Politique de Protection des Données
CIRSA souhaite informer ses employés, travailleurs externes, partenaires commerciaux, fournisseurs, clients et, en général, tout autre type d’utilisateur qui utilisera ce canal (ci-après, les « personnes concernées ») de ce complément d’information sur la protection des données (ci-après, la « politique de protection des données »), dans laquelle nous fournissons de manière transparente et simple toutes les informations légalement requises en ce qui concerne la gestion du système de notification de signalements internes, les finalités pour lesquelles nous traitons vos données et les droits que vous pouvez exercer. Cette politique de protection des données sera toujours disponible sur le site web www.cirsa.com.
1. QUI EST RESPONSABLE DE VOS DONNÉES ET COMMENT POUVEZ-VOUS NOUS CONTACTER ?
La gestion du système d’information de signalements internes implique nécessairement le traitement de données à caractère personnel par (ci-après, « CIRSA ») :
- Au niveau mondial et en particulier pour l’Espagne, CIRSA ENTERPRISES, S.L. (ci-après « CIRSA »), société de droit espagnol, titulaire du Code d’identification fiscale B-87.959.649, dont le siège social est situé Calle Fermina Sevillano, numéro 5-7, 28022 Madrid (Madrid) et qui est inscrite au registre du commerce de Madrid au volume 36.763, folio 13, page M-658.665.
- Au niveau international, la société mère dans chaque pays en fonction de l’origine de l’alerte émise, lorsque cela est nécessaire pour poursuivre l’enquête sur les faits signalés, pour prendre des mesures disciplinaires et/ou pour traiter les procédures judiciaires, le cas échéant. Pour en savoir plus sur la présence internationale du groupe CIRSA, consultez le site https://www.cirsa.com/cirsa/presencia-internacional/.
Les sociétés susmentionnées sont conjointement responsables du traitement de vos données à caractère personnel, car elles déterminent et effectuent ensemble le traitement des données à caractère personnel pour la gestion du système de notification de signalements internes.
Si vous avez des questions concernant le traitement de vos données personnelles de notre part, vous pouvez contacter notre délégué à la protection des données par courrier électronique : protecciondedatos@cirsa.com.
2. QUE SONT UNE DONNÉE À CARACTÈRE PERSONNEL ET UN TRAITEMENT ?
Les données à caractère personnel sont toutes les informations concernant une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment à l’aide d’un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le traitement des données à caractère personnel est toute opération ou ensemble d’opérations que nous effectuons sur vos données à caractère personnel, telles que la collecte, l’enregistrement, le stockage, l’utilisation et la divulgation de vos données.
3. QUELLES SONT LES DONNÉES À CARACTÈRE PERSONNEL QUE NOUS COLLECTONS ET COMMENT LES COLLECTONS-NOUS ?
Nous ne pouvons collecter des données à caractère personnel vous concernant et vous identifier que si vous nous communiquez votre identité. Dans ce cas, CIRSA peut collecter les informations suivantes par le biais du système de notification de signalements internes :
- Nom et prénom
- Adresse électronique
- Numéro de téléphone
- Numéro de DNI, de NIE ou de passeport
- Contenu de l’alerte soumise
- Toutes les informations que vous pouvez fournir en remplissant le formulaire dans le canal de signalement.
Dans les cas où les personnes concernées effectuent des signalements de manière anonyme, CIRSA ne sera pas en mesure de les identifier et, par conséquent, ne traitera aucune donnée à caractère personnel des personnes concernées.
4. QUELS DROITS POUVEZ-VOUS EXERCER ?
A) Droit d’accès
Vous avez le droit de savoir si CIRSA traite vos données personnelles et, le cas échéant, de savoir quelles données sont traitées.
B) Droit de rectification
Vous avez le droit de modifier les données inexactes ou incomplètes. Pour ce faire, vous devez indiquer les données que vous souhaitez modifier et fournir les preuves appropriées.
C) Droit d’opposition
Dans les cas prévus par la loi, vous pouvez vous opposer à tout moment, pour des raisons liées à votre situation particulière, au traitement de vos données. Rappelez-vous que votre opposition à ces traitements rendra impossible le traitement de ces demandes par CIRSA.
D) Droit à l’effacement
Vous avez le droit d’effacer vos données personnelles. Cela ne signifie pas que vos données seront complètement éliminées, mais qu’elles seront bloquées de manière à empêcher leur traitement, sans préjudice de leur mise à la disposition des administrations publiques, des juges et des tribunaux pour l’examen d’éventuelles responsabilités qui auraient pu découler du traitement pendant la période de prescription de ce dernier.
E) Droit à la portabilité des données
Vous avez le droit de recevoir et/ou de transférer à un responsable du traitement autre que CIRSA les données personnelles vous concernant que vous nous avez fournies.
F) Droit à la limitation du traitement
Vous avez le droit de nous demander de suspendre le traitement de vos données lorsque (i) vous avez contesté l’exactitude de vos données, pendant que CIRSA vérifie cette exactitude ; ou (ii) vous avez exercé votre droit d’opposition au traitement de vos données, pendant qu’il est vérifié si les raisons légitimes de CIRSA prévalent sur les vôtres en tant que partie concernée. De même, ce droit vous permet de demander à CIRSA de conserver vos données personnelles lorsque (i) le traitement des données est illégal et que, en tant que personne concernée, vous vous opposez à l’effacement de vos données, en demandant à la place une limitation de leur utilisation ; ou (ii) CIRSA n’a plus besoin de vos données personnelles aux fins du traitement, mais vous en avez besoin pour la formulation, l’exercice ou la défense de réclamations.
Vous pouvez exercer vos droits en nous envoyant votre demande par l’intermédiaire de votre profil d’utilisateur créé dans la boîte aux lettres de notification de signalements internes. De plus, nous vous informons que, si vous considérez que CIRSA n’a pas correctement satisfait l’exercice de vos droits, vous pouvez déposer une réclamation auprès de l’Agence espagnole de protection des données en vous rendant sur son site Web http://www.aepd.es.
5. COMMENT TRAITONS-NOUS VOS DONNÉES ?
Afin de vous informer de manière transparente et détaillée sur les finalités pour lesquelles nous traitons vos données, nous avons séparé les informations relatives à chaque traitement dans des tableaux distincts. Vous trouverez toutes les informations spécifiques sur la manière dont nous traitons vos données dans le tableau correspondant, au cas par cas. Le tableau descriptif contient les informations suivantes :
À quelles fins traitons-nous vos données ?
Dans cette colonne, nous expliquons à quelles fins nous traitons vos données à caractère personnel.
Quelle est la base juridique qui nous permet de traiter vos données ?
Cette colonne explique la base juridique ou la justification qui nous permet de traiter légalement vos données à caractère personnel. La loi sur la protection des données exige que nous traitions vos données sur une base légale ou une justification qui légitime ce traitement. Ainsi, pour traiter vos informations personnelles, nous pouvons nous appuyer sur différentes bases juridiques ou justifications en fonction du traitement de vos données que nous effectuons. Les bases juridiques du traitement de vos données personnelles peuvent être les suivantes :
- Intérêt légitime
- L’exécution du contrat
- L’accomplissement d’une mission d’intérêt public
- Respect d’une obligation légale par CIRSA
- Intérêt vital
- Votre consentement
Combien de temps conservons-nous vos données ?
Cette colonne donne une indication de la durée de conservation de vos données. La durée de conservation dépendra dans tous les cas du traitement de vos informations personnelles. Vous devez savoir que certaines réglementations peuvent nous obliger à conserver certaines données relatives aux parties prenantes pendant une certaine période.
Vous trouverez ci-dessous une description plus détaillée de la manière dont CIRSA traite vos données personnelles :
Gestion du système de notification des signalements internes
À quelles fins traitons-nous vos données ?
- Traiter correctement les communications, confirmer leur réception et y répondre dans les délais légaux.
- Garantir une protection adéquate aux parties prenantes qui signalent des actions ou des omissions contraires à la loi ou à la convention collective applicable.
- Tenir un registre des informations reçues et des enquêtes internes auxquelles elles ont donné lieu, en garantissant, dans tous les cas, les exigences de confidentialité.
- Être conscient et enquêter sur la commission, tant au sein de l’entreprise que dans les actions de tiers sous contrat avec l’entreprise, d’actes ou de comportements contraires à la loi ou à la convention collective applicable.
- Transmettre immédiatement l’information au ministère public lorsque les faits sont susceptibles d’être révélateurs d’une infraction pénale. Si les faits portent atteinte aux intérêts financiers de l’Union européenne, saisir le Parquet européen.
- Respecter les obligations légales de la CIRSA.
Sur quelle base juridique nous traitons vos données ?
Respect d’une obligation légale applicable au Responsable de traitement. En particulier :
- Loi 2/2023 du 20 février sur la protection des personnes qui dénoncent les infractions réglementaires et la lutte contre la corruption ;
- Loi organique 10/2010, du 28 avril, sur la prévention du blanchiment de capitaux et du financement du terrorisme et ;
- Loi organique 3/2007, du 22 mars, pour l’égalité effective des femmes et des hommes.
Combien de temps conservons-nous vos données personnelles ?
- Les données à caractère personnel de la personne concernée ne seront traitées que pendant la période nécessaire pour décider d’ouvrir ou non une enquête sur les faits signalés. À l’exception de celles qui : i) ne sont pas nécessaires à la connaissance des faits et à l’enquête ; ii) ne sont pas véridiques ; iii) se réfèrent à des comportements qui ne sont pas inclus dans le champ d’application de la loi et/ou ; iv) sont incluses dans les catégories spéciales de données ; qui seront immédiatement supprimées.
- En règle générale, cette période ne peut excéder trois (3) mois à compter de la réception de la communication ou, si aucun accusé de réception n’a été envoyé, trois (3) mois à compter de l’expiration du délai de sept (7) jours suivant la communication, sauf dans les cas d’une complexité particulière nécessitant une prolongation du délai, auquel cas le délai peut être prolongé jusqu’à un maximum de trois (3) mois supplémentaires. Si le délai s’est écoulé sans qu’aucune mesure d’enquête n’ait été prise, elles sont effacées, à moins que la conservation n’ait pour but de laisser des preuves du fonctionnement du système. Dans ce cas, les communications auxquelles il n’a pas été donné suite ne peuvent être enregistrées que sous forme anonyme.
- Dans le cas contraire, elles sont conservées dans le registre pendant la période nécessaire et proportionnée pour se conformer à la réglementation applicable et en aucun cas pendant une période supérieure à dix (10) ans.
6. À QUI DIVULGUONS-NOUS VOS DONNÉES ?
CIRSA peut communiquer vos données, sous réserve d’une obligation légale ou d’une base qui légitime cette communication, aux personnes suivantes :
- Responsable du système et les personnes qui le gèrent directement
- Directeur des ressources humaines ou l’organe compétent dûment désigné, uniquement lorsqu’une action disciplinaire peut s’avérer appropriée.
- Responsable des services juridiques de la société si une action en justice doit être entreprise en rapport avec les faits décrits dans la communication.
- Délégué à la protection des données.
- Conseillers juridiques, experts, sociétés de cybersécurité et/ou d’autres tiers nécessaires pour mener les enquêtes nécessaires afin de vérifier les faits signalés par les personnes concernées.
- Ministère public
- Parquet européen
- Cours et tribunaux
- Organismes gouvernementaux et de l’administration publique.
- Forces de sécurité de l’État.
7. QUI PEUT ACCÉDER À VOS DONNÉES ?
CIRSA vous informe que nous travaillons avec des tiers, en particulier des prestataires de services nécessaires au bon développement du système de notification des signalements internes. Ces prestataires de services peuvent, dans le cadre de leurs activités, avoir accès à vos données. Cet accès ne constitue pas un transfert de données, mais plutôt un accès en tant que responsable du traitement des données, ce qui est réglementé et prévu par le RGPD. Dans tous les cas, nous vous informons que CIRSA se soucie de vos données et a donc vérifié que ces fournisseurs offrent un niveau de sécurité adéquat et garantissent la protection des droits et libertés des personnes concernées.
8. VOS DONNÉES SONT-ELLES EN SÉCURITÉ ?
Afin de garantir un traitement équitable et transparent de vos informations personnelles, nous adopterons des procédures appropriées qui incluront la mise en œuvre de mesures techniques et organisationnelles prenant en compte le risque potentiel et corrigeront toute impression identifiée sur les données personnelles traitées, de sorte que le risque d’erreur soit minimisé, en traitant vos données de manière équitable et sécurisée.
De même, nous veillerons à ce que nos prestataires de services bénéficient également de normes de sécurité adéquates pour la protection des données à caractère personnel auxquelles ils ont ou peuvent avoir accès, conformément à la législation sur la protection des données applicable en vigueur à tout moment.
9. CHANGEMENTS APPORTÉS À LA PRÉSENTE POLITIQUE DE PROTECTION DES DONNÉES
La présente politique de protection des données peut être modifiée au fil du temps en raison d’éventuels changements dans les critères suivis par l’autorité de contrôle compétente en matière de protection des données à un moment donné. CIRSA se réserve donc le droit de modifier la présente Politique de protection des données afin de l’adapter à ces critères, ainsi qu’à la nouvelle jurisprudence ou législation.
Dernière version : 13 Juin 2023.
