Procédure relative au système d’information interne ou au canal de traitement des plaintes

1.- LE SYSTÈME D’INFORMATION INTERNE OU CANAL DE RÉCLAMATION.

1.1.- Concept et nature.

Le code pénal rappelle, dans son article 31 bis, l’obligation pour la personne morale de mettre en place en son sein des systèmes ou moyens de communication concernant les risques ou les infractions légales possibles.

De même, la loi 2/2023 du 20 février, relative à la protection des personnes signalant les infractions réglementaires et à la lutte contre la corruption, a également introduit une série d’exigences que les personnes morales doivent respecter pour la mise en place et la gestion de ces « systèmes d’information internes » ou « canaux de signalement ».

Par conséquent, dans le cadre de sa culture de conformité éthique, cette entité a mis en place ce SYSTÈME D’INFORMATION INTERNE OU CANAL DE GESTION DES PLAINTES, par lequel il sera possible de signaler les événements liés aux risques matérialisés, les faits sur lesquels il existe des soupçons de commission d’un crime et également tout autre comportement impliquant une violation des réglementations légales, ainsi que des politiques internes de la société.

Il peut être utilisé par tous les travailleurs, les membres de l’organe administratif ou toute autre tierce partie intéressée visée à l’article 3 de la loi 2/2023 du 20 février susmentionnée, de manière confidentielle ou anonyme, sans crainte de représailles en vertu des dispositions du règlement susmentionné.

En déposant leur plainte et en exprimant leurs préoccupations, les plaignants contribuent à ce que notre entité soit reconnue comme une organisation responsable dans tous les aspects de son activité.

1.2. – Principes directeurs fondamentaux du système

Accessibilité : Il existe différentes options pour déposer une plainte :

  • Par l’adresse électronique suivante : canalcomunicacion@kbv-group.com
  • Par courrier à l’adresse suivante : À l’attention du responsable de la conformité, Kitchen Bath Ventures, SL, C/ Acanto, 22-9, 28045 Madrid

Confidentialité : L’identité et les coordonnées de la personne effectuant la communication, ainsi que les faits et documents communiqués concernant l’activité irrégulière possible par ce biais, seront toujours considérés comme des informations confidentielles et, par conséquent, ne seront pas communiqués sans leur consentement à l’accusé et/ou à des tiers ou à moins qu’une autorité administrative ou judiciaire ne l’exige, conformément aux dispositions de l’art. 31.1 de la loi 2/2023.

Anonymat : Les plaintes anonymes sont acceptées, à condition d’être envoyées par voie postale ou remises en main propre, au moyen d’une enveloppe scellée adressée au RESPONSABLE DES SYSTÈMES D’INFORMATION et sans indiquer aucune donnée concernant la personne présentant la communication, ni sur l’enveloppe ni dans la plainte elle-même.

Gestionnaire du système : L’Entité a délégué la gestion des réclamations à un gestionnaire du système, dûment identifié et conformément à la loi 2/2023.

Objectivité et impartialité : toutes les plaintes seront traitées de manière objective et impartiale, garantissant le droit au respect de la vie privée, à la défense et à la présomption d’innocence des personnes concernées.

Protection des données : Conformément à l’article 24 de la loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques (modifiée par la disposition additionnelle 7 de la loi 2/2023 susmentionnée), « le traitement des données personnelles nécessaire à la protection des personnes signalant des infractions réglementaires est licite. Ce traitement est régi par les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, de la loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques, et de la loi relative à la protection des personnes signalant des infractions réglementaires et à la lutte contre la corruption. » La base juridique du traitement des données est l’article 30.3 de la LOPDGDD.

Les données doivent être conservées dans le système de signalement uniquement pendant la durée nécessaire pour décider de l’opportunité d’ouvrir une enquête sur les faits signalés. En tout état de cause, après trois mois à compter de leur saisie (ou six mois si ce délai a été prolongé en raison de la complexité du signalement), elles doivent être supprimées du système, sauf si leur conservation vise à démontrer le bon fonctionnement du dispositif de prévention des infractions mis en place par la personne morale.

Les données personnelles non nécessaires aux fins décrites ou relatives à des comportements non prévus par la loi ne seront en aucun cas traitées ; elles seront immédiatement supprimées. Si les informations reçues contiennent des données à caractère personnel sensible, elles seront immédiatement supprimées, sans être enregistrées ni traitées.

Si les faits sont prouvés ou s’il existe des preuves suffisantes, les données seront conservées aussi longtemps que nécessaire pour permettre à l’Entité d’exercer ses droits devant les tribunaux.

Les plaintes déposées anonymement seront identifiées par une référence interne afin d’être intégrées au système de traitement des plaintes.

Seules les personnes suivantes auront accès aux plaintes :

  • La personne responsable du système.
  • L’instance interne compétente dûment désignée au sein de l’Entité, lorsque l’adoption de mesures disciplinaires à l’encontre d’un travailleur peut s’avérer appropriée.
  • Le responsable des services juridiques de l’Entité, si l’adoption de mesures juridiques en relation avec les faits rapportés est appropriée.
  • Les conseillers externes ou les tiers qui pourraient s’avérer nécessaires en raison de la nature de l’affaire seront considérés comme des sous-traitants ou des sous-traitants ultérieurs du traitement des données.
  • Le délégué à la protection des données et le responsable de la conformité

1.3.- Droits et obligations

Droits et garanties des informateurs

Les informateurs se verront garantir l’exercice effectif des droits suivants, sans préjudice de tout autre droit reconnu par la Constitution et les lois :

  • soumettre des informations de manière anonyme, à condition que l’anonymat soit maintenu pendant toute la procédure, et que la procédure établie indiquée ci-dessus soit respectée.
  • Vous pouvez déposer votre plainte verbalement ou par écrit. Un système sera mis à votre disposition pour faciliter les plaintes verbales.
  • Veuillez indiquer une adresse postale, une adresse électronique ou un emplacement sécurisé où vous pourrez recevoir les communications du gestionnaire du système, à l’exception des plaintes anonymes.
  • Présentez-vous de votre propre initiative devant le responsable système ou le responsable délégué.
  • renonciation au droit de communiquer avec le gestionnaire du système ou le gestionnaire délégué qui donne les instructions relatives à la procédure et, le cas échéant, révocation de ladite renonciation à tout moment.
  • Préservation de leur identité. L’identité du plaignant ne peut être révélée, sans son consentement exprès, à aucune personne non compétente pour recevoir et traiter les plaintes, sauf exceptions prévues par le droit de l’Union européenne ou la réglementation espagnole dans le cadre d’enquêtes menées par les autorités ou au cours de procédures judiciaires.
  • protection de vos données personnelles.
  • connaître l’identité du responsable qui donnera les instructions concernant la procédure.
  • confidentialité des communications.
  • mesures de protection et de soutien prévues par la loi 2/2023.
  • Déposer une plainte auprès de l’Autorité indépendante de protection des lanceurs d’alerte.
  • ne pas faire l’objet de représailles, même si les résultats des enquêtes confirment qu’il n’y a eu aucune violation des réglementations applicables ou du règlement intérieur de l’Entité, à condition qu’il/elle n’ait pas agi de mauvaise foi.

1.4.- Obligations des informateurs

Les informateurs, en ce qui concerne la transmission de leurs communications par le biais du canal d’information interne, seront soumis aux obligations suivantes :

  • Ils doivent disposer de preuves raisonnables ou suffisantes quant à l’exactitude des informations qu’ils communiquent et ne peuvent pas faire de communications génériques, de mauvaise foi ou abusives, auquel cas ils pourraient encourir une responsabilité civile, pénale ou administrative.
  • Décrivez le plus précisément possible les faits ou les comportements que vous signalez, en fournissant toute la documentation disponible sur la situation décrite ou des preuves objectives pour obtenir des preuves.
  • Abstenez-vous de toute communication ayant un but autre que celui prévu par le Système ou qui viole les droits fondamentaux à l’honneur, à l’image et à la vie privée et familiale de tiers ou qui est contraire à la dignité de la personne.

1.5.- Droits des tiers

Les personnes considérées comme tierces parties à la procédure se verront accorder les droits reconnus par la Constitution et les lois, sans préjudice de la possibilité de leur étendre, dans toute la mesure du possible, les mesures de soutien et de protection des informateurs prévues par la loi 2/2023 ; notamment les suivantes :

  • être informés, dès que possible, des informations qui les concernent
  • l’accès aux procédures engagées contre eux, sans préjudice des délais qui pourraient être adoptés pour garantir l’issue de ces procédures.
  • connaître l’identité du responsable qui donnera les instructions concernant la procédure.
  • Par respect pour leur dignité et leur vie privée, ainsi que pour la préservation de leur identité, l’identité de la personne concernée ne peut être divulguée, sans son consentement exprès, à aucune personne non habilitée à recevoir et traiter les plaintes, sauf exceptions prévues par le droit de l’Union européenne ou la réglementation espagnole dans le cadre d’enquêtes menées par les autorités ou au cours de procédures judiciaires.
  • présomption d’innocence et le droit d’utiliser tous les moyens légaux pour leur défense
  • Veuillez indiquer une adresse postale, une adresse électronique ou un emplacement sécurisé où vous pourrez recevoir les communications de l’administrateur système.
  • Présentez-vous de votre propre initiative devant le responsable système ou le responsable délégué.
  • protection de vos données personnelles.
  • confidentialité des communications.
  • ne pas faire l’objet de représailles.

2. PROCÉDURE DE SIGNALEMENT DES INCIDENTS

2.1. – Les incidents ou les cas de non-conformité doivent être signalés.

Les incidents suivants sont considérés comme devant être signalés ou comme des cas de non-conformité :

  • Toute violation de la législation en vigueur
  • Toute violation des POLITIQUES INTERNES de notre Entité ou des valeurs, principes généraux d’action ou règles de conduite des travailleurs qui y sont inclus.
  • Tout événement susceptible de porter atteinte à la réputation de notre entité.

2.2.- Contenu minimal des plaintes.

Pour être admises et traitées correctement, les communications ou les plaintes doivent nécessairement contenir les informations suivantes :

  • Le plaignant est identifié par son nom et son prénom (sauf pour les plaintes anonymes). Exposé concis des faits ou des arguments qui étayent la communication/plainte.
  • personne ou service contre lequel la communication/plainte est adressée

La charge de la preuve incombe toujours à la partie plaignante, qui doit fournir les documents sur lesquels la plainte est fondée, et la partie accusée peut fournir les documents qu’elle juge appropriés pour contester ceux de l’autre partie.

Si l’une des personnes concernées par la communication/plainte est impliquée dans l’enquête relative à cette communication/plainte, elle doit être remplacée par une personne qui n’est pas directement liée à la communication/plainte en question.

3.- PHASE D’INSTRUCTION DE LA PROCÉDURE

3.1.- Réception et accusé de réception

Dès réception de la communication/plainte, l’administrateur système en accusera réception auprès du plaignant dans un délai maximum de 3 jours, sauf si le plaignant est anonyme, et lancera les vérifications et contrôles appropriés ; générant un fichier qui sera enregistré et identifié par une référence.

Si nécessaire et si la plainte n’est pas anonyme, l’administrateur système peut demander des précisions ou des informations complémentaires.

3.2. – Analyse préliminaire des informations reçues

À partir de ces informations initiales, l’administrateur système effectuera une analyse préliminaire afin de vérifier la nature, la suffisance et la plausibilité de la plainte, la crédibilité du plaignant et la pertinence des faits rapportés aux fins prévues ; il déterminera s’ils peuvent constituer une infraction légale ou une violation des politiques internes de l’entité.

En fonction des résultats de cette analyse préliminaire, l’une des décisions suivantes pourra être adoptée, accompagnée d’un rapport motivé, au moyen d’une décision écrite :

  • La notification ou la plainte est irrecevable et le dossier est immédiatement archivé lorsque les faits rapportés ne relèvent d’aucun des cas prévus par cette voie.
  • L’acceptation de la notification ou de la plainte et le classement immédiat du dossier lorsque son contenu est manifestement non pertinent, lorsque les informations sont insuffisantes pour entreprendre toute autre action, lorsque les faits rapportés sont invraisemblables ou lorsque l’informateur manque totalement de crédibilité.
  • Admission de la notification ou de la plainte et ouverture du dossier d’enquête correspondant en relation avec les faits signalés.

3.3. – Procédure après l’analyse

Si la plainte est jugée irrecevable, le gestionnaire du système informera le plaignant ou l’informateur (sauf en cas de plainte anonyme) de l’irrecevabilité de la plainte ou du dépôt du dossier, selon le cas, ainsi que de toute mesure supplémentaire qui aurait pu être prise.

Si la plainte est acceptée, un organe d’enquête sera constitué, dont les fonctions seront de traiter la plainte et de rédiger le rapport en vue de son règlement.

Toutefois, des mesures urgentes peuvent être adoptées, toujours justifiées, et aux fins suivantes :

  • Afin d’atténuer les effets du risque qui s’est matérialisé ou qui n’est pas encore matérialisé
  • Mise en œuvre de mesures urgentes pour préserver les preuves
  • Communication urgente, le cas échéant, de ces informations aux organes directeurs de l’entité.

En cas d’admission, la procédure suivra les étapes suivantes :

  • Identifier les lois, politiques, procédures ou règlements internes concernés, ainsi que les risques d’atteinte à la réputation, économiques, financiers ou juridiques pouvant découler de l’incident.
  • Identifier toutes les informations et tous les documents qui peuvent être pertinents et dont l’examen est jugé utile (courriels, sites web, supports audiovisuels de surveillance et de sécurité de l’entreprise, listes de participants, mots de passe ou dispositifs de sécurité électroniques, documents comptables, etc.).
  • Déterminer, en collaboration avec le service des ressources humaines, la nécessité et, le cas échéant, l’urgence d’adopter des mesures de précaution à l’égard des personnes faisant l’objet de l’enquête.
  • En fonction de la gravité des faits, suspendre immédiatement les sujets faisant l’objet de l’enquête.

L’enquête comprendra toutes les mesures d’investigation qui pourraient s’avérer nécessaires pour clarifier les faits, identifier les parties responsables et déterminer les mesures correctives à adopter.

Voici quelques-unes des principales étapes qui peuvent faire partie de toute enquête :

  • Dans le cas d’une plainte non anonyme, un entretien sera mené avec le plaignant afin d’obtenir davantage d’informations sur la plainte déposée.
  • Déclaration des personnes faisant l’objet de l’enquête.
  • Mener des questionnaires et des entretiens confidentiels avec les témoins.
  • Organiser des auditions avec les personnes faisant l’objet de l’enquête, leurs supérieurs et collègues, ainsi qu’avec toute autre personne jugée nécessaire.
  • Rassemblez autant d’informations que possible grâce à la documentation de l’entreprise.
  • S’il est essentiel, pour établir les faits, d’adopter des mesures de surveillance par des détectives ou par des moyens informatiques, télématiques ou audiovisuels, à condition qu’elles respectent les critères de raisonnabilité, d’adéquation et de proportionnalité, en garantissant à tout moment le droit au respect de la vie privée du travailleur et le droit au secret des communications.
  • Solliciter l’aide d’autres professionnels.
  • Toute autre mesure que l’organe d’enquête juge nécessaire pour clarifier les faits.

3.4. – Communication aux personnes faisant l’objet de l’enquête

Sauf en cas de plainte anonyme, le responsable du système contactera les parties concernées, se présentant comme la personne chargée de l’enquête et les informant brièvement des faits qui leur sont reprochés ainsi que des principales étapes qui pourraient survenir au cours de l’enquête.

Dans le cas où la plainte serait jugée irrecevable, le plaignant en sera informé dans un délai maximum de 3 jours à compter de son dépôt (sauf pour les plaintes anonymes).

3.5.- Documentation de la procédure d’enquête

Il sera essentiel d’inclure dans le dossier la documentation détaillée de l’ensemble de la procédure d’enquête menée, notamment les documents recueillis et les procès-verbaux des entretiens réalisés.

Lors de tous les entretiens menés par l’Organe d’enquête, celui-ci prendra note par écrit des faits pertinents de l’entretien, les intégrant dans un procès-verbal qui devra être signé par les parties comparaissant et par les membres du comité d’enquête.

De plus, des informations seront fournies dans tous les cas concernant les exigences de la législation en vigueur sur la protection des données.

3.6.- Rapport final de l’organisme d’enquête

Une fois toutes les procédures d’enquête terminées, l’organisme d’enquête établira dans un délai de 15 jours un rapport de conclusions contenant une brève description des éléments suivants :

  • Identité des membres du comité d’enquête.
  • Nature de l’événement. Les parties intervenantes, la nature des événements, la date, le lieu et les circonstances dans lesquels ils se seraient produits, les dispositions légales ou les règlements internes enfreints ou menacés seront identifiés dans la mesure du possible.
  • Exposé des faits et conclusions pertinents. Les faits les plus pertinents recueillis au cours de l’enquête seront décrits, en distinguant ceux provenant de la documentation de l’entreprise, des informations fournies par le plaignant ou des entretiens menés avec les personnes visées par l’enquête et les témoins.
  • Conclusions et évaluation des faits. Les conclusions de la commission d’enquête seront précisées, ainsi que son évaluation des faits rapportés, et deux actions possibles pourront être proposées :
  • Proposition de poursuite de la procédure : s’il est jugé que les investigations menées ont suffisamment établi la commission d’une infraction par la personne mise en cause, une section finale sera ajoutée. Cette section précisera les sanctions que l’entreprise pourra infliger aux responsables, ainsi que toute autre mesure complémentaire, y compris d’éventuelles actions compensatoires en faveur des personnes lésées.
  • Le dossier sera archivé s’il est établi que l’acte ne constitue pas une infraction, que sa perpétration n’est pas suffisamment justifiée ou qu’aucun auteur connu n’a été identifié.

Une fois établi, le rapport d’enquête final sera immédiatement transmis à l’instance décisionnelle et devra être classé avec le reste du dossier d’enquête.

4.- PHASE DE PRISE DE DÉCISION

Au vu du rapport établi par l’Organe d’enquête, si la plainte est jugée recevable, l’Organe de décision sera constitué ; sa fonction sera de déterminer la volonté de l’Entité en réponse à la plainte déposée.

Pour l’établissement de ladite volonté, l’organe décisionnel peut solliciter l’avis d’autant de services externes que nécessaire, ainsi que toutes les clarifications requises auprès de l’organe d’enquête lui-même.

Sa composition est collégiale, puisqu’elle est constituée des membres de l’Organe d’enquête, auquel sera intégré un représentant de l’Organe d’administration de l’Entité.

En cas d’incompatibilité de l’un des membres de l’organe de décision pour le traitement d’une affaire particulière, ledit membre sera dessaisi de toutes les procédures menées en rapport avec cette affaire.

L’organe décisionnel transmettra le dossier aux personnes faisant l’objet de l’enquête, qui disposeront d’un délai de 5 jours pour présenter par écrit les éléments qu’elles jugent pertinents pour leur défense et pour fournir les documents qu’elles estiment appropriés. À l’issue de ce délai, il pourra adopter l’une des décisions suivantes :

  • Demander la réalisation de procédures d’enquête supplémentaires
  • Demander à l’instance dirigeante d’imposer des sanctions et/ou des mesures supplémentaires
  • En cas d’éventuels actes criminels, vous serez tenu d’en informer l’autorité compétente, qu’elle soit administrative ou judiciaire.
  • Prendre des mesures compensatoires à l’égard de toute personne ou entité qui aurait pu être lésée par les événements.
  • Prendre des décisions concernant la communication, la formation ou la diffusion interne des faits, à tout organe ou unité de l’entreprise et en général à tous les employés, lorsque cela est considéré comme un outil efficace pour prévenir des incidents similaires à l’avenir (toujours en prenant les précautions nécessaires concernant la protection des données personnelles).

5.- INSCRIPTION

Afin de documenter les actions entreprises, la personne responsable doit tenir un registre chronologique confidentiel et à jour de l’enquête (qu’elle soit en cours ou close), des plaintes et des mesures disciplinaires appliquées en cas de non-conformité.

Le document doit contenir au moins :

  • Date de l’incident
  • Type d’incident
  • Date de la plainte
  • Type de lanceur d’alerte
  • Les personnes impliquées dans la situation
  • Description de l’incident
  • Mesures prises
  • Conséquences qui en découlent

Le registre mentionné au paragraphe précédent doit toujours être à jour et disponible pour consultation par les responsables de cette politique (le gestionnaire du système et le responsable de la conformité de l’entité), en maintenant toujours la plus stricte confidentialité.

Toutefois, il sera déterminé quelles publicités ou communications seront faites au reste des employés et des gestionnaires au sujet des faits une fois ceux-ci résolus, soit à titre de mesure dissuasive, soit pour améliorer les procédures et les actions futures afin d’éviter les mauvaises pratiques.

En outre, la résolution de la procédure fera partie du dossier (dossier du travail, le cas échéant) de la personne accusée.