Informations sur la protection des données
Ces informations sur la protection des données décrivent la façon dont BAUHAUS traite les données à caractère personnel dans le cadre du fonctionnement du système de recueil d'alerte et du traitement des alertes, et indiquent les droits de protection des données dont vous disposez et la façon dont vous pouvez nous contacter à ce sujet ainsi que pour toute question sur la protection des données.
I. Le responsable du traitement des données et son délégué à la protection des données
L'entreprise BAUHAUS responsable du traitement des données conformément à l'art. 4 (7) du RGPD dépend de l'entreprise sélectionnée par le lanceur d'alerte. L'entreprise sélectionnée par le lanceur d'alerte est le destinataire de l'alerte et également le responsable du traitement des données.
Cette entreprise est désignée ci-après par les termes « nous » ou « BAUHAUS » du point de vue du responsable du traitement des données.
Le système de recueil d'alerte est géré sur le plan technique par une entreprise spécialisée, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin en Allemagne, pour le compte de BAUHAUS ; ce prestataire de services n'a toutefois aucun accès non crypté aux données stockées dans le système de recueil d'alerte. Le système transmet automatiquement l'alerte au service de conformité compétent de l'entreprise BAUHAUS concernée.
Pour les demandes spéciales concernant l'Allemagne, vous pouvez également contacter directement le délégué à la protection des données en envoyant un email à l'adresse datenschutzbeauftragter@bauhaus.info. Les sujets et le contenu abordés par cette voie restent confidentiels. Pour toute question générale sur la protection des données et l'exercice de vos droits en tant que personne concernée, veuillez contacter le bureau interne de protection des données de BAUHAUS, en joignant des informations détaillées sur votre demande, à l'adresse datenschutz@bauhaus.info.
II. Cookies
La communication entre votre ordinateur et le système de recueil d'alerte s'effectue par le biais d'une connexion chiffrée SSL. L'adresse IP n'est pas stockée pendant l'utilisation du système de recueil d'alerte. Pour maintenir la connexion entre votre ordinateur et le système, un cookie est enregistré, lequel contient uniquement l'ID de session. Ce cookie est valide uniquement jusqu'à la fin de votre session et est supprimé à la fermeture du navigateur. Le cookie est nécessaire au fonctionnement du formulaire d'alerte en ligne, raison pour laquelle nous l'installons automatiquement.
III. Traitement des données et finalités
Le traitement spécifique des données dépend en grande partie des informations reçues par la suite par BAUHAUS sous forme d'alertes. Le traitement des données effectué à l'aide du système de recueil d'alerte est destiné, en toute sécurité et confidentialité, à recueillir, traiter et gérer les alertes concernant des infractions (présumées) à la loi ou des infractions importantes aux règlements en matière de conformité. Les données à caractère personnel et autres informations que vous nous fournissez via le système de recueil d'alerte sont conservées dans une base de données gérée par EQS Group GmbH, dans un centre de données hautement sécurisé. Seul le bureau de déclaration interne de l'entreprise sélectionnée par le lanceur d'alerte est en mesure de consulter les données. Ceci est assuré dans la solution certifiée par de nombreuses mesures techniques et organisationnelles.
Les données que nous traitons à l'aide du système de recueil d'alerte dépendent largement des alertes qui nous sont envoyées dans chaque cas individuel. Les lanceurs d'alerte doivent toujours indiquer le pays auquel une alerte est soumise et le type de violation présumée qui est signalée (comme la corruption). Dans le formulaire de soumission d'une alerte, les lanceurs d'alerte sont également invités à décrire la violation présumée et à partager des informations qui pourraient être utiles à l'enquête. Si le lanceur d'alerte nous en fait part dans un cas particulier, nous recueillons également le nom du lanceur d'alerte et ses coordonnées, les noms des personnes mentionnées dans les alertes, et des informations sur leur participation à la violation présumée ainsi que leurs liens avec l'entreprise BAUHAUS. Nous recueillons également un numéro de référence associé à chaque alertes soumise. Si vous installez une boîte de dialogue dans le système de recueil d'alerte, nous traiterons également le pseudonyme choisi et le mot de passe haché sélectionné, ainsi que l'ID associé à la boîte de dialogue.
Les données à caractère personnel qui ne sont manifestement pas utiles pour le traitement d'une alerte spécifique sont immédiatement supprimées. Nous noircissons également les données à caractère personnel, dans la mesure où cela est nécessaire, pour protéger l'identité des lanceurs d'alerte et pour protéger les personnes nommées dans les alertes (par exemple, avant la transmission interne pour le traitement d'une alerte).
IV. Notification de la personne accusée
Nous sommes légalement tenus, conformément à l'article 14 du RGPD, d'informer les parties accusées de toutes alertes reçues à leur égard dès que la divulgation de cette information ne représente plus aucun danger pour l'enquête. Votre identité de lanceur d'alerte ne sera pas divulguée à moins que nous ne soyons légalement contraints de le faire.
V. Traitement et transmission confidentiels des alertes
Les alertes entrantes sont reçues par un petit nombre de personnes expressément autorisées et sont toujours traitées dans la plus stricte confidentialité. Après avoir reçu une alerte, nous évaluons l'alerte et la situation décrite, et nous procédons à une investigation plus poussée selon ce qui est requis par le cas spécifique. Dans le cadre du traitement d'une alerte ou de la conduite d'une enquête, il peut s'avérer nécessaire de partager des alertes avec des salariés de BAUHAUS, y compris des salariés d'entreprises affiliées, de cabinets d'avocats, de cabinets de conseil ou, dans des cas particuliers, d'autorités judiciaires pénales. Si cela est nécessaire pour le traitement d'une alerte ou pour l'enquête, nous pouvons faire traduire les textes. Toutes les personnes qui ont accès aux données sont contractuellement ou légalement tenues de respecter la confidentialité.
VI. Informations sur la possibilité de soumettre des alertes anonymes
Si vous souhaitez protéger votre anonymat lorsque vous soumettez une alerte, le système de recueil d'alerte vous protège sur un plan technique. Veuillez-vous assurer que les informations que vous saisissez dans le formulaire d'alerte et dans tout document téléchargé ne comportent aucune référence à votre identité. Si vous utilisez la fonction Boîte de dialogue, les informations vous concernant ne sont généralement plus anonymes mais pseudonymes.
VII. Informations sur l'envoi des annexes
Lorsque vous soumettez une alerte ou que vous envoyez un complément d'information à une alerte précédente, vous pouvez télécharger des annexes dans le système. Si vous souhaitez soumettre une alerte anonyme, veuillez tenir compte des consignes de sécurité.
VIII. Information sur la possibilité d'installer une boîte de dialogue
Après avoir soumis une alerte, vous avez la possibilité d'installer une boîte de dialogue électronique au sein du système de recueil d'alerte qui est protégée par un pseudonyme et un mot de passe choisis individuellement. Le mot de passe est sauvegardé sous forme de hachage ; la boîte de dialogue est cryptée et possède un identifiant associé. Si vous perdez les informations de connexion, il n'y a aucun moyen de les restaurer. Les lanceurs d'alerte peuvent utiliser la boîte de dialogue pour consulter des informations sur l'état d'avancement, fournir des informations supplémentaires, télécharger des fichiers et lire ou imprimer des alertes. Si vous ne souhaitez pas nous communiquer votre nom, veillez à ce que votre pseudonyme et toute information dont vous nous faites part ne permettent pas de déduire votre identité, et veillez à ne pas mentionner votre nom au cours de notre communication.
IX. Base légale
Nous basons notre traitement des données à caractère personnel, tel que décrit dans la présente information sur la protection des données, sur notre intérêt légitime à déceler et à prévenir les fautes professionnelles et à éviter ainsi les dommages matériels et immatériels et les risques de responsabilité pour BAUHAUS (art. 6 (1)(f) du RGPD et, dans le cas d'une société allemande de BAUHAUS, en lien avec les articles 30, 130 du Code des infractions administratives (OWiG)). Si le traitement de catégories particulières de données à caractère personnel est nécessaire à cette fin, nous effectuons ce traitement de données sur la base supplémentaire de l'art. 9 (2)(f) du RGPD. Si une alerte reçue concerne un employé de BAUHAUS, le traitement sert également à empêcher des actes criminels ou autres violations légales en rapport avec la relation de travail et, en Allemagne, également sur la base de l'article 26 (1)(2) de la loi fédérale allemande sur la protection des données (BDSG).
Dans le cadre d'une enquête sur une violation présumée et d'une résolution ultérieure, BAUHAUS traite les données dans des cas individuels en vue d'exercer et de défendre nos intérêts, nos droits et nos revendications sur la base de nos intérêts légitimes dans l'exercice et la défense de nos intérêts, droits et revendications conformément à l'art. 6 (1)(f) du RGPD. Si le traitement de catégories particulières de données à caractère personnel est nécessaire pour faire valoir, exercer ou défendre des droits en justice, nous effectuons ce traitement de données sur la base supplémentaire de l'art. 9 (2)(f) du RGPD.
Nous traitons également les données à caractère personnel via le système de recueil d'alerte sur la base d'obligations légales, Art. 6 (1)(c) du RGPD (en lien avec la directive (UE) 2019/1937 et les (futures) mises en œuvre nationales correspondantes). Nous sommes par exemple tenus d'effacer les données si nous n'avons plus de base juridique pour les conserver.
Si, en tant que lanceur d'alerte, vous vous trouvez en dehors de l'UE/EEE au moment de la soumission de l'alerte, la transmission des données interviendra inévitablement lors de la soumission de votre alerte. Cette transmission de données intervient dans ce cas sur la base de l'art. 49 (1)(d) du RGPD.
X. Sources tierces
Nous recevons généralement des informations de la part d'un lanceur d'alerte sur des personnes soupçonnées d'avoir commis une infraction. Dans ce cas, la source des données telle que définie par l'art. 14 (2)(f) du RGPD est le lanceur d'alerte. Il peut également être nécessaire de collecter des données auprès de l'entreprise BAUHAUS où est employée une personne soupçonnée d'avoir commis une violation signalée ou auprès d'autres entreprises BAUHAUS. Si cela est pertinent et nécessaire dans la situation en question, nous utilisons également des données accessibles au public.
XI. Période de sauvegarde
Il n'est en règle générale pas possible de déterminer la durée exacte pendant laquelle les données seront conservées, dans la mesure où cela nécessite une évaluation de la situation individuelle. Les données à caractère personnel sont conservées aussi longtemps que nécessaire pour clarifier la situation et procéder à une évaluation finale d'une alerte dans la situation individuelle, ou aussi longtemps qu'il existe un intérêt légitime prépondérant de la part de BAUHAUS ou que la conservation est requise par la loi. Les données à caractère personnel qui ne sont manifestement pas utiles pour le traitement d'une alerte spécifique sont immédiatement supprimées. Nous noircissons également les données à caractère personnel pour protéger l'identité des lanceurs d'alerte et pour protéger les personnes nommées dans les alertes (par exemple, avant la transmission interne pour le traitement d'une alerte, dans la mesure où ces données ne sont pas nécessaires pour le traitement).
XII. Droits de la personne concernée
En tant que personne concernée, vous disposez des droits suivants en matière de protection des données, sous réserve du respect des conditions préalables respectivement applicables :
- Droit d'accès (art. 15 du RGPD)
- Droit de rectification (art. 16 du RGPD)
- Droit à l'effacement (art. 17 du RGPD)
- Droit à la limitation du traitement (art. 18 du RGPD)
- Droit à la portabilité des données (art. 20 du RGPD)
- Droit d’introduire une réclamation auprès d'une autorité de contrôle (art. 77 du RGPD)
Vous disposez également d'un droit d'opposition (art. 21 du RGPD), dans la mesure où nous effectuons un traitement de données sur la base de l'art. 6 (1)(f) du RGPD. Veuillez noter que, dans le cas d'un traitement des données à des fins autres que la publicité directe, il faut préciser les raisons qui résultent de votre situation particulière. Vous pouvez nous faire part de votre opposition en envoyant un email à notre délégué à la protection des données en Allemagne (datenschutzbeauftragter@bauhaus.info). Ce dernier sera transmis au bureau concerné.
Version de décembre 2021
