BANQUE EUROPÉENNE D’INVESTISSEMENT – DÉCLARATION DE CONFIDENTIALITÉ – PLATEFORME DE SIGNALEMENT EXTERNE
1. Description de l’opération de traitement
La déclaration de confidentialité précise le traitement des données à caractère personnel effectué par la Banque européenne d’investissement dans le cadre de la réception de signalements relatifs à des violations des règles et politiques de la BEI dans le contexte de la plateforme de signalement externe.
Elle décrit les modalités selon lesquelles la BEI, dans le cadre de cette activité, traite les données à caractère personnel relatives aux personnes physiques qui procèdent à un signalement via la plateforme de signalement externe ou font l’objet d’un tel signalement.
2. Base juridique et responsable du traitement
La Banque européenne d’investissement (la « BEI », la « Banque », « nous » ou le/la « responsable du traitement des données au sein de la BEI ») traite les données à caractère personnel conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.
Conformément à l’article 309 du traité sur le fonctionnement de l’Union européenne, la Banque européenne d’investissement a pour mission de contribuer, en faisant appel aux marchés des capitaux et à ses ressources propres, au développement équilibré et sans heurt du marché intérieur dans l’intérêt de l’Union.
Le traitement des données est nécessaire pour que la BEI puisse s’acquitter de ses tâches d’intérêt public en enquêtant sur d’éventuels manquements à ses politiques, sur la base des signalements reçus de la part de lanceurs ou lanceuses d’alerte. Dans certains cas, ce traitement est également requis pour que la BEI puisse se conformer à ses obligations légales. En particulier, le traitement dans le cadre de cette activité repose sur les politiques suivantes de la BEI :
- Politique de signalement ;
- Politique antifraude ;
- Politique en matière de respect de la dignité de la personne au travail ;
- Codes de conduite.
Le système de signalement est géré par une entreprise spécialisée, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin en Allemagne, au nom de la BEI. Cette entreprise n’a pas accès aux données.
3. Pourquoi traitons-nous vos données à caractère personnel ?
La BEI traite vos données à caractère personnel dans la mesure de ce qui est raisonnablement nécessaire aux fins de la réception et du traitement des signalements de manière raisonnable et appropriée, conformément à la législation et à la réglementation en vigueur. Plus précisément, nous traitons vos données à caractère personnel aux fins suivantes :
La division Enquêtes (IG/IN) examine les allégations crédibles de manœuvres interdites dans le cadre d’opérations financées par la BEI, telles que définies dans la politique antifraude de la Banque.
Les données doivent être traitées et ne peuvent être utilisées que dans le but d’enquêter sur des personnes physiques, des organisations, des entreprises ou d’autres entités dont il est établi qu’elles se sont livrées à des manœuvres interdites, et de mettre en œuvre les recommandations pertinentes formulées par les enquêteurs ou enquêtrices compétent(e)s de la division Enquêtes.
Sur la base de son mandat, IG/IN a pour objectif, pour cette activité de traitement spécifique, de permettre les enquêtes sur les violations signalées conformément aux politiques de la BEI (politique antifraude, politique en matière de respect de la dignité de la personne au travail, codes de conduite), de protéger les personnes (auteurs ou autrices d’un signalement) qui signalent tout comportement illégal, des fautes graves ou toute infraction aux règles, politiques et lignes directrices de la Banque, ou toute action préjudiciable à la réputation ou à la mission de cette dernière, de protéger les auteurs ou autrices d’un signalement contre les représailles (par la préservation de la confidentialité de leur identité, la possibilité de déposer une plainte s’ils ou elles font l’objet de représailles ou de mesures disciplinaires) et de protéger les personnes suspectées d’avoir commis l’un de ces actes.
Enquête sur les infractions relevant des textes réglementaires suivants :
- L’article 325 du traité sur le fonctionnement de l’Union européenne (TFUE) ;
- L’article 18 des statuts de la BEI et les articles 2 et 28 des statuts du FEI ;
- le règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil ;
- La décision du Conseil des gouverneurs de la BEI du 27 juillet 2004 portant sur la coopération de la BEI avec l’OLAF ;
- La politique de prévention et de dissuasion de manœuvres interdites dans le cadre des activités menées par la Banque européenne d’investissement et la politique de prévention et de dissuasion de manœuvres interdites dans le cadre des activités menées par le Fonds européen d’investissement (politique antifraude du Groupe BEI – https://www.eib.org/fr/publications/anti-fraud-policy) ;
- La politique en matière de respect de la dignité de la personne au travail du Groupe BEI (https://www.eib.org/en/publications/dignity-at-work-policy) ;
- Le code de conduite du personnel du Groupe BEI (https://www.eib.org/fr/publications/eib-group-staff-code-of-conduct).
4. Quelles sont les données à caractère personnel que nous traitons ?
L’utilisation du système de signalement se fait sur la base du volontariat. Si vous transmettez un signalement via le système conçu à cet effet, nous recueillons les données et informations à caractère personnel suivantes :
- Les données d’identification de la personne concernée (généralement fournies par les promoteurs de projets de la BEI, les emprunteurs et d’autres parties prenantes) ;
- Les données relatives à l’implication dans l’affaire, telles que les allégations, le résumé des faits et les éléments de preuve liés à la manœuvre interdite impliquant la personne concernée, les déclarations et procès-verbaux faits par des personnes dans le contexte d’une enquête ou attribués à ces dernières, les communications ou notes mentionnant la personne concernée en lien avec les faits faisant l’objet de l’enquête, des informations concernant des relations personnelles (recueillies par IG/IN conformément à l’avis du CEPD du 14 octobre 2010 sur les procédures relatives aux enquêtes sur les fraudes au sein du Groupe BEI, réf. C 2009-0459) ;
- Les données à caractère professionnel telles que les postes, fonctions et employeurs d’une personne (actuels et passés) ;
- Les recommandations des enquêteurs ou enquêtrices de la division IG/IN ;
- Les décisions du Comité de direction de la BEI dans le cadre d’enquêtes ;
- Toute décision d’exclusion relative à la personne faisant l’objet de l’enquête et toute référence à l’autorité qui a rendu ladite décision d’exclusion.
5. Où obtenons-nous vos données à caractère personnel ?
Les données sont obtenues auprès des personnes concernées procédant au signalement, via la plateforme, de violations présumées de la politique antifraude, de la politique en matière de respect de la dignité de la personne au travail ou du code de conduite du personnel du Groupe BEI.
6. À qui vos données sont-elles transmises ?
La BEI est la responsable du traitement des données à caractère personnel collectées auprès des lanceurs ou lanceuses d’alerte par l’intermédiaire de la plateforme de signalement, et la division Enquêtes de l’Inspection générale de la BEI est l’unité organisationnelle chargée du traitement de ces données.
Au sein de la BEI, la division Enquêtes, chargée de traiter les signalements soumis via la plateforme conçue à cet effet, et ses membres sont tenus à un respect strict de la confidentialité.
En mettant en place cette plateforme de signalement, la BEI poursuit l’objectif unique de recevoir des informations concernant d’éventuelles violations de la politique antifraude, de la politique en matière de respect de la dignité de la personne au travail et du code de conduite du personnel du Groupe BEI. Les signalements concernant la politique en matière de respect de la dignité de la personne au travail seront communiqués à la directrice générale des ressources humaines. Les signalements relevant des codes de conduite seront communiqués au chef de la conformité.
En cas de réception de signalements sans lien avec des violations des politiques susmentionnées, mais concernant néanmoins certaines autres missions de la BEI, les informations pourront être transmises au service compétent au sein de la Banque. Les normes générales de la BEI en matière de protection des données seront alors appliquées.
En outre, la BEI peut transmettre les informations reçues dans le cadre des signalements au Parquet européen, à l’Office européen de lutte antifraude (OLAF) ou à d’autres autorités nationales ou supranationales chargées d’enquêter sur les manœuvres interdites si les signalements comportent des informations pertinentes et nécessaires à l’accomplissement, par ces autorités, de leurs missions.
Les données seront également traitées par le prestataire externe EQS Group GmbH/EQS Group GmbH via la plateforme de signalement. Les données sont traitées par l’intermédiaire d’un système privé de stockage dématérialisé doté de serveurs sécurisés situés en Allemagne. Ni le prestataire externe ni des tiers n’ont accès à des informations décryptées.
7. Combien de temps conservons-nous vos données à caractère personnel ?
Nous conservons vos données le temps strictement nécessaire aux fins décrites dans la présente déclaration de confidentialité. Vos données à caractère personnel peuvent être conservées pendant une durée de cinq ans au minimum et jusqu’à dix ans au maximum à compter de la clôture de l’enquête. Pour de plus amples informations sur la période pendant laquelle nous conservons vos données, veuillez nous contacter (voir la section « Nous contacter » ci-dessous).
8. Quels sont vos droits et comment pouvez-vous les exercer ?
Vos droits sont énoncés dans le règlement (UE) 2018/1725.
Vous êtes en droit de nous demander i) de vous fournir une copie de vos données à caractère personnel ; ii) de corriger vos données à caractère personnel ; iii) d’effacer vos données à caractère personnel ; ou iv) de limiter notre traitement de vos données à caractère personnel. Vous pouvez également vous opposer à ce que nous traitions vos données à caractère personnel.
Vous pouvez à tout moment déposer une plainte concernant notre traitement de vos données personnelles auprès du Contrôleur européen de la protection des données (edps@edps.europa.eu) si vous estimez que vos droits au titre du règlement (UE) 2018/1725 ont été violés en conséquence du traitement de vos données personnelles par la BEI.
9. Nous contacter
Si vous vous interrogez quant au traitement de vos données à caractère personnel ou souhaitez exercer l’un des droits décrits ci-dessus, veuillez nous contacter à l’adresse investigations@eib.org ou contacter le délégué à la protection des données de la BEI, Pelopidas Donos, par courrier électronique à l’adresse p.donos@eib.org ou par courrier postal à l’adresse suivante :
Pelopidas Donos
Banque européenne d’investissement
98-100, boulevard Konrad Adenauer
L-2950 Luxembourg (Grand-Duché de Luxembourg)
10. Utilisation du portail de signalement
La communication entre votre ordinateur et le système de signalement se fait par une connexion cryptée (SSL). Votre adresse IP ne sera pas stockée pendant votre utilisation du système de signalement. Afin de maintenir la connexion entre votre ordinateur et la plateforme de signalement gérée par BKMS®, un témoin de connexion contenant uniquement l’identifiant de la session (un « témoin de connexion de session ») est stocké sur votre ordinateur. Ce témoin de connexion n’est valide que jusqu’à la fin de votre session et expire lorsque vous fermez votre navigateur.
La plateforme de signalement vous donne la possibilité de créer une boîte aux lettres sécurisée par un pseudonyme/nom d’utilisateur et un mot de passe choisis par vos soins. Cela vous permet de transmettre des signalements au membre concerné du personnel de la BEI de manière anonyme et sûre ou en utilisant votre nom. Ce système ne stocke les données que dans le système de signalement, ce qui le rend particulièrement sûr. Il ne s’agit pas d’une forme habituelle de communication par courriel.
Lorsque vous transmettez un signalement ou un complément à un signalement, vous pouvez simultanément transmettre des pièces jointes au membre concerné du personnel de la BEI. Si vous souhaitez soumettre un signalement anonyme, veuillez prendre note du conseil de sécurité suivant : les fichiers peuvent contenir des données à caractère personnel cachées qui pourraient compromettre votre anonymat. Supprimez ces données avant l’envoi de votre fichier. En cas d’impossibilité de supprimer ces données ou d’incertitude quant à la marche à suivre, merci de copier le texte de votre pièce jointe dans le corps du texte de votre signalement ou d’envoyer une version imprimée du document de manière anonyme à l’adresse indiquée en pied de page, en citant la référence reçue à la fin de la procédure de signalement.
