1. Accueil
  2. Politique de dénonciation interne

Politique de dénonciation interne

Table des matières

Introduction, objet et application

La loi 2/2023, du 20 février, relative à la protection des personnes signalant des infractions et à la lutte contre la corruption (ci-après la loi 2/2023) transpose dans l’ordre juridique espagnol la directive 2019/1937 du Parlement européen et du Conseil, du 23 octobre 2019, relative à la protection des personnes signalant des infractions au droit de l’Union européenne.

Cette politique s’applique à KUNAK TECHNOLOGIES, S.L. avec le NIF B71110837 et siège social à P.E. La Muga 9, 4°, bureau 1, 31160, Orcoyen, Navarre ; et a pour objectif d’établir un canal interne pour la dénonciation de possibles infractions réglementaires, violations des politiques internes et/ou éthiques, ainsi que d’établir un régime de protection des lanceurs d’alerte, conformément à la loi 2/2023, du 20 février, relative à la protection des personnes signalant des infractions et à la lutte contre la corruption.

La loi 2/2023 précise et clarifie dans son préambule, Partie III, que son objectif est de protéger, contre toute forme de représailles, les personnes qui, dans un contexte professionnel ou de travail, détectent des infractions pénales ou administratives graves ou très graves et les signalent par les mécanismes prévus dans cette politique.

Ce canal est donc un mécanisme qui permet aux employés de l’entreprise, ainsi qu’à d’autres parties prenantes, de signaler tout type de conduite illégale ou contraire à nos valeurs et principes éthiques, sans crainte de représailles. Il renforce ainsi la culture de l’information, les infrastructures d’intégrité des organisations et la promotion de la communication comme un outil de prévention et de détection des menaces à l’intérêt public. De cette manière, il vise à encourager une culture de transparence, d’intégrité et de responsabilité au sein de notre organisation, tout en protégeant les employés qui décident de faire un signalement de bonne foi.

Canal des lanceurs d’alerte

L’entreprise a mis en place un canal des lanceurs d’alerte (ci-après, le CII) comme voie privilégiée pour recevoir des informations sur des actions ou omissions susceptibles de constituer une infraction pénale ou administrative grave, ainsi que sur d’autres actions prévues à l’article 2 de la Loi 2/2023.

Le canal est administré par le Responsable du Système Interne du Canal (ci-après, le RSII). L’accès à ce canal est limité, dans le cadre de leurs compétences et fonctions, à :

  1. Le Responsable du Système Interne du Canal.
  2. Les administrateurs délégués par le responsable du système.
  3. Les gestionnaires désignés pour le traitement de certaines dénonciations selon leur domaine de compétence.

Les missions de ces entités sont les suivantes :

  • Réception, enregistrement et gestion des signalements.
  • Désignation de la personne ou de l’équipe chargée de l’enquête.
  • Protection des lanceurs d’alerte et confidentialité des signalements.
  • Évaluation de la véracité et de la crédibilité des signalements.
  • Prise de décisions appropriées en fonction des résultats de l’enquête.
  • Suivi et révision régulière du processus de gestion des signalements.
  • Élaboration de rapports et recommandations pour la direction.

Le CII garantit la confidentialité et, le cas échéant, l’anonymat des lanceurs d’alerte afin de les protéger contre toute fuite et représailles potentielles.

  • Code QR :

  • Envoi postal à P.E. La Muga 9, 4°, bureau 1, 31160, Orcoyen, Navarre. A/A : Compliance

Champ subjectif – personnes informatrices

Peuvent utiliser le canal interne d’information et bénéficier de la protection accordée par la loi 2/2023 en tant qu’informateurs, les personnes ayant une relation de travail ou professionnelle avec l’AEPD, pour communiquer des informations sur les actions ou omissions décrites à l’article 2 de la loi 2/2023. Cette relation de travail ou professionnelle, qui implique une dépendance vis-à-vis de l’AEPD, rend nécessaire et appropriée une protection spéciale contre les représailles possibles.

En tout état de cause, sont considérées comme informateurs, aux fins de la loi 2/2023, pour cette AEPD :

  • Les personnes ayant la qualité d’employés ou de travailleurs salariés.
  • Les travailleurs indépendants collaborateurs (freelances).
  • Les actionnaires, associés et personnes appartenant à l’organe de gestion, de direction ou de supervision de l’entreprise, y compris les membres non exécutifs.
  • Toute personne travaillant pour ou sous la supervision et la direction de contractants, sous-traitants et fournisseurs.
  • Les informateurs qui communiquent ou révèlent publiquement des informations sur des infractions obtenues dans le cadre d’une relation de travail ou statutaire déjà terminée, ainsi que les bénévoles, stagiaires, travailleurs en période de formation, qu’ils reçoivent ou non une rémunération, ainsi que ceux dont la relation de travail n’a pas encore commencé, lorsque l’information sur des infractions a été obtenue pendant le processus de sélection ou de négociation précontractuelle.

Il est important de souligner que les dénonciations faites par le canal de l’informateur doivent être de bonne foi, c’est-à-dire qu’elles doivent être étayées par des preuves et des faits concrets.

Champ objectif – faits dénonçables

Concernant l’objet de l’information, il ressort de la loi 2/2023 qu’il est possible d’utiliser le canal interne d’information pour signaler des comportements graves ou présumés de corruption, pouvant constituer des infractions pénales ou administratives graves ou très graves liées aux activités de l’entité, que l’informateur a observées ou dont il a été informé dans le cadre de son travail ou de sa relation professionnelle.
La loi 2/2023 elle-même et la directive (UE) 2019/1937 énumèrent comme telles, les informations relatives à :

  1. Les infractions entrant dans le champ d’application des actes de l’Union européenne énumérés dans l’annexe de ladite directive, relatives aux domaines suivants :
    1. marchés publics,
    2. services, produits et marchés financiers, ainsi que la prévention du blanchiment d’argent et du financement du terrorisme,
    3. sûreté des produits et conformité,
    4. sûreté des transports,
    5. protection de l’environnement,
    6. protection contre les radiations et sécurité nucléaire,
    7. sûreté des aliments et des fourrages, santé animale et bien-être des animaux,
    8. santé publique,
    9. protection des consommateurs,
    10. protection de la vie privée et des données personnelles, et sécurité des réseaux et des systèmes d’information
  2. Ceux affectant les intérêts financiers de l’Union européenne tels qu’ils sont envisagés à l’article 325 du Traité sur le fonctionnement de l’Union européenne (TFUE).
  3. Ceux ayant un impact sur le marché intérieur, tel qu’envisagé à l’article 26, paragraphe 2 du TFUE, y compris les infractions aux règles de l’Union européenne en matière de concurrence et d’aides accordées par les États, ainsi que les infractions relatives au marché intérieur en lien avec les actes enfreignant les règles sur l’impôt sur les sociétés ou des pratiques visant à obtenir un avantage fiscal qui dénature l’objet ou l’objectif de la législation applicable à l’impôt sur les sociétés.
  4. Les actions ou omissions qui peuvent constituer une infraction pénale ou administrative grave ou très grave. Dans tous les cas, seront considérées comme des infractions pénales ou administratives graves ou très graves toutes celles impliquant un préjudice économique pour le Trésor Public et la Sécurité Sociale.
  5. Les infractions en droit du travail concernant la sécurité et la santé au travail signalées par les travailleurs, sans préjudice de ce qui est prévu par leur réglementation spécifique.

L’informateur devra fournir au minimum la référence au champ subjectif de l’infraction (matière ou législation enfreinte : droit de l’Union européenne ; infraction pénale ; ou infraction administrative) ; ainsi qu’une description des faits faisant l’objet de la communication (informations pertinentes sur ce qui s’est passé), aussi détaillée que possible, en joignant la documentation dont il pourrait disposer, le cas échéant.
De même, il peut fournir son nom et prénom, ainsi qu’un numéro de téléphone de contact, s’il ne choisit pas de faire cette communication de manière anonyme.

S’il connaît l’identité de la personne responsable de l’irrégularité signalée, ou s’il a porté ces faits à la connaissance d’un autre organe ou entité par un canal externe, il pourra également fournir ces informations.

Procédure de dénonciation

L’information peut être communiquée à l’entité de manière anonyme. Dans le cas contraire, l’identité de l’informateur sera réservée de manière confidentielle et ne sera accessible qu’au RSII, aux administrateurs délégués ou aux gestionnaires nommés. Ces membres exerceront leurs fonctions de manière indépendante et autonome par rapport aux autres organes de l’entité ou de l’organisme et ne pourront recevoir aucune instruction de quelque nature que ce soit dans l’exercice de leurs fonctions, disposant de tous les moyens personnels et matériels nécessaires pour les accomplir.
L’entreprise s’engage à enquêter sur toutes les dénonciations d’infractions ou de non-conformités reçues via le canal de dénonciation. Toutes les dénonciations seront traitées de manière impartiale et confidentielle, et des mesures appropriées seront prises en fonction des résultats de l’enquête, visant à protéger l’informateur.

L’information ou la dénonciation sera communiquée via le canal interne d’information, au moyen de l’application électronique spécifique à cet effet, identifiée et accessible depuis le site web : https://kunakair.com/fr/

À la demande de l’informateur, la dénonciation pourra également être présentée lors d’une réunion en personne, qui aura lieu dans un délai maximal de sept jours. Le cas échéant, l’informateur sera informé que la communication sera enregistrée et il sera informé du traitement de ses données conformément aux dispositions du RGPD et de la LOPDPGDD. Lors de la présentation de l’information, l’informateur devra fournir une adresse, un e-mail ou un lieu sûr pour recevoir des notifications, sauf s’il renonce expressément à recevoir toute communication concernant les actions entreprises par le RSII suite à l’information.

Une fois l’information présentée, elle sera enregistrée dans le système de gestion de l’information, par l’attribution d’un code d’identification, qui sera contenu dans une base de données sécurisée et à accès restreint exclusivement au personnel du RSII dûment autorisé, dans laquelle seront enregistrées toutes les communications reçues avec les informations suivantes :

  1. Date de réception.
  2. Code d’identification.
  3. Actions entreprises.
  4. Mesures prises.
  5. Date de clôture.

Après réception de l’information, un accusé de réception sera envoyé à l’informateur dans un délai n’excédant pas 7 jours naturels, sauf si celui-ci a expressément renoncé à recevoir des communications relatives à l’enquête. Ces dénonciations seront gérées pendant une période maximale de 3 mois, sauf dans les cas de complexité particulière nécessitant une prolongation, auquel cas la période pourra être étendue jusqu’à un maximum de 3 mois supplémentaires.
Une fois l’information enregistrée, le RSII et son équipe procéderont à analyser l’admissibilité en fonction du champ matériel et personnel prévu dans les articles 2 et 3 de la loi 2/2023.

L’entreprise s’engage à informer le dénonciateur de l’état de l’enquête et des mesures prises, dans la mesure du possible et sans compromettre la confidentialité et la protection du dénonciateur, et pourra demander des informations supplémentaires sur les faits communiqués via le canal.

De plus, l’entreprise s’engage à suivre toutes les dénonciations reçues et les mesures prises pour garantir l’efficacité de cette politique et améliorer en continu le processus.

Toute information susceptible d’être constitutive d’un crime sera immédiatement envoyée au Ministère Public. Si les faits concernent les intérêts financiers de l’Union européenne, ils seront envoyés au Parquet européen.

Protection des lanceurs d’alerte

L’entreprise s’engage à protéger les personnes qui signalent des violations ou des non-conformités, conformément à la loi 2/2023.

Actes constitutifs de représailles

Les actes de représailles sont expressément interdits, y compris les menaces de représailles et les tentatives de représailles à l’encontre des personnes qui soumettent une communication conformément à la loi.
On entend par représailles tout acte ou omission interdit par la loi, ou tout traitement défavorable, direct ou indirect, qui place la personne concernée dans une situation de désavantage particulier par rapport à une autre dans le cadre professionnel ou professionnel, simplement en raison de son statut de lanceur d’alerte ou du fait d’une divulgation publique.

Aux fins de la loi 2/2023, et à titre non exhaustif, sont considérées comme des représailles celles adoptées sous forme de :

  1. Suspension du contrat de travail, licenciement ou extinction de la relation de travail ou statutaire, y compris le non-renouvellement ou la résiliation anticipée d’un contrat de travail temporaire après la période d’essai, ou résiliation anticipée ou annulation de contrats de biens ou de services, imposition de toute mesure disciplinaire, rétrogradation ou refus de promotion, et toute autre modification substantielle des conditions de travail et la non-conversion d’un contrat de travail temporaire en contrat indéfini, dans le cas où le salarié avait des attentes légitimes de se voir proposer un contrat indéfini ; sauf si ces mesures sont prises dans l’exercice normal du pouvoir de direction conformément à la législation du travail ou au statut de fonctionnaire concerné, pour des circonstances, faits ou infractions établis, sans lien avec la communication.
  2. Domages, y compris réputationnels, ou pertes économiques, menaces, intimidations, harcèlement ou ostracisme.
  3. Évaluations ou références négatives concernant la performance professionnelle.
  4. Inclusion sur des listes noires ou diffusion d’informations dans un secteur particulier, rendant l’accès à l’emploi ou la souscription de contrats de travaux ou de services difficile ou impossible.
  5. Refus ou annulation d’une licence ou d’une autorisation.
  6. Refus de formation.
  7. Discrimination, ou traitement défavorable ou injuste.

Une personne dont les droits sont lésés en raison de sa communication ou de sa révélation après un délai de deux ans peut demander la protection de l’autorité compétente, qui pourra exceptionnellement et de manière justifiée prolonger la période de protection, après audition des personnes ou organes qui pourraient être affectés. Le refus de prolongation de la période de protection doit être motivé.
Les actes administratifs ayant pour objet d’empêcher ou de rendre difficile la soumission de communications et de révélations, ainsi que ceux constitutifs de représailles ou causant de la discrimination après la soumission de ces communications en vertu de cette loi, seront nuls de plein droit et donneront lieu, le cas échéant, à des mesures correctives disciplinaires ou de responsabilité, pouvant inclure une indemnisation des dommages et intérêts au préjudice de la victime.

Mesures de protection du lanceur d’alerte contre les représailles

Il ne sera pas considéré que les personnes qui communiquent des informations sur les actions ou omissions visées dans la section QUATRIÈME, ou qui font une divulgation publique conformément à la loi 2/2023, ont enfreint toute restriction de divulgation d’informations et ne seront pas responsables de quelque manière que ce soit en relation avec cette communication ou divulgation publique, tant qu’elles avaient des raisons raisonnables de penser que la communication ou la divulgation publique de ces informations était nécessaire pour révéler une action ou une omission en vertu de cette loi, sous réserve des règles spécifiques de protection applicables dans le domaine du travail. Cette mesure ne s’appliquera pas aux responsabilités pénales.
Ce qui précède s’applique également à la communication d’informations par les représentants des travailleurs, même s’ils sont soumis à des obligations légales de confidentialité ou de non-divulgation d’informations réservées. Cela ne porte pas atteinte aux règles spécifiques de protection applicables dans le domaine du travail.

Les mesures de protection du lanceur d’alerte s’appliquent également, le cas échéant, aux :

  1. personnes physiques qui assistent le lanceur d’alerte dans le processus ;
  2. personnes physiques liées au lanceur d’alerte et susceptibles de subir des représailles, telles que les collègues de travail ou les membres de la famille du lanceur d’alerte ;
  3. personnes juridiques, pour lesquelles le lanceur d’alerte travaille ou entretient toute autre relation dans un contexte professionnel ou dans lesquelles il détient une participation significative.

À cette fin, une participation dans le capital ou dans les droits de vote correspondants à des actions ou des parts est considérée comme significative lorsqu’elle permet à la personne qui la détient d’exercer une influence sur la personne morale concernée.
Les lanceurs d’alerte ne seront pas responsables de l’acquisition ou de l’accès aux informations qui sont communiquées ou révélées publiquement, tant que cette acquisition ou cet accès ne constitue pas une infraction.

Toute autre responsabilité possible des lanceurs d’alerte découlant d’actes ou d’omissions non liés à la communication ou à la révélation publique, ou qui ne sont pas nécessaires pour révéler une infraction en vertu de la loi 2/2023, sera exigible conformément à la législation applicable.

Dans les procédures devant un tribunal ou une autre autorité, relatives aux préjudices subis par les lanceurs d’alerte, une fois que le lanceur d’alerte a raisonnablement démontré qu’il a communiqué ou fait une révélation publique conformément à la loi 2/2023 et qu’il a subi un préjudice, il sera présumé que le préjudice a été causé par des représailles pour avoir informé ou fait une révélation publique. Dans de tels cas, il incombera à la personne ayant pris la mesure préjudiciable de prouver que cette mesure était fondée sur des motifs dûment justifiés non liés à la communication ou à la révélation publique.

Dans les procédures judiciaires, y compris celles relatives à la diffamation, la violation des droits d’auteur, la violation du secret, l’infraction des règles de protection des données, la divulgation de secrets d’affaires, ou les demandes d’indemnisation basées sur le droit du travail ou statutaire, les lanceurs d’alerte ne seront pas responsables de toute conséquence des communications ou révélations publiques protégées par la loi 2/2023. Ces personnes auront le droit de plaider en leur faveur et dans le cadre de ces procédures judiciaires, avoir communiqué ou fait une révélation publique, tant qu’elles avaient des raisons raisonnables de penser que la communication ou la révélation publique était nécessaire pour mettre en évidence une infraction en vertu de la loi 2/2023.

Sont expressément exclus de la protection prévue par la loi les personnes qui communiquent ou révèlent :

  1. Des informations contenues dans des communications qui ont été rejetées par un canal interne d’information ou pour l’une des causes prévues par la loi.
  2. Des informations liées à des réclamations concernant des conflits interpersonnels ou qui concernent uniquement le lanceur d’alerte et les personnes mentionnées dans la communication ou la révélation.
  3. Des informations déjà entièrement disponibles pour le public ou qui ne sont que des rumeurs.
  4. Des informations concernant des actions ou omissions qui ne sont pas couvertes par la loi.

Mesures pour la protection des personnes concernées

Lors du traitement du dossier, les personnes concernées par la communication auront droit à la présomption d’innocence, au droit de défense et au droit d’accès au dossier dans les termes prévus par la loi 2/2023, ainsi qu’à la même protection que celle accordée aux lanceurs d’alerte, leur identité étant préservée et la confidentialité des faits et données du dossier garantie.
L’Autorité Indépendante de Protection du Lanceur d’Alerte, A.A.I., pourra, dans le cadre des procédures sanctionnatrices qu’elle instruit, prendre des mesures provisoires conformément à l’article 56 de la loi 39/2015, du 1er octobre, relative à la procédure administrative commune des administrations publiques.

Exemption and Mitigation of Sanction Assumptions

When a person who has participated in the commission of the administrative infraction subject to the information is the one who reports its existence by submitting the information, and provided that the information was submitted prior to the notification of the initiation of the investigation or sanctioning procedure, the competent authority to resolve the procedure may, through a reasoned resolution, exempt the individual from complying with the administrative sanction that would correspond to them, provided the following aspects are evidenced in the file:

  1. Having ceased the commission of the infraction at the time of submitting the communication or disclosure, and identified, if applicable, the other individuals who participated in or facilitated the infraction.
  2. Having cooperated fully, continuously, and diligently throughout the entire investigation process.
  3. Having provided truthful and relevant information, means of proof, or significant data for the accreditation of the facts under investigation, without destroying or concealing them, nor disclosing their content to third parties, directly or indirectly.
  4. Having proceeded to repair the damage caused that is attributable to them.

When these requirements are not fully met, including partial damage repair, it will be at the discretion of the competent authority, after evaluating the degree of contribution to the resolution of the case, to mitigate the sanction that would have corresponded to the committed infraction, provided the informant or author of the disclosure has not been previously sanctioned for similar acts that led to the initiation of the procedure.
The mitigation of the sanction may extend to the other participants in the commission of the infraction, depending on the degree of active collaboration in clarifying the facts, identifying other participants, and repairing or minimizing the damage caused, as assessed by the authority in charge of the resolution.

Law 2/2023 excludes from this provision the infractions established in Law 15/2007, of July 3, on the Defense of Competition.

Confidentiality and Data Protection

The processing of personal data will be carried out in compliance with Law 2/2023, of February 20, regulating the protection of individuals who report regulatory infractions and the fight against corruption, Regulation (EU) 2016/679 of the European Parliament and Council, of April 27, 2016, Organic Law 3/2018, of December 5, on Personal Data Protection and the guarantee of digital rights, and Organic Law 7/2021, of May 26, on the protection of personal data processed for the purposes of preventing, detecting, investigating, and prosecuting criminal offenses and enforcing criminal sanctions.
Personal data subject to processing, documents submitted, and any other information provided in the report containing personal data will be treated confidentially by the responsible individuals for the channel, as well as administrators and possible managers, for the purpose of fulfilling the obligation to investigate and manage the submitted report and to comply with the legal obligations established in Law 2/2023, of February 20.

The internal information system must prevent unauthorized access, preserve the identity, and guarantee the confidentiality of the data corresponding to the affected individuals and any third parties mentioned in the provided information, especially the identity of the informant in case it has been identified. The identity of the informant may only be communicated to the judicial authority, the public prosecutor, or the competent administrative authority within the framework of a criminal, disciplinary, or sanctioning investigation, and these cases will be subject to safeguards established in the applicable regulations.

If the received information contains special categories of personal data, subject to special protection, it will be immediately deleted, unless processing is necessary for reasons of essential public interest in accordance with Article 9.2.g) of the GDPR, as stipulated in Article 30.5 of Law 2/2023.

In any case, personal data that is not relevant to process specific information will not be collected, or if collected accidentally, will be promptly deleted.

Communications that have not been processed will only be recorded in an anonymized form, and the blocking obligation set forth in Article 32 of the LOPDPGDD will not apply.

Access to personal data in the internal information system will be restricted to:

  1. The Responsible Officer of the Internal Channel System.
  2. The administrator(s) delegated by the system’s responsible officer.
  3. The managers designated to process certain reports according to the relevant scope.
  4. The data may be shared with the Legal Department, Lawyers, Judicial Bodies, and State Security Forces if any of the received information could be considered a crime or legal violation.

Legal Basis for Processing: Processing of personal data, in the cases of internal communication, will be lawful under Articles 6.1.c) of Regulation (EU) 2016/679, Article 8 of Organic Law 3/2018, and Article 11 of Organic Law 7/2021 when, according to Articles 10 and 13 of the law, an internal information system is mandatory. If not mandatory, processing will be presumed lawful under Article 6.1.e) of the aforementioned regulation. Processing of personal data in the cases of external communication channels will be lawful under Articles 6.1.c) of Regulation (EU) 2016/679, Article 8 of Organic Law 3/2018, and Article 11 of Organic Law 7/2021.
Rights of the Data Subject: access, rectification, deletion, limitation, portability, and objection, free of charge by email at: [email protected] in legally provided cases.

Retention: Data will be retained for the legally established period for processing the case and for the time necessary for legal actions or to provide evidence of channel management. The data subject also has the right to file a complaint with the AEPD at www.aepd.es to request the protection of their rights.

Communication and Review of Policies and Procedures

The company will carry out periodic training and awareness campaigns to promote a culture of integrity and transparency and to inform employees and other stakeholders about the whistleblowing channel. It will also provide information about the rights and protections available to whistleblowers under Law 2/2023.
The company commits to disseminating this policy to all employees and stakeholders, and will update, at least every three years, and, if necessary, modify this internal policy for the channel, considering acquired experience and recommendations from the Competent Authority.

In Orcoyen, February 7, 2025.

Table des matières