Avis relatif à la protection des données
Nous prenons la question de la protection des données et de la confidentialité très au sérieux et nous respectons les dispositions du règlement général sur la protection des données de l'UE (RGPD) ainsi que les règlementations nationales en vigueur sur la protection des données. Veuillez lire attentivement le présent avis relatif à la protection des données avant de soumettre une alerte.
Personne responsable et délégué à la protection des données
La personne responsable de l'utilisation du système d'alerte (BKMS® System) et du traitement des données à caractère personnel qui en découle est SSI SCHÄFER GMBH & CO KG (ci-après dénommée « nous »). Une alerte soumise par le biais du BKMS® System s'adresse donc en premier lieu à SSI SCHÄFER GMBH & CO KG en tant que responsable. Si des données à caractère personnel d'une autre entreprise du groupe SSI SCHÄFER sont concernées par une alerte, cette entreprise du groupe SSI SCHÄFER peut, en fonction de son degré de participation à l'affaire, être considérée comme une autre partie responsable indépendante, en plus de SSI SCHÄFER GMBH & CO KG, pour la mise en œuvre d'une procédure d'enquête et d'un traitement connexe des données à caractère personnel.
SSI SCHÄFER GMBH & CO KG a nommé un délégué à la protection des données à caractère personnel. Toutes les questions concernant la protection des données au sein du groupe SSI SCHÄFER et chez SSI SCHÄFER GMBH & CO KG peuvent être adressées à datenschutzbeauftragter@ssi-schaefer.com.
Objet du système d'alerte et cadre légal
L'objectif du BKMS® System est de recevoir, traiter, examiner et gérer les violations de la loi (décrites plus en détail dans le BKMS® System) et les violations du code de conduite du groupe SSI SCHÄFER ainsi que du code de conduite pour les partenaires commerciaux du groupe SSI SCHÄFER, de manière sécurisée et confidentielle.
Vous avez la possibilité de soumettre des alertes de manière anonyme. Veuillez noter qu'une alerte anonyme peut limiter notre capacité à enquêter et à résoudre le problème.
Si vous souhaitez conserver votre anonymat, ne fournissez aucune information personnelle comme votre nom ou votre relation avec les parties impliquées. En particulier, ne fournissez pas d'informations dans les champs de texte libre qui pourraient permettre de remonter jusqu'à vous.
Si vous faites une alerte anonyme, le traitement des données à caractère personnel dans le cadre du BKMS® System est fondé sur l'intérêt légitime de notre entreprise à détecter et à empêcher des actes répréhensibles et donc à éviter des dommages au groupe SSI SCHÄFER, à ses employés, à ses clients et à ses fournisseurs. Le cadre juridique du traitement des données à caractère personnel est l'art. 6 al. 1 point f) du RGPD.
Par ailleurs, l'entreprise SSI SCHÄFER GMBH & CO KG peut être légalement tenue de fournir des informations sur les violations de la conformité commises par ses employés, ses clients et ses fournisseurs envers certaines administrations, notamment les autorités gouvernementales en Allemagne et à l'étranger, comme les autorités d'enquête ou les tribunaux. La base juridique de ce traitement de données à caractère personnel est l'art. 6 al. 1 point c) du RGPD en relation avec la base juridique correspondante dans le droit national ou européen. Pour les entités extra-européennes, la base juridique est l'art. 6 al. 1 point f) du RGPD en relation avec l'obligation légale correspondante pour SSI SCHÄFER GMBH & CO KG.
Si vous souhaitez soumettre votre alerte en déclinant votre identité, nous traiterons vos données à caractère personnel conformément au présent avis relatif à la protection des données et à la déclaration de consentement en vertu de la loi sur la protection des données, avec votre consentement. Dans ce cas, il est nécessaire que vous nous donniez activement votre consentement en indiquant votre nom.
Nous traitons des catégories particulières de données à caractère personnel uniquement dans la mesure où vous nous avez donné votre consentement explicite à cet effet conformément à l'art. 9 al. 2 point a) du RGPD de l'UE ou que cela est nécessaire pour faire valoir, exercer ou défendre des droits légaux, conformément à l'art. 9 al. 2 point f) du RGPD. Les catégories particulières de données à caractère personnel comprennent les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques identifiant de manière unique une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l'orientation sexuelle.
Conséquences d'une alerte
Les informations peuvent entraîner l'ouverture de procédures d'enquête internes et officielles et d'autres conséquences négatives pour les personnes concernées. Par conséquent, ne nous communiquez que des informations que vous estimez exactes au mieux de vos connaissances. Diffuser sciemment de fausses informations est une infraction pénale en Allemagne et dans de nombreux autres pays.
Catégories de données à caractère personnel collectées
L'utilisation du système d'alerte se fait sur la base du volontariat. Si vous soumettez une alerte par le biais du BKMS® System, nous recueillons les données et informations à caractère personnel suivantes, dans la mesure où vous nous les fournissez :
- Objet,
- Votre prénom et votre nom,
- Catégorie d'alerte sélectionnée,
- Les faits que vous rapportez concernant des soupçons de conduite inappropriée dans une zone de texte libre, y compris les questions suivantes :
- comment et où (pays, lieu, entreprise du groupe SSI Schaefer concernée) la faute présumée a été commise et comment vous en avez eu connaissance,
- l'identité, le poste et les coordonnées des personnes soupçonnées d'être impliquées dans la faute présumée ; et
- l'identité, le poste et les coordonnées des personnes susceptibles de donner des informations sur la conduite inappropriée présumée.
- Si vous avez déjà signalé l'incident ailleurs,
- quels sont les cadres impliqués dans l'incident,
- si l'incident est toujours en cours, et
- les données que vous fournissez en utilisant la fonction de téléchargement.
Destinataires internes et externes
Les informations sont reçues par un cercle restreint d'employés expressément autorisés et spécialement formés de l'équipe de conformité du groupe chez SSI SCHÄFER GMBH & CO KG et sont toujours traitées de manière confidentielle. L'équipe de conformité du groupe examine les faits et, si nécessaire, procède à d'autres clarifications liées au cas.
Le BKMS® System est géré par une entreprise spécialisée, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Allemagne, pour le compte de SSI SCHÄFER GMBH & CO KG. Seule l'entreprise SSI SCHÄFER GMBH & CO KG est autorisée à consulter les données. Ni EQS Group GmbH ni d'autres tiers n'ont accès à ces données.
SSI SCHÄFER GMBH & CO KG prendra les mesures appropriées pour préserver la confidentialité et s'efforcera de garder votre identité secrète. Dans le cadre du traitement d'une alerte ou d'un examen interne ou officiel lié à votre alerte, il peut s'avérer nécessaire de transmettre des données à caractère personnel à d'autres organismes. Il peut s'agir d'autres organes au sein du groupe SSI SCHAEFER, par exemple si l'alerte concerne des processus dans des filiales, mais aussi d'autorités d'enquête et de tribunaux ou de consultants externes comme des avocats. Ces destinataires peuvent être basés dans des pays hors de l'Union Européenne ou de l'Espace Économique Européen dont les règlements sur la protection des données à caractère personnel peuvent différer. Dans ce cas, SSI SCHÄFER GMBH & CO KG veillera à ce que les garanties légales nécessaires à la protection de vos données à caractère personnel soient respectées avant que vos données à caractère personnel ne soient divulguées.
Information de la personne accusée et des autres personnes concernées par l'enquête
Nous sommes généralement tenus par la loi d'informer la personne accusée et les autres personnes concernées par l'enquête que nous avons reçu une alerte à leur sujet, dès lors que cette information ne compromet plus le suivi de l'enquête. Nous nous efforcerons de protéger votre identité en tant que lanceur d'alerte dans la mesure où la loi le permet. Néanmoins, il est de notre devoir de vous informer que nous pouvons être légalement obligés de divulguer votre identité au suspect ou à d'autres personnes concernées par l'enquête.
Droits de la personne concernée
Conformément à et dans le cadre du RGPD et de la législation nationale sur la protection des données, vous disposez d'un droit à l'information, à la rectification, à la suppression et à la limitation du traitement ainsi que d'un droit à la portabilité des données. Par ailleurs, vous êtes en droit de déposer plainte auprès d'une autorité de contrôle, par exemple le commissaire d'État à la protection des données et à la sécurité de l'information de Rhénanie-du-Nord-Westphalie, qui est l'autorité compétente en matière de protection des données pour SSI SCHÄFER GMBH & CO KG.
Dans la mesure où nous traitons vos données sur la base de notre intérêt légitime conformément à l'art. 6 al. 1 point f) du RGPD, vous avez le droit de vous opposer au traitement de vos données à caractère personnel conformément et dans le cadre du RGPD et de la loi nationale sur la protection des données pour des raisons découlant de votre situation particulière.
Si vous exercez votre droit d'opposition, nous ne traiterons plus vos données à caractère personnel, sauf si nous pouvons démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou si le traitement sert à faire valoir, à exercer ou à défendre des droits légaux.
Dans la mesure où vous consentez au traitement de vos données à caractère personnel, vous avez le droit de révoquer votre consentement au traitement de vos données à caractère personnel à tout moment avec effet pour l'avenir.
Conservation des données à caractère personnel
Les informations seront conservées aussi longtemps que nécessaire pour le traitement et l'enquête, aussi longtemps que l'entreprise a un intérêt légitime à le faire ou aussi longtemps que la loi l'exige. Ensuite, les alertes sont effacées ou rendues anonymes ; par exemple, les références à votre identité en tant que lanceur d'alerte et à des personnes citées dans l'alerte sont définitivement et irréversiblement supprimées.
Cela signifie que vos données à caractère personnel seront généralement supprimées dans les deux mois suivant la fin de l'enquête sur les faits allégués, à moins que d'autres procédures judiciaires ou mesures disciplinaires ne soient engagées contre le suspect ou contre vous en tant que lanceur d'alerte dans le cas d'allégations sciemment fausses ou qu'une période supplémentaire de conservation des données à caractère personnel ne soit nécessaire pour respecter les obligations légales dans ce domaine. Les données à caractère personnel concernant les alertes qui s'avèrent infondées seront immédiatement supprimées, sous réserve des exigences légales en matière de conservation.
Mesures de sécurité
Les données à caractère personnel et les informations saisies dans le système d'alerte sont conservées dans une base de données gérée par EQS Group GmbH dans un centre informatique de haute sécurité. Seule l'entreprise SSI SCHÄFER GMBH & CO KG est autorisée à consulter les données. Ni EQS Group GmbH ni d'autres tiers n'ont accès à ces données. Ceci est garanti dans la procédure certifiée par le biais de mesures techniques et organisationnelles exhaustives. Toutes les données sont stockées sous forme cryptée et protégées par un mot de passe à plusieurs niveaux, de sorte que l'accès est limité à un cercle très restreint de destinataires composé de personnes expressément autorisées chez SSI SCHÄFER GMBH & CO KG.
La communication entre votre ordinateur et le système de recueil d'alerte s'effectue par le biais d'une connexion cryptée (SSL). L'adresse IP de votre ordinateur n'est pas sauvegardée pendant l'utilisation du portail d'alerte. Pour maintenir la connexion entre votre ordinateur et le BKMS® System, un cookie est enregistré sur votre ordinateur qui ne contient que l'ID de la session (encore appelé « cookie zéro »). Ce cookie est valide uniquement jusqu'à la fin de votre session et expire lorsque vous fermez votre navigateur.
Vous avez la possibilité d'installer une boîte de dialogue protégée dans le système d'alerte avec un pseudonyme/nom d'utilisateur et un mot de passe de votre choix. Vous pouvez ainsi envoyer une alerte sécurisée à la personne responsable de l'équipe de conformité du groupe, soit de manière nominative, soit de manière anonyme. Grâce à ce système, les données sont stockées uniquement dans le système d'alerte et sont donc particulièrement à l'abri ; il ne s'agit pas d'une communication par e-mail ordinaire.
Notes sur l'envoi d'annexes
Quand vous soumettez une note ou envoyez un addendum, vous avez la possibilité d'envoyer des annexes à la personne responsable de l'équipe de conformité du groupe. Si vous souhaitez soumettre une alerte sous couvert d'anonymat, veuillez respecter les conseils de sécurité suivants : veuillez noter que les fichiers peuvent contenir des données à caractère personnel cachées risquant de compromettre votre anonymat. Effacez ces données avant d'envoyer des fichiers. Si vous ne parvenez pas à retirer ces données, ou n'êtes pas sûr de l'avoir fait, veuillez copier le texte de votre annexe dans le texte de votre alerte ou envoyer la version imprimée du document anonymement à l'adresse figurant dans la note en bas de page, en spécifiant le numéro de référence reçu à la fin du processus d'alerte.