Protection des données système de signalement

PDF: Protection des données système de signalement

Informations sur la protection des données conformément à l’art. 13 du RGPD concernant le signalement des violations de droits et de réglementations dans le système de signalement

Les informations sur la protection des données ci-après ont pour but d’expliquer le système de signalement et d’informer sur l’utilisation du système ainsi que sur les données à caractère personnel traitées dans ce cadre.

Les collaborateurs des sites européens de Plansee HLW et GTP ainsi que de Plansee Group Service GmbH, Matmatch GmbH et Plansee Holding AG (ci-après dénommés « les Entreprises » ou individuellement « l’Entreprise ») ou les personnes externes peuvent signaler les violations de droits ou de réglementations non négligeables qui ont lieu dans une Entreprise. Il est également possible de signaler les cas suspects lorsqu’ils ont lieu en dehors de l’Entreprise mais sont susceptibles d’avoir des répercussions sur une Entreprise.

Pour signaler les cas suspects, les personnes procédant au signalement disposent de plusieurs canaux afin de transmettre leur signalement. Les cas suspects peuvent être portés à l’attention du supérieur hiérarchique de la personne procédant au signalement au sein du service. Ce supérieur transmettra les signalements aux organes compétents. Un signalement peut également être effectué directement aux organes compétents au sein de l’Entreprise :

L’organe compétent pour recevoir les signalements au sein d’une division de l’Entreprise est le Compliance Committee de la société mère de la division respective ou la société principale. Il est possible d’effectuer directement un signalement auprès de ce comité.

Les signalements concernant Plansee Group Service GmbH doivent être adressés au Compliance Committee de Plansee Group Service GmbH.

Si les signalements concernent Plansee Holding AG ou Matmatch GmbH, l’organe compétent pour recevoir les signalements est le Compliance Committee de Plansee Holding AG.

D’autre part, il est possible de signaler les cas suspects par l’intermédiaire d’un organisme de médiation juridique externe. Cet organisme de médiation juridique externe protège l’identité des personnes procédant aux signalements ne souhaitant pas dévoiler leur identité. Dans un tel cas, les personnes procédant aux signalements recevront un accusé de réception du signalement dans les 7 jours et une réponse de fond sur leur signalement dans les 3 mois.

La suite du traitement du signalement est réalisée par le Compliance Committee conformément aux principes généraux de traitement des cas suspects.

L’organisme responsable de la réception des signalements pour l’organisme de médiation juridique externe est:

FS-PP Berlin Rechtsanwaltsgesellschaft mbH
Potsdamer Platz 8
10117 Berlin

Sont désignés comme médiateurs:
Me Rainer Frank,
Me Leonie Lo Re.

A. Définitions

Étant donné qu’aussi bien la personne procédant au signalement que la personne sur laquelle porte un signalement sont des personnes concernées d’après l’art. 4, point 1 du RGPD, les distinctions suivantes sont opérées en termes de terminologie dans les présentes informations sur la protection des données pour plus de clarté:

Personnes procédant au signalement : la personne qui procède au signalement.

Personne concernée : la personne sur laquelle porte un signalement ainsi que les autres personnes citées dans le cadre du signalement.

B. Finalités du traitement des données

Le système de signalement sert à la réception et à la clarification des cas suspects portant sur des violations graves de droits et de réglementations. Ce système a pour but d’identifier et d’empêcher les actes répréhensibles commis au sein de et en dehors de l’Entreprise. Le système de signalement des cas suspects constitue par ailleurs un outil de prévention de la corruption.

La mise en place d’un organisme de médiation juridique externe doit permettre aux collaborateurs et aux personnes externes de signaler les cas suspects sur un canal sûr et confidentiel.

La désignation d’un organisme de médiation externe a pour but de permettre la réception, le traitement, la gestion et, le cas échéant, la transmission des signalements de violations de droits et de réglementations, en tout sécurité et confidentialité, dans l’organisation des Entreprises ainsi qu’en dehors de l’organisation des Entreprises si ces violations ont des répercussions sur les Entreprises.

Dans le cadre du système de signalement, les Entreprises entendent également protéger les droits de leurs collaborateurs, des personnes externes ainsi que des personnes sur lesquelles portent les signalements et limiter la collecte des données à caractère personnel au strict minimum nécessaire.

De ce fait, il convient de ne pas transmettre des informations sensibles, telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou idéologiques ou l’appartenance à un syndicat ainsi que les données sur l’état de santé ou la vie sexuelle des Personnes procédant aux signalements et des Personnes concernées, si ces informations ne sont pas impérativement nécessaires aux faits signalés et à la justification du cas suspect.

C. Base juridique du traitement des données

Le traitement des données à caractère personnel de la Personne procédant au signalement dans le cadre du signalement est effectué conformément à l’art. 6, paragr. 1, phrase 1, lettre a) du RGPD sur la base du consentement de la Personne procédant au signalement. Ce consentement est effectué par la transmission volontaire du signalement à l’organisme de médiation ou au Compliance Committee.

1. Base juridique du traitement des données par les Entreprises

Le traitement des données à caractère personnel par le Compliance Committee est effectué conformément à l’art. 6, paragr. 1, phrase 1, lettre f) du RGPD sur la base de l’intérêt légitime de l’Entreprise, afin d’identifier, d’empêcher et de lutter contre tout comportement illicite au sein de et en dehors de l’Entreprise.

2. Base juridique du traitement des données par l’organisme de médiation externe

Le traitement des données à caractère personnel dans le cadre de la transmission du signalement à l’organisme de médiation juridique externe est effectué conformément à l’art. 6, paragr. 1, phrase 1, lettre f) du RGPD sur la base d’un intérêt légitime de l’organisme de médiation à l’exécution du contrat entre le médiateur et Plansee Group Service GmbH afin d’identifier et de prévenir les violations de droits et de réglementations.

Les données à caractère personnel collectées dans le cadre d’un signalement ne sont pas traitées à d’autres fins par les Entreprises et l’organisme de médiation.

Un processus de décision automatisé, incluant un profilage en vertu de l’art. 22, paragr. 1 et 4 du RGPD, n’a pas lieu.

D. Catégories de données traitées

Selon que la Personne procédant au signalement procède au signalement auprès de l’organisme de médiation juridique externe ou directement au Compliance Committee, les données à caractère personnel suivantes sont collectées concernant la Personne procédant au signalement:

1. En cas de transmission du signalement à l’organisme de médiation juridique externe :

par téléphone ou par courrier : un signalement anonyme est possible ; par ailleurs, seules les données à caractère personnel transmises sont collectées (par ex. le nom, les coordonnées).

Veuillez noter que: pour transmettre un signalement de façon anonyme par téléphone, la transmission du numéro d’appel doit être désactivée, dans le cas contraire, le numéro de la connexion utilisée apparaîtra dans le système téléphonique.

par e-mail ou par fax : pour des raisons techniques, l’adresse e-mail ou le numéro de fax sont automatiquement collectés. En cas de transmission du signalement par fax, il convient de noter qu’une identification personnelle peut également être établie à l’aide du numéro de fax. En cas de transmission du signalement par e-mail, l’adresse e-mail professionnelle ne doit pas être utilisée si la transmission doit avoir lieu de façon anonyme. Par ailleurs, seules les données à caractère personnel transmises sont collectées (par ex. le nom, les autres coordonnées).

Via le système FS-PP BKMS® : veuillez prendre connaissance des informations relatives à la protection des données applicables à ce sujet directement dans le masque de saisie.

2. En cas de transmission du signalement directement ou indirectement (par l’intermédiaire du supérieur hiérarchique concerné) au Compliance Committee:

par téléphone ou par e-mail : le nom, l’adresse e-mail, le poste/la fonction au sein de l’Entreprise ou une autre personne externe procédant au signalement, le cas échéant, le numéro de téléphone, qui a déjà été collecté lors de la prise de contact pour des raisons techniques.

en personne : le nom, le poste/la fonction au sein de l’Entreprise ou une autre personne externe procédant au signalement, le cas échéant, d’autres coordonnées générales.

3. Traitement des données à caractère personnel de personnes concernées

S’agissant des personnes concernées, les données à caractère personnel transmises par la Personne procédant au signalement sont collectées. En général, il s’agira au minimum des données suivantes : le nom, la fonction dans l’Entreprise, l’action qui a déclenché le signalement.

E. Destinataire des données

I. En cas de signalement au sein des Entreprises

L’ensemble des informations transmises par la Personne procédant au signalement seront vérifiées par l’organe compétent susmentionné et soumises à un premier examen. Si le signalement est effectué auprès d’un supérieur hiérarchique, les informations seront transmises par le supérieur hiérarchique au Compliance Committee afin d’examiner le signalement. Si un examen de fond du cas suspect signalé est nécessaire, les informations seront transmises par le Compliance Committee aux services spécialisés concernés qui en examineront le contenu avant qu’une décision finale ne soit prise sur les mesures à prendre.

1. Transmission aux personnes concernées

Conformément à l’art. 14, paragr. 5, lettre d) du RGPD, et par dérogation à l’art. 14, paragr. 1 à 4 du RGPD, aucune communication ne sera faite à la personne concernée, dans la mesure où des informations seraient divulguées qui, par leur nature, rendraient impossible ou compromettraient gravement la réalisation des finalités du traitement. Au plus tard à la fin de l’examen du cas suspect, la Personne concernée sera informée conformément à l’art. 14, paragr. 1 à 4 du RGPD.

II. En cas de signalement par l’intermédiaire de FS-PP Berlin

L’ensemble des informations transmises par la Personne procédant au signalement seront reçues par les médiateurs dans le respect du secret professionnel et feront l’objet d’un examen de fond afin de déterminer s’il y a violation de droits et de réglementations. La Personne procédant au signalement recevra un accusé de réception de FS-PP Berlin au plus tard 7 jours après la réception des informations.

En principe, l’examen par les médiateurs est réalisé en deux étapes. Lors de l’examen de réception, les documents transmis sont examinés afin de déterminer si le signalement porte sur un sujet pertinent. Si tel est le cas, et uniquement dans ce cas, les documents feront ensuite l’objet d’un examen détaillé pour établir un premier soupçon fondé sur des faits. La Personne procédant au signalement recevra un retour sur l’avancée de la procédure au plus tard 3 mois après la réception des informations.

1. Transmission aux Entreprises

Sans autorisation de la Personne procédant au signalement, documentée par FS-PP, aucune transmission ne sera effectuée au Compliance Committee de l’Entreprise. Selon l’autorisation de la Personne procédant au signalement, la transmission du signalement sera effectuée avec ou sans l’indication de l’identité de la Personne procédant au signalement.

Les Entreprises ont renoncé de façon irrévocable à leurs droits d’information vis-à-vis de FS-PP Berlin issus du contrat d’avocat en ce qui concerne les données sur l’identité ou la possibilité d’identifier les Personnes procédant aux signalements, dans la mesure où FS-PP Berlin ne pense pas qu’il existe, dans des cas individuels et sur la base des faits, une menace imminente de fausse accusation intentionnelle contre les Personnes procédant aux signalements.

2. Transmission aux personnes concernées

Conformément à l’art. 14, paragr. 5, lettre d du RGPD en lien avec l’art. 29 de la loi allemande sur la protection des données (BDSG) (secret professionnel), par dérogation à l’art. 14, paragr. 1 à 4 du RGPD, aucune communication ne sera faite à la personne concernée, dans la mesure où des informations seraient divulguées qui, du fait de leur nature, devraient être gardées secrètes, notamment en raison de l’intérêt légitime impérieux d’un tiers. La préservation de la confidentialité de l’identité de la Personne procédant au signalement en fait notamment partie.

F. Source des données

les Personnes procédant aux signalements (par ex. des employés, des partenaires commerciaux, des fournisseurs, des clients, d’autres personnes externes, etc.) ou les documents transmis par les Personnes procédant au signalement.

G. Durée de conservation

I. Entreprise

Si l’examen du cas suspect n’indique aucune violation de droit ou de réglementation, les données seront immédiatement supprimées à la fin de l’examen.

Si les faits suggèrent un soupçon de violation de droits ou de réglementations, mais n’étayent pas encore ce soupçon, les données seront supprimées 2 mois après la fin de l’examen.

Si le signalement devait étayer un soupçon quant à une violation de droits ou de réglementations et s’il en résultait un litige, les données seront conservées conformément à l’art. 17, paragr. 3, lettre 3) du RGPD aussi longtemps que nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.

II. FS-PP Berlin

Les données à caractère personnel dans le cadre des signalements effectués seront conservées pendant 6 ans conformément à l’art. 50 de la loi allemande relative aux avocats (BRAO).

En cas de signalements non transmis à l’une des Entreprises, le délai commence à courir à la fin de l’année civile au cours de laquelle le signalement a été enregistré ; en cas de signalements transmis aux Entreprises, à la fin de l’année civile au cours de laquelle la procédure a été achevée au sein des Entreprises.

H. Droits des personnes concernées et des personnes procédant aux signalements

1. Droit d’opposition

Si le traitement est effectué pour défendre des intérêts légitimes (art. 6, paragr. 1, phrase 1, lettre f du RGPD), vous disposez, d’après l’art. 21 du RGPD, du droit de vous opposer à tout moment au traitement de vos données à caractère personnel pour des motifs qui résultent de votre situation particulière. Veuillez noter que : lorsqu’il existe des motifs légitimes impérieux au traitement conformément à l’art. 17, paragr. 1, lettre c du RGPD, votre opposition ne pourra pas être acceptée.

Si vous souhaitez exercer votre droit d’opposition, il vous suffit de nous envoyer un e-mail à dataprotection(at)plansee.com ou datenschutzbeauftragter(at)fs-pp.de

2. Autres droits

D’autre part, vous disposez

  • d’après l’art. 7, paragr. 3 du RGPD, du droit de révoquer à tout moment un consentement au traitement de vos données que vous nous avez accordé. Dans un tel cas, le traitement des données reposant sur ce consentement ne pourra plus être poursuivi à compter du moment de la révocation. Pour cela, il suffit de nous envoyer un e-mail à dataprotection(at)plansee.com et datenschutzbeauftragter(at)fs-pp.de

  •  conformément à l’art. 15 du RGPD, d’un droit d’accès aux données à caractère personnel que nous avons sur vous, dans la mesure où l’exception de l’art. 23, paragr. 1, lettres d) et i) du RGPD en lien avec l’art. 29, paragr. 1, phrase 2 de la loi allemande sur la protection des données n’est pas applicable;

  • d’après l’art. 16 du RGPD, d’un droit à la rectification immédiate des données incorrectes ou incomplètes vous concernant;

  • d’après l’art. 17 du RGPD, d’un droit à l’effacement de vos données à caractère personnel;

  • conformément à l’art. 18 du RGPD, d’un droit à la limitation du traitement de vos données à caractère personnel;

  • conformément à l’art. 20 du RGPD, d’un droit à la portabilité des données. Vous avez ainsi le droit d’exiger que les données à caractère personnel vous concernant vous soient remises dans un format structuré, courant et lisible par machine ou qu’elles soient transmises à un autre responsable du traitement par nos soins;

  • d’après l’art. 77 du RGPD, vous pouvez également déposer une réclamation concernant votre droit à la protection des données auprès d’une autorité de contrôle, en particulier auprès de l’autorité de contrôle de l’État membre de votre lieu de résidence, de votre lieu de travail ou du lieu présumé de la violation.