POLITIQUE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL DE LA GESTION DES ALERTES PROFESSIONNELLES - GROUPE KEOLIS
Finalité et Responsable de traitement
Dans le cadre du dispositif d’alerte professionnelle des traitements de données sont réalisés par le Groupe Keolis SAS et Keolis SA, responsables de traitement conjoints, afin de traiter les alertes reçues conformément à la présente procédure et afin d’opérer les investigations nécessaires, ainsi que de traiter les éventuelles procédures disciplinaires et/judiciaires qui pourraient en découler.
Base légale
Les traitements opérés sont réalisés afin de remplir les obligations du Groupe Keolis1 au titre (i) des articles 6 et suivants de la loi n° 2016-1691 du 9 décembre 2016 dite « Sapin II (ii) de l’article 17 de la même loi, et (iii) des dispositions de la loi n° 2017-399 du 27 mars 2017 sur le devoir de vigilance des sociétés mères et donneuses d’ordre.
Données concernées par les traitements
Dans le cadre du dispositif d’alerte professionnelle, les données suivantes pourront être collectées et traitées :
- identité, fonctions et coordonnées de l'émetteur de l'alerte
- identité, fonctions et coordonnées des personnes faisant l'objet de l’alerte ;
- identité, fonctions et coordonnées des personnes intervenant dans le cadre de la vérification des faits signalés et de l’enquête associée;
- faits signalés ;
- éléments recueillis dans le cadre de la vérification des faits signalés ;
- comptes rendus des opérations de vérification ;
- suites données à l'alerte.
Accès et destinataires des données
- Transmission en interne au sein du Groupe Keolis
Les données personnelles traitées dans le cadre du dispositif d’alerte professionnelle sont accessibles et traitées par les membres du Comité Ethic Line. Les données nécessaires pourront être transmises à d’autres personnes au sein de Groupe Keolis ayant besoin d’en connaître et qui seraient amenées à intervenir lors de la vérification des faits signalés et de l’enquête associée. Dans ce cadre, seules les données nécessaires à l’accomplissement de leurs missions respectives de vérification ou de traitement de l’alerte leur seront transmises.
- Transmission à des prestataires externs
Les données pourront être transmises à des prestataires (avocats..) qui seraient amenés à intervenir lors de l’enquête . Dans ce cadre, seules les données strictement nécessaires à l’accomplissement de leurs missions respectives leur seront transmises.
Afin d’assurer l’hébergement et le bon fonctionnement de la plateforme d’alerte, les données pourront être traitées par le prestataire du Groupe Keolis en charge de l’hébergement et de la maintenance de la plateforme d’alerte Ethics Lines, EQS Group GmbH, exclusivement dans le cadre de ses missions de sous-traitant.
Certaines données pourront être transmises à des tiers dans le cas où le Groupe Keolis serait tenu de se conformer aux lois et aux règlements et aux requêtes et ordres légaux.
Les éléments de nature à identifier l’Emetteur d’une alerte professionnelle ne pourront être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement préalable de l’Emetteur.
Durées de conservation des données
Les données relatives à une alerte jugée irrecevable seront soit détruites soit archivées après anonymisation, dans le délai d’un (1) mois maximum. Les données anonymisées archivées pourront être conservées 10 ans maximum avant destruction définitive.
S’il s’avère que l’Emetteur de l’alerte a signalé une alerte de mauvaise foi ou dans des conditions abusives et contraires à la loi, dans ce cas, les données relatives à l’alerte pourront être conservés dans les conditions et délais rappelés ci-dessous lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées.
Les données relatives à une alerte jugée recevable :
- Lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judicaire, les données seront détruites ou archivées après anonymisation, dans un délai de deux mois à compter de la cloture de l’ensemble des opérations de vérification.
- Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à cette alerte sont conservées jusqu’au terme de la procédure ou de la prescription des recours à l’encontre de la décision.
Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint pour une durée n’excédant pas les délais de procedures contentieuses.
Mesures de sécurité et transferts de données personnelles en dehors de l’Union Européenne
Keolis sécurise les données personnelles traitées dans le cadre des alertes professionnelles en mettant en place des mesures physiques, organisationnelles, et techniques adéquates afin d’éviter tout accès, utilisation, divulgation, modification ou destruction non autorisé, conformément au RGPD.
Ces mesures incluent notamment :
- Un stockage et un traitement des données de signalement sur des serveurs sécurisés au sein
de l’Union Européenne ; - Un accès limité aux seules personnes habilitées ;
- La mise en place de mesures organisationnelles en interne afin de protéger les données.
Des signalements émis depuis un pays tiers situées hors de l’Union Européenne pourront être traitées conformément à la présente procédure.
Droits des personnes concernées et exercice de ces droits
Conformément au RGPD, toute personne identifiée dans le dispositif d'alerte professionnelle dispose des droits ci-dessous listés :
- Un droit d’accès aux données la concernant et qui ont fait l’objet d’un traitement dans le cadre du dispositif d’alerte professionnelle. Néanmoins, la personne qui fait l'objet d'un signalement ne peut en aucun cas obtenir communication, sur le fondement de son droit d'accès, des informations concernant l'identité de l'Emetteur de l'alerte.
- Un droit de rectification et d’effacement aux données la concernant. Néanmoins, ce droit ne peut être exercé que pour rectifier des données factuelles, dont l’exactitude matérielle peut être vérifiée par Keolis à l’appui d’éléments probants, et ce sans que soient effacées ou
remplacées les données, même erronées, collectées initialement. En effet, ce droit ne doit pas permettre la modification rétroactive des éléments contenus dans l’alerte ou collectés lors de son instruction. Son exercice, ne doit pas aboutir à l’impossibilité de reconstitution de la chronologie des éventuelles modifications d’éléments importants de l’enquête.
Le droit d’opposition aux traitements ne pourra être exercé par les personnes concernées dans le cadre du dispositif d’alerte professionnelle, les traitements étant mis en œuvre par Keolis sur le fondement des (i) des articles 6 et suivants de la loi n° 2016-1691 du 9 décembre 2016 dite « Sapin II (ii) de l’article 17 de la même loi , et (iii) des dispositions de la loi n° 2017-399 du 27 mars 2017 sur le devoir de vigilance des sociétés mères et donneuses d’ordre.
L’ensemble des droits listées précédemment pourront être exercés par les personnes concernées à l’adresse suivante : ethicline@keolis.com.
1 On entend par Groupe Keolis, l’ensemble formé par les Sociétés GROUPE KEOLIS S.A.S, Keolis SA et l’ensemble de leurs filiales (i.e toutes les sociétés contrôlées par le Groupe au sens des règles de consolidation).
