GH GambleHub

Canal pour les dénonciateurs et protection des données

1) Destination et zone

Fournir un moyen sûr, abordable et de confiance pour les employés, les entrepreneurs, les affiliés et les autres staikholders de signaler les violations (corruption, fraude, AML/sanctions, RG, GDPR/PII, PCI/IB, publicité/affiliations, conflits d'intérêts, discrimination et harcèlement, violation de licence/loi). Le document régit les canaux, l'anonymat, le traitement des données, les procédures d'enquête et la protection contre les représailles.

2) Principes

Tolérance zéro à la répression. Toute riposte est interdite.
Confidentialité et minimisation des données. Collecte - seulement nécessaire, selon le principe de need-to-know.
Anonymat au choix de l'informateur. Possibilité de communiquer sans révéler d'identité.
Rapidité et équité. SLA réception/examen ; une méthodologie documentée et impartiale.
L'indépendance. Répartition des rôles : réception des communications, enquête, sanctions.
Transparence du processus. Suivi du statut, rétroaction, statistiques publiques sans personnalités.

3) Rôles et RACI

Whistleblowing Officer (WBO) - propriétaire du processus, triage, coordination des enquêtes, rapports. (A/R)

Compliance/Legal/DPO - évaluation juridique, protection des données, politique de confidentialité. (R/C)

InfoSec/CISO - sécurité des canaux, cryptage, contrôle d'accès, journal. (R)

RH/ER (Employee Relations) - cas d'éthique/comportement, mesures de soutien. (R)

Audit interne (IA) - Contrôle indépendant de la qualité des enquêtes et CAPA. (C)

Security/Trust & Safety - cas techniques/frod, collecte d'artefacts numériques. (R)

Exec Sponsor (CEO/COO) - « tone from the top », ressources, escalade S1. (I/A)

4) Canaux de réception de messages

1. Formulaire Web (recommandé) : soutien à l'anonymat ; correspondance protégée par token/pin.
2. Email : boîte dédiée avec auto-cryptage, auto-vitance sans révéler le contenu.
3. Hotline/téléphone : entrée dans le système avec masquage des données.
4. Chatbot dans le messager d'entreprise : pas pour anonyme (ou avec un mécanisme proxy).
5. Adresse postale/boîte physique : pour les messages hors ligne (numérisation et téléchargement sur le Système).
6. Contact direct avec WBO/IA : rencontre personnelle - à la demande de l'informateur.

Exigences de canal : TLS end-to-end, stockage dans un stockage crypté, RBAC, les journaux d'accès sont immuables, pas de tracking IP/appareils sous forme anonyme, politique de cookies/logs transparente.

5) Protection des données et bases légales

Lawful basis : exécution des obligations légales, intérêts légitimes de l'entreprise, intérêt public (selon la juridiction).
DPIA : avant le lancement - évaluation de l'impact sur la vie privée ; la fixation des risques et des mesures de réduction.
Classification des données : personnelles, sensibles (santé, ethnicité, etc.), secrets commerciaux, artefacts d'enquête.
Minimisation : ne ramassez pas trop ; supprimer les documents non conformes.
Transferts transfrontières : uniquement s'il existe des bases juridiques et des garanties contractuelles.
Droits des personnes concernées : DSAR est traité par le DPO ; exception : ne pas révéler l'identité de l'informateur et les données qui mettent en danger l'enquête/les tiers.
Rétention : messages et artefacts - généralement 5 ans soit en vertu d'une politique/loi/licence ; puis suppression sécurisée (crypto-shred/effacement logique avec le journal).

6) Sécurité et mesures techniques

Cryptage : at-rest (KMS/HSM), in-transit (TLS), clés - avec rotation et séparation.
Accès : RBAC/ABAC, principe des plus petits privilèges, domaines distincts pour les cas anonymes.
Journaux : immuables (WORM), surveillance des accès inhabituels, alertes.
Segmentation : le système de messages est isolé des systèmes prod ; backaps individuels avec vérification de récupération.
Métadonnées : masquer, supprimer EXIF des pièces jointes, avertir l'informateur de l'identification automatique.
Canaux de communication secrets : boîte aux lettres/courrier Web sécurisé pour la correspondance anonyme bilatérale.

7) Classification des cas et priorités

S1 (Critique) : Corruption/pots-de-vin, grande fraude, fuite de PII/PCI, menaces à la vie/sécurité, violations graves des licences/lois.
S2 (High) : violations systémiques des politiques (AML/RG/GDPR/IB), conflits d'intérêts graves, discrimination/harcèlement.
S3 (Moyenne) : irrégularités de procédure locales, erreurs dans la publicité/affiliation, troubles du comportement ponctuels.
S4 (Bas) : propositions d'amélioration, incidents à faible risque.

SLA:
  • Reçu d'admission : S1/S2 - ≤ 24 h ; S3/S4 — ≤ 3 roubles дн.
  • Évaluation primaire (triage) : S1 - ≤ 48 h ; S2 — ≤ 5 roubles дн.; S3/S4 — ≤ 10 roubles дн.
  • Plan d'enquête : S1 - ≤ 3 r.d.n. ; S2 — ≤ 10 roubles дн.

8) Processus de la communication à la fermeture

Étape 1 - Accueil et reçu. L'attribution de l'ID, la fixation du canal, la conservation de la preuve « telle quelle ».
Étape 2 - Triage et indépendance. Vérification des conflits d'intérêts des personnes désignées ; en cas de conflit - redistribution.
Étape 3 - Évaluation des risques et plan. Volume, hypothèses, légalité des méthodes, liste des artefacts, feuille de route.
Étape 4 - Recueillir des preuves. Documents, logs, entrevues, échantillons de transactions ; respect de la chaine-de-custody.
Étape 5 - Analyse et conclusions. Le fait → le critère (politique/loi/licence) → le risque → l'impact.
Étape 6 - Recommandations et APCA. Mesures correctives/préventives, propriétaires, échéances, mesures du succès.
Étape 7 - Communications et rétroaction. Sans révéler l'identité de l'informateur ; un langage soigné (sans charges jusqu'à la finale).
Étape 8 - Fermeture et rétention. Rapport final, état, stockage des artefacts, production de statistiques impersonnelles.

9) Communications et protection de l'informateur

Pas de tipping-off. Ne pas révéler aux contrevenants présumés le fait de la communication/de l'enquête.
Protection contre la répression. La rétrogradation, le licenciement, la privation de bonus, le harcèlement, etc. sont interdits.
Soutien : si nécessaire - transfert à une autre équipe, congés, consultation des RH/avocats/soutien psychologique.
Communication anonyme bidirectionnelle : l'informateur peut poser des questions et obtenir un statut via le Web inbox/token.

10) Interconnexion avec d'autres politiques

Code d'éthique et de conduite - normes et canaux.
Politique anticorruption - diligence raisonnable, cadeaux, intermédiaires.
GDPR/PII - légalité du traitement, DSAR, rétention.
AML/RG/PCI/IB - procédures de profilage et de triage.
Vérification interne - Contrôle indépendant de la qualité des enquêtes.

11) Chèques-feuilles

11. 1 Avant le démarrage du canal

  • La DPIA et la politique de confidentialité sont approuvées par le DPO/Legal.
  • Architecture technique : chiffrement, RBAC, journaux WORM.
  • Un formulaire Web anonyme et une communication bidirectionnelle par token sont configurés.
  • Formation de l'équipe WBO/triage sur la méthodologie des enquêtes.
  • Modèles préparés (reçu, plan d'enquête, rapport, lettre de clôture).
  • Campagne de communication : « tone from the top », affiches, intranet, FAQ.

11. 2 Recevoir un message

  • ID attribué, date/canal/niveau S.
  • Confirmation envoyée à l'informateur sans divulgation de détails.
  • Vérification des conflits d'intérêts des artistes interprètes ou exécutants.
  • Toutes les pièces jointes/métadonnées ont été enregistrées, l'identification a été effectuée.

11. 3 Enquête

  • Plan et hypothèses approuvés (Legal/DPO/InfoSec - par nécessité).
  • Chain-of-custody est tenu pour chaque artefact.
  • Les entrevues sont consignées ; avertissement de confidentialité.
  • Les conclusions sont basées sur des faits vérifiables, l'examen par les pairs a été effectué.

11. 4 Fermeture

  • Les ACPA sont prescrites, les échéances et les métriques sont déterminées.
  • L'informateur (l'occasion) a reçu une rétroaction impersonnelle.
  • La rétention/classification est établie ; les artefacts sont placés dans les archives.
  • Statistiques mises à jour sur dashboard.

12) Modèles de documents (insertion rapide)

A) Reçu à l'informateur

💡 Merci pour le message. Votre ID : WB-XXXX. Nous examinerons les informations et contacterons si nécessaire via ce canal sécurisé. Vous pouvez rester anonyme. Veuillez ne pas divulguer l'information publiquement avant la fin de la vérification.

B) Plan d'enquête (one-pager)

Case : WB-XXXX Priorité : S1/S2/S3/S4 Propriétaire :... Délais :...
Hypothèses/critères :...
Données/artefacts :...

Interview : liste/calendrier

Risques de confidentialité/contraintes légales :...
Communications et points de contrôle :...

C) Rapport final (structure)

Résumé Faits Critères (politique/loi) Analyse Conclusions Recommandations de l'APCA Annexes (artefacts).

D) Lettre de clôture

💡 Nous vous informons que l'examen de la mallette WB-XXXX est terminé. Des mesures de conformité ont été prises. Nous vous remercions pour votre contribution au fonctionnement éthique et sécuritaire de l'entreprise.

13) Métriques et dashboard

Volume Intake : nombre de messages par catégorie et canal.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
Conformité SLA par niveau S.
CAPA Progress : terminé/en cours/en retard, médian de fermeture.
Indice de révocation : plaintes enregistrées concernant les réponses (objectif - 0).
Taux d'anonymat : proportion de messages anonymes et leur conversion en cas confirmés.
Repeat Findings : répétition des thèmes en 12 mois.
Impact Awareness : augmentation des appels après les campagnes ; NPS de confiance de canal.

14) Risques et mesures de contrôle

Désanonymisation par métadonnées. → d'identification, suppression d'EXIF, avertissements explicites.
Fuites d'accès aux cases. → RBAC, segmentation, journaux WORM, révisions régulières d'accès.
Messages fictifs/abus : Filtre de courtoisie → et vérification des faits ; sanctions pour déclarations délibérément fausses (sans effet d'intimidation).
Conflit d'intérêts dans l'enquête : rotation → des artistes interprètes ou exécutants, participation d'IA/Legal.
Représailles : → un flux distinct de plaintes ; Réponse rapide RH/Conformité.

15) Formation et sensibilisation

Onbording : module sur le canal, l'anonymat et la protection des données (test ≥ 85 %).
Réattribution annuelle pour tous ; des formations supplémentaires pour WBO/enquêteurs.
Campagnes trimestrielles (affiches/bot-quiz/vidéo) : comment déposer, ce qui est attendu, exemples.

16) un plan de mise en œuvre de 30 jours

Semaine 1

1. Désigner un WBO et un groupe de travail (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Mener la DPIA, approuver la politique de confidentialité et de rétractation.
3. Spécifier les canaux (formulaire Web/courrier/ligne), les exigences d'anonymat et les logs.

Semaine 2

4. Réaliser une plateforme technique : cryptage, RBAC, journaux WORM, inbox web anonyme.
5. Préparer les modèles et les SOP : reçu, plan, rapport, lettre de clôture, CAPA.
6. Former l'équipe WBO/triage ; prescrire RACI et SLA.

Semaine 3

7. Pilote : 1-2 cas d'essai (tableau-top), vérification de la chaîne de preuves et des rétentions.
8. Configurer des métriques et des rapports pour la gestion/le comité.
9. Communications : lettre du CEO, page intranet, FAQ, affiches.

Semaine 4

10. Démarrer le canal ; Surveillance des SLA/charges ; soutien chaud.
11. Examens hebdomadaires des cas de S1/S2 et des états CAPA.
12. Rétro et ajustements v1. 1 (politiques, formulaires, formation).

17) Sections connexes

Code d'éthique et de conduite

Politique anticorruption

Formation AML et formation des employés/Sensibilisation du personnel à la conformité

Pleybooks et scénarios d'incidents

Dashboard Complaens et surveillance

Audit interne et audit externe

Notifications d'irrégularités et délais de déclaration

Rapports réglementaires et formats de données

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.