qui permet de soumettre des communications écrites au moyen d'un formulaire auquel il est possible de joindre des fichiers. Une fois le formulaire rempli, l'outil génère automatiquement un code qui permet à la personne chargée de traiter la communication d'en assurer le suivi et la gestion. De même, une confirmation est envoyée à l'informateur concernant la saisie et l'enregistrement de la communication dans le système, qui contient un résumé des informations fournies, ainsi que le code pour que l'informateur puisse également effectuer ce suivi.

Cet outil dispose de mesures de sécurité qui garantissent la protection des informations, de l'identité de l'informateur et de l'identité des personnes concernées, ainsi que la confidentialité et la réserve de l'ensemble du processus de gestion et de traitement de la communication. En ce sens, l'Entité garantit un environnement de communication sûr et diligent pour la réception des communications.

L'outil permet également de soumettre des communications de manière anonyme. Grâce à son système de communication et de suivi, l'informateur et le gestionnaire du système peuvent communiquer par l'intermédiaire de l'outil, que le rapport ait été soumis de manière anonyme ou non.

Le lien permettant d'accéder à cet outil et à son champ d'application est disponible sur le site web de l'Entité.

Canal en face-à-face

Un autre canal que l'Entité met à la disposition de ses employés et des tiers qui sont en relation avec elle est le canal face à face, dont l'objectif est de permettre la présentation de communications verbales par le biais d'une réunion face à face ou d'une vidéoconférence. Dans ce cas, et compte tenu de la complexité pour l'Entité de garantir l'anonymat de l'informateur dans les cas où celui-ci est demandé, l'Entité a confié cette fonction à l'expert externe BONET consulting, qui est chargé de recevoir et de gérer les communications présentant ces caractéristiques, ainsi que celles dans lesquelles les informateurs sont identifiés et où une gestion en face-à-face est nécessaire. À cet égard, l'expert externe garantit la protection de l'identité de l'informateur à la fois dans le processus de demande de rendez-vous préalable, dans la présentation d'une communication sous forme de face-à-face et dans le lieu où elle est effectuée.

Afin d'assurer la sécurité et de préserver l'intégrité des informations fournies par l'informateur, la réunion sera enregistrée conformément aux dispositions de la loi et avec le consentement préalable de l'informateur. Cette réunion sera documentée dans un format sécurisé, avec les mesures de sécurité et d'anonymisation requises par le cadre réglementaire. Dans cette optique, BONET consulting dispose et mettra en place les mécanismes technologiques nécessaires pour envoyer une documentation complémentaire aux informations fournies lors de la réunion.

Afin d'utiliser ce canal, l'Entité a mis en place un numéro de téléphone et un e-mail de contact pour demander la présentation de communications dans ce format, dont l'attention et la coordination de la réunion seront assurées exclusivement par BONET consulting. Les coordonnées pour cette demande sont dûment publiées sur le site web de l'Entité.

COPYRIGHT

Le contenu de la présente politique générale relative au système d'information interne est soumis au droit d'auteur. Par conséquent, pour procéder à sa distribution ou à sa communication à d'autres entités, le consentement exprès du détenteur des droits d'auteur est requis..