Politique de confidentialité
Nous prenons la protection des données et la confidentialité très au sérieux et adhérons aux dispositions du règlement général sur la protection des données de l'UE (RGPD) ainsi qu'aux règlementations nationales en vigueur sur la protection des données. Dans ce qui suit, nous expliquons quelles informations et, le cas échéant, quelles données à caractère personnel nous traitons lorsque vous soumettez une alerte. Veuillez lire attentivement cette politique de confidentialité avant de soumettre une alerte.
Qui est responsable ?
La présente politique de confidentialité s'applique au traitement des données effectué par :
Deutsche Post AG
Global Compliance Office
Charles-de-Gaulle-Straße 20
53250 Bonn
Allemagne
gco@dpdhl.com
Si vous avez des questions concernant le traitement de vos données à caractère personnel, veuillez contacter le délégué à la protection des données :
Deutsche Post AG
Global Data Protection
53250 Bonn
Allemagne
datenschutz@dpdhl.com
Quelles données à caractère personnel sont-elles traitées ?
La Deutsche Post AG dispose d'un système de recueil d'alerte pour DPDHL (Deutsche Post AG et les entreprises de son groupe). L'usage du système de recueil d'alerte a lieu sur une base volontaire. Si vous soumettez une alerte par le biais du système de recueil d'alerte, nous recueillons les données à caractère personnel et les informations suivantes :
- votre nom si vous décidez de révéler votre identité,
- si vous êtes salarié chez DPDHL, et
- les noms des personnes et autres données à caractère personnel des personnes que vous citez dans votre alerte.
Dans le cas où vous soumettez une alerte par téléphone, votre voix sera enregistrée. Au début de chaque appel téléphonique, il vous sera également demandé de consentir à ce que vos paroles soient enregistrées sous forme de fichier audio. De plus, pour cette forme d'alertes, les types de données à caractère personnel énumérés ci-dessus sont collectés par transcription.
Pourquoi recueillons-nous des données à caractère personnel et quelle est la base juridique ?
Le système de recueil d'alerte (BKMS® System) est destiné, en toute sécurité et confidentialité, à recueillir, traiter et gérer les alertes concernant des infractions aux règles de conformité de DPDHL. Il est particulièrement destiné à recevoir des alertes sur des violations de la loi ou du code de conduite de DPDHL et des autres politiques, directives et règlements mentionnés dans celui-ci, tels que la déclaration de politique des droits de l'homme de DPDHL ou la politique de lutte contre la corruption et d'éthique commerciale de DPDHL. Nous ne traitons vos données qu'à des fins spécifiques et lorsque nous avons une base légale pour le faire. Si vous souhaitez signaler des violations de données ou effectuer d'autres notifications concernant la protection des données, veuillez suivre la procédure interne de DPDHL pour signaler les violations de données ou contacter votre Data Protection Official ou votre Data Protection Officer. Vous trouverez leurs coordonnées ici.
Consultation de notre site Internet
Le BKMS® System est conçu pour garantir l'anonymat de ses utilisateurs, conformément à la directive européenne sur les lanceurs d'alerte. Les données qui sont nécessaires pour établir la communication entre votre ordinateur et le système de recueil d'alerte, comme les adresses IP, ne seront pas stockées sur le BKMS® System et ne seront utilisées au niveau de l'infrastructure que pour la durée d'une session. De plus, un cookie est enregistré sur votre ordinateur qui ne contient que l'ID de la session (encore appelé « cookie zéro »). Ce cookie est valide uniquement jusqu'à la fin de votre session et expire lorsque vous fermez votre navigateur. Le cookie ne contient que le nom d'identification de la session JSESSIONID avec une valeur générée de manière aléatoire qui est nécessaire pour créer la session (aucune autre information qui pourrait conduire à une identification du lanceur d'alerte). La création de sessions est largement utilisée et fait partie des bonnes pratiques dans une architecture client-serveur. Si vous vous déconnectez ou si le délai d'attente est atteint, le cookie devient invalide, et la session est invalidée (fermée). Pour ce faire, la valeur de la session dans le cookie lui-même est mise à « zéro » (un état indéfini). À ce stade, la session ne peut plus être ouverte à nouveau. Aux fins mentionnées, nous avons un intérêt légitime à traiter vos données, qui est fondé sur l'art. 6 (1) f) du RGPD.
Soumission d'une alerte anonyme ou personnelle
Quel que soit le canal de communication que vous utilisez, vous pouvez soumettre votre alerte de manière anonyme ou à titre personnel. Si vous choisissez délibérément de le faire ou de révéler votre identité, nous vous informons que nous garderons votre identité confidentielle pendant toutes les étapes internes ou extrajudiciaires de la procédure. Veuillez prendre connaissance du fait que nous sommes contraints par la loi d'informer les personnes accusées que nous avons reçu une alerte les concernant, à moins que cela ne mette en danger des investigations plus poussées. En procédant de la sorte, votre identité de lanceur d'alerte ne sera pas divulguée dans la mesure où cela est légalement possible. Si vous décidez consciemment et intentionnellement de divulguer votre identité dans le cadre de l'alerte, le traitement des données est fondé sur votre consentement conformément à l'art. 6 (1) a) du RGPD. Vous pouvez révoquer votre consentement, mais seulement durant un mois après la notification.
Soumission d'une alerte dans le BKMS® System sur Internet, dans une boîte de dialogue protégée ou par d'autres canaux de communication
Le traitement des données à caractère personnel dans le BKMS® System, dans la boîte de dialogue protégée ou dans d'autres canaux de communication repose sur l'intérêt légitime de notre entreprise à la détection et à la prévention de toute conduite inappropriée, évitant ainsi que DPDHL, ses salariés et ses clients aient à subir des préjudices. La base légale de ce traitement de données sur les canaux de communication disponibles est l'art. 6 (1) f) du RGPD.
Vous pouvez installer une boîte de dialogue protégée au sein du BKMS® System qui est protégée à l'aide d'un nom d'utilisateur/pseudonyme et d'un mot de passe choisis individuellement. Afin d'atteindre le plus haut niveau d'anonymat, vous devez choisir un pseudonyme qui ne permette pas de tirer des conclusions sur votre identité. Cela vous permettra d'envoyer des compléments à votre alerte et de communiquer sur le sujet signalé avec l'employé responsable chez DPDHL. Vous pouvez également choisir de rester identifiable par votre nom. La boîte de dialogue protégée enregistre uniquement des données à l'intérieur du système de recueil d'alerte, ce qui le rend particulièrement sûr. Il ne s'agit pas d'une forme de communication traditionnelle par e-mail. Les données à caractère personnel seront supprimées de la boîte de dialogue protégée conformément au concept général de suppression décrit au chapitre « Combien de temps conservons-nous les données à caractère personnel ? ». Après la clôture d'une affaire signalée, la boîte de dialogue protégée sera entièrement supprimée après 180 jours sans utilisation.
Lorsque vous soumettez une alerte ou un complément d'information, vous pouvez en même temps envoyer des annexes pour compléter vos renseignements. Si vous souhaitez soumettre une alerte anonyme, veuillez tenir compte de la consigne de sécurité suivante : les fichiers peuvent contenir des données à caractère personnel masquées susceptibles de mettre en péril votre anonymat. Retirez ces données avant de les envoyer. Si vous ne parvenez pas à retirer ces données, ou si vous n'êtes pas sûr de la manière de procéder, veuillez copier le texte de votre annexe dans le texte de votre alerte ou envoyer une copie imprimée du document anonymement à l'adresse figurant dans la note de bas de page, en spécifiant le numéro de référence reçu à la fin du processus d'alerte initial. Il est également possible de soumettre des alertes par d'autres canaux (par exemple lettre, e-mail, etc.). Ces alertes seront transférées manuellement dans le BKMS® System pour être traitées ultérieurement.
Soumission d'alertes par téléphone
Votre anonymat sera également protégé par le BKMS® System si vous soumettez votre alerte par téléphone. Ni DPDHL ni EQS Group n'auront accès à votre numéro de téléphone et ne pourront vous identifier par votre voix. Votre description de l'incident sera enregistrée dans le BKMS® System. Nous souhaitons souligner que la soumission de l'alerte par téléphone ne fonctionne que si vous avez consenti à l'enregistrement de vos paroles. Ensuite, le fichier sonore chiffré est transcrit par l'employé responsable de DPDHL. La base légale pour enregistrer et transcrire votre soumission d'alerte est fondée sur votre consentement selon l'art. 6 (1) a) du RGPD. La soumission d'une alerte par téléphone est volontaire. Vous êtes invité à soumettre votre alerte en passant par les autres canaux de communication proposés si vous ne souhaitez pas être enregistré. Le fichier audio sera supprimé immédiatement après la fin du traitement de votre alerte.
Si vous avez installé une boîte de dialogue protégée à la fin de la soumission de l'alerte par téléphone, vous pouvez recevoir un retour d'information sous la forme d'un enregistrement vocal par l'employé responsable de DPDHL, et vous pouvez ajouter des informations à votre alerte si nécessaire. Vous pouvez également accéder à votre boîte de dialogue protégée dans l'application Web, examiner les retours d'information et apporter des compléments d'information sous forme écrite. Pour protéger la confidentialité de votre alerte ou de votre complément d'information, vous ne pouvez l'écouter ni sur votre téléphone ni dans la boîte de dialogue protégée sur Internet.
Combien de temps conservons-nous vos données à caractère personnel ?
Les données à caractère personnel sont conservées aussi longtemps que nécessaire pour les motifs suivants : clarification de la situation, évaluation de l'alerte ou autre (?), existence d'un intérêt légitime de l'entreprise, présence d'une contrainte légale. Après l'achèvement du traitement de l'alerte, ces données sont supprimées en conformité avec les exigences règlementaires. Si l'alerte est considérée comme non fondée et ne donne pas lieu à une enquête, nous supprimerons rapidement les informations personnelles reçues dans le cadre de cette alerte. Si une enquête est lancée, les informations personnelles seront supprimées dans les deux mois suivant la clôture de l'enquête, à moins qu'une période de conservation plus longue ne soit nécessaire pour mener à bien d'autres procédures, en particulier une action disciplinaire ou juridique, ou qu'elle ne soit autorisée par la législation locale.
Comment sécurisons-nous les données à caractère personnel ?
La communication entre votre ordinateur et le système de recueil d'alerte s'effectue par le biais d'une connexion chiffrée (SSL). Votre adresse IP ne sera pas sauvegardée pendant que vous utilisez le système de recueil d'alerte.
Les données à caractère personnel seront-elles transmises ?
Les alertes entrantes sont reçues par une petite sélection de salariés dotés d'autorisations expresses et spécialement formés des services conformité ou ressources humaines de DPDHL et sont toujours traitées de manière confidentielle. Les employés susmentionnés des services conformité ou ressources humaines de DPDHL évalueront la question et procèderont aux enquêtes plus détaillées requises par le cas spécifique. Au cours du traitement d'une alerte ou de la conduite d'une enquête spéciale, il pourra s'avérer nécessaire de transmettre les alertes à d'autres salariés de DPDHL, par exemple si l'alerte porte sur des incidents survenus dans des filiales ou nécessite une expertise plus approfondie. Ces salariés peuvent être basés dans des pays hors de l'Union européenne ou de l'Espace économique européen, assujettis à des règlementations différentes concernant la confidentialité des données à caractère personnel. Nous garantissons toujours la conformité aux règlementations de protection des données applicables au moment de la diffusion des alertes. Toute personne obtenant l'accès aux données est tenue de les maintenir confidentielles.
Le transfert des alertes aux salariés mentionnés d'autres entreprises du groupe n'est effectué que dans le but de découvrir une conduite illégale ou des violations du code de conduite de DPDHL et des autres politiques, directives et règlements qui y sont mentionnés. Le transfert des alertes est nécessaire pour protéger les intérêts légitimes de Deutsche Post AG et des entreprises du groupe concernées par l'alerte, afin de se conformer aux politiques légales et internes de l'entreprise. L'art. 6 (1) f) du RGPD sert de base légale.
Sauf si la loi applicable l'exige, vos données à caractère personnel ne seront pas révélées à des tierces parties. Si la loi en vigueur l'exige, il peut être nécessaire de divulguer des informations sur l'identité de l'employé auteur de l'alerte aux autorités compétentes impliquées dans une enquête ou une procédure judiciaire ultérieure.
Les prestataires de services externes qui traitent les données en notre nom sont contractuellement tenus de maintenir une stricte confidentialité conformément à l'art. 28 du RGPD. Les prestataires de services suivent nos instructions qui sont garanties par des mesures techniques et organisationnelles, ainsi que par des vérifications et des contrôles.
Vos données ne sont transférées en dehors de l'Espace économique européen (EEE) à d'autres entreprises de DPDHL, à des prestataires de services externes ou à des autorités publiques que lorsque la législation applicable en matière de protection des données le permet. Dans ce cas, nous nous assurerons que des garanties appropriées soient en place pour assurer le transfert de vos données (par exemple nos règles d'entreprise contraignantes ou les clauses contractuelles standard).
La politique de confidentialité de DPDHL régit les normes de notre groupe pour le traitement de vos données.
Quels sont vos droits et ceux des autres personnes concernées ?
En vertu de la législation européenne sur la protection des données applicable, vous et les personnes citées dans l'alerte bénéficiez des droits suivants :
- Droit d'accès aux données : vous pouvez demander des informations sur vos données à caractère personnel traitées.
- Droit de rectification : vous avez le droit de demander la correction de toute donnée inexacte vous concernant.
- Droit d'objection : vous avez le droit de vous opposer au traitement.
- Droit de retirer son consentement : vous avez le droit de retirer votre consentement.
- Droit à la portabilité des données : vous avez le droit de transférer vos données à une autre entreprise.
- Droit à l'effacement/à l’oubli : vous avez le droit, dans certaines circonstances, de demander la suppression de vos données.
- Droit de limiter le traitement : vous avez le droit de demander à limiter la manière dont vos données sont utilisées.
- Droit lié à la prise de décision automatisée, y compris le profilage : vous avez le droit de demander un réexamen du traitement automatisé. Pour l'instant, aucune décision automatisée n'est prise.
- Droit d'introduire une plainte : vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle compétente.
Si le droit d'opposition est revendiqué pour un traitement de données basé sur nos intérêts légitimes, nous examinerons immédiatement si votre opposition est effective. Si tel est le cas, nous ne traiterons plus les données.
Vous pouvez adresser votre demande basée sur les droits ci-dessus ou toute autre question concernant cette politique de confidentialité aux coordonnées mentionnées ci-dessus.
Modification de la présente politique de confidentialité
Nous nous réservons le droit de modifier cette politique de confidentialité de temps en temps en fonction des changements dans nos services, le traitement de vos données ou dans la loi applicable. Nous vous recommandons donc de consulter régulièrement notre politique de confidentialité.
Version : 01/10/2021
