Politique de confidentialité
Afin de simplifier le signalement de violations potentielles de la conformité et de garantir des mesures de suivi efficaces, l'ERGO Group AG à Düsseldorf (ci-après dénommé « ERGO ») a mis en place ce système de lancement d'alerte sécurisé et confidentiel, qui répond également aux exigences de la directive européenne sur les lanceurs d'alerte (directive (UE) 2019/1937). Le système permet la réception et le traitement sécurisés et confidentiels d'informations relatives à des violations de la loi. L'utilisation du système de lancement d'alerte est volontaire.
Le système de lancement d'alerte est géré par EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Allemagne, pour le compte d'ERGO. La communication entre votre ordinateur et le système de lancement d'alerte est cryptée (SSL). Les données à caractère personnel saisies dans le système de lancement d'alerte sont cryptées et protégées par un mot de passe et stockées dans une base de données exploitée par EQS Group dans un centre de données à haute sécurité situé en Allemagne. EQS Group GmbH n'a aucun accès aux données.
Qui est responsable du traitement des données ?
1) La partie responsable des signalements transmis à Compliance ERGO est l'entreprise suivante :
ERGO Group AG
ERGO-Platz 1
40198 Düsseldorf
E-mail : hinweisgeber@ergo.de
Si vous avez des questions au sujet des informations sur la confidentialité des données, veuillez contacter le responsable de la protection des données auprès d’ERGO. Pour joindre le responsable de la protection des données par courrier, adressez votre courrier à « Datenschutzbeauftragter » à l'adresse indiquée ci-dessus. Vous pouvez également envoyer un e-mail à datenschutzbeauftragter@ergo.de.
2) La partie responsable des signalements adressés au médiateur/ombudsman central chez ERGO est l'entreprise suivante :
BDO AG Wirtschaftsprüfungsgesellschaft
Markus Brinkmann
Fuhlentwiete 12
20355 Hambourg
Allemagne
Téléphone : +49 (40) 33 47 53 74 35
E-mail : ombudsmann.ergo@bdo.de
3) La partie responsable des signalements adressés Compliance Officer / responsable(s) des entreprises locales individuelles est l'entreprise locale qui peut être sélectionnée lors du processus de signalement/lancement d’alerte. Les dispositions de protection des données spécifiques au pays s'appliquent également dans ce cas.
Quelles catégories de données utilisons-nous et d'où proviennent-elles ?
L'utilisation du système de lancement d'alerte est volontaire. Si vous nous les communiquez, nous collectons les données et informations à caractère personnel suivantes dans le cadre de votre signalement :
- Votre prénom, votre nom et vos coordonnées
- Si vous êtes employé par une entreprise faisant partie du groupe ERGO
- Les noms des personnes et d'autres données à caractère personnel de personnes que vous citez dans votre signalement.
L'adresse IP de votre ordinateur ne sera pas stockée pendant ou après votre utilisation du système de lancement d'alerte. Pour maintenir la connexion entre votre ordinateur et le système de lancement d'alerte, un cookie est sauvegardé sur votre ordinateur, qui ne contient que l'identifiant de la session (appelé cookie de session). Ce cookie est valide uniquement jusqu'à la fin de votre session et expire lorsque vous fermez votre navigateur. Votre visite sur le système de lancement d'alerte peut toutefois laisser des traces sur votre ordinateur. Si vous accédez au système de lancement d'alerte à partir d'un ordinateur de l'entreprise, vous devez alors veiller notamment à effacer les données temporaires (cache) de votre navigateur.
Il est possible d'installer une boîte de dialogue protégée au sein du système de lancement d'alerte ; cette boîte est protégée à l'aide d'un pseudonyme/nom d'utilisateur et d'un mot de passe choisis individuellement. Cela vous permettra d'échanger des messages et des fichiers de manière anonyme et sécurisée avec le Compliance Officer / responsable chargé de traiter votre signalement. Il ne s'agit pas d'une communication classique par e-mail. Les données sont stockées exclusivement dans le système de lancement d'alerte et font donc l'objet d'une protection particulière.
À quelles fins et sur quelle base juridique traitons-nous vos données ?
Nous traitons vos données à caractère personnel en conformité avec les dispositions du règlement général sur la protection des données (RGPD) et avec toutes les autres lois et réglementations applicables, telles que la loi allemande sur la protection des données (BDSG).
La finalité du traitement des données est l'obligation pour ERGO, conformément à l'article 23 (6) de la Loi allemande sur la surveillance des assurances, d'établir un processus permettant aux employés et aux tiers de signaler des violations potentielles ou réelles de lois et d'ordonnances importantes tout en protégeant la confidentialité de leur identité. Il est dans l'intérêt légitime d'ERGO de découvrir, d'enquêter, de suspendre et de sanctionner efficacement et en toute confidentialité les activités illégales et les violations graves des obligations des employés au sein du groupe afin d'éviter les dommages et les risques de responsabilité. L'entreprise à laquelle vous transmettez votre signalement traitera les données à caractère personnel ainsi que les noms et autres données associés au signalement et à son contenu de manière confidentielle et exclusivement à des fins de réception et de traitement sûrs et confidentiels. Si vous partagez des informations dans le système de lancement d'alerte, le système vous demandera votre consentement. Ce consentement constitue la justification légale du traitement de vos données à caractère personnel conformément à l'art. 6 (1)(a) du RGPD. Si vous révoquez votre consentement, le traitement peut être fondé sur l'art. 6 (1)(f) RGPD et les réglementations nationales transposant la directive européenne sur les lanceurs d'alerte (p. ex., l'article 10 de la Loi allemande sur la protection des lanceurs d'alerte), dans la mesure où vos données à caractère personnel sont nécessaires dans le cas individuel pour protéger les intérêts légitimes susmentionnés d'ERGO, si ces intérêts sont majeurs ou impérieux.
Les données sont-elles partagées ?
Si vous divulguez votre nom dans le système de lancement d'alerte, nous veillons à ce que votre identité de lanceur d'alerte soit traitée de manière confidentielle.
Seule une très petite sélection de personnes expressément autorisées dans le rôle (de la conformité), qui sont responsables du traitement de votre signalement (en fonction de votre sélection du destinataire du signalement), recevra l'accès aux données que vous avez partagées. En fonction du contenu du signalement, certaines personnes expressément autorisées du service d'audit interne, ainsi que le responsable de la protection des données et certaines personnes autorisées dans les filiales, peuvent avoir accès aux données dans la mesure où cela est nécessaire pour le traitement de certaines informations. Si ces filiales ont leur siège dans des pays situés en dehors de l'Union européenne ou de l'Espace économique européen, des garanties de protection des données adéquates et appropriées seront assurées. Si une décision d'adéquation spécifique de la Commission européenne n'existe pas pour le pays tiers en question, ces mesures de sécurité consisteront notamment en des règles internes contraignantes de protection des données ou des clauses contractuelles types de l'Union européenne. Dans des cas exceptionnels, nous pouvons nous écarter des mesures de sécurité énoncées à l'art. 49 du RGPD. Cela peut être le cas, par exemple, si le transfert est nécessaire pour établir, exercer ou défendre des revendications juridiques.
Les enquêtes sur les informations signalées sont traitées de manière strictement confidentielle. Toute personne ayant accès aux données est tenue de les garder secrètes. Votre nom et les circonstances qui pourraient compromettre votre identité en tant que lanceur d'alerte ne sont en principe pas divulgués. Néanmoins, nous sommes tenus de divulguer votre nom dans certains cas exceptionnels, par exemple lorsque la loi nous y oblige.
S'il existe un motif de suspicion, l'information peut être transmise à un autre service interne afin d'engager une procédure pour sanctionner les contrevenants ou auprès des autorités de justice pénale.
Informations sur la (les) personne(s) concernée(s) par le signalement
Dans certains cas, nous sommes légalement tenus d'informer les personnes impliquées que nous avons reçu des informations à leur sujet. Cela ne peut avoir lieu que lorsque la notification aux personnes impliquées ne compromet plus l'enquête sur les informations reçues. De plus, la personne impliquée peut disposer d'un droit d'accès aux données qui la concernent. Dans la mesure où la loi le permet, aucune information directe ou indirecte concernant le lanceur d'alerte ne sera divulguée au cours de ce processus.
Pendant combien de temps vos données seront-elles conservées ?
Nous conservons les données à caractère personnel en rapport avec votre signalement aussi longtemps que nécessaire pour l'enquête et aussi longtemps que nous sommes obligés de conserver les données à caractère personnel sur la base de périodes de conservation légales ou contractuelles. Après cette période, les informations reçues sont soit supprimées, soit rendues anonymes conformément aux exigences légales du pays concerné ; en d'autres termes, toute référence à votre identité de lanceur d'alerte sera définitivement et irrévocablement effacée.
Droit de retirer le consentement et droit d'objection
Vous avez le droit de retirer votre consentement à tout moment avec effet pour l'avenir et de vous opposer au traitement de vos données à caractère personnel sans en subir les inconvénients. Nous cesserons le traitement dans la mesure où nous n'avons pas d'intérêts légitimes impérieux à traiter les données sur la base de l'art. 6 (1)(f) et de l'art. 21 du RGPD (traitement des données sur la base d'intérêts légitimes), dans la mesure où les données ne sont pas traitées pour établir, exercer ou défendre des revendications juridiques, ou que les réglementations nationales transposant la directive européenne sur les lanceurs d'alerte (p. ex., l'article 10 de la Loi allemande sur la protection des lanceurs d'alerte) nous permettent de poursuivre le traitement. Le retrait du consentement et l'objection peuvent être émis sous n'importe quelle forme et doivent être adressés à l'entreprise à laquelle vous avez transmis votre signalement.
Quels sont les autres droits des utilisateurs du système de lancement d'alerte ?
Outre votre droit d'être informé du traitement de vos données à caractère personnel, vous disposez – conformément aux dispositions légales – d'un droit d'accès conformément à l'art. 15 du RGPD, d'un droit de rectification conformément à l'art. 16 du RGPD, du droit à l'effacement conformément à l'art. 17 du RGPD, du droit à la limitation du traitement conformément à l'art. 18 du RGPD et du droit à la portabilité des données RGPD conformément à l'art. 20 du RGPD. Sur demande, nous mettrons à disposition les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Pour exercer ces droits, veuillez contacter l'entreprise à laquelle vous avez transmis votre signalement.
Vous avez également le droit de déposer une plainte auprès d'une autorité de surveillance de votre choix (art. 77 du RGPD en lien avec l'article 19 du BDSG).
L'autorité compétente pour ERGO Group AG est :
Représentant d'état compétent pour la protection des données et la liberté d'information de Rhénanie du Nord-Westphalie
Kavalleriestr. 2-4
40213 Düsseldorf
Téléphone : 0211/38424-0
Fax : 0211/38424-999
E-mail : poststelle@ldi.nrw.de
Internet : https://www.ldi.nrw.de/
Version : février 2023