Politique de protection des données du dispositif d’alertes professionnelles
1. Informations Générales
a) Introduction
La présente politique de protection des données a pour but de vous informer des traitements de données à caractère personnel réalisés dans le cadre de l’utilisation de notre dispositif d’alertes professionnelles ainsi que de vos droits au sens du Règlement Général sur la Protection des Données (RGPD) et de toute autre législation applicable en matière de protection des données.
b) Responsable de traitement
METRO AG, Metro-Straße 1, 40235 Düsseldorf, est responsable de traitement au sens du RGPD pour les traitements décrits ci-après.
c) Délégué à la Protection des Données
Vous pouvez contacter notre Délégué à la Protection des Données à tout moment aux coordonnées suivantes : METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de.
2. Informations relatives au Traitement des Données à caractère personnel
a) Finalité du dispositif d’alertes professionnelles et bases légales
Le dispositif d’alertes professionnelles a pour but de recevoir, traiter et gérer de manière sûre et confidentielle les rapports relatifs à des violations de règles de conformité du groupe METRO (METRO). Le traitement de données à caractère personne dans le cadre du dispositif d’alerte professionnel est fondé sur les intérêts légitimes de METRO à détecter et prévenir les comportements répréhensibles et ainsi à éviter tout préjudice pour METRO, ses employés et ses clients. La base légale du traitement est l’article 6.1.1.f.
b) Catégories de Données à caractère personnel collectées
L’utilisation du dispositif d’alerte professionnelle se fait sur la base du volontariat. Si vous soumettez un rapport via le dispositif d’alerte professionnelle, nous recueillerons les données et informations personnelles suivantes :
- Votre nom, si vous ne choisissez pas l’anonymat,
- Si vous êtes employé par METRO, et
- Les noms des personnes et autres données personnelles des personnes que vous nommez dans votre rapport.
c) Traitement confidentiel des Rapports
Les rapports entrants sont reçus par une petite sélection de collaborateurs de la direction Conformité de METRO expressément autorisés ainsi que spécialement formés et sont toujours traités de manière confidentielles. Les collaborateurs de la direction Conformité de METRO évalueront l’enjeu et procèderont à toute enquête supplémentaire requise le cas échéant. Au cours de traitement d’un rapport ou de la conduite d’une enquête, il pourra être nécessaire de partager le rapport à d’autres collaborateurs de METRO ou à des employés d’autres sociétés, par exemple si le rapport fait référence à des incidents survenus dans les filiales. Ces dernières peuvent être basées dans des pays en dehors de l’Union européenne ou de l’Espace économique européen avec des réglementations différentes en matière de protection des données à caractère personnel. Nous veillons toujours à ce que les réglementations applicables en matière de protection des données soient respectées lors du partage des rapports. Toutes les personnes qui reçoivent l’accès aux données sont tenus d’en respecter la confidentialité.
Par principe, nous sommes tenus par la loi d’informer les personnes faisant l’objet d’une accusation que nous avons reçu un rapport les concernant, à moins que cela ne menace la poursuite des enquêtes sur le rapport. Ce faisant et tant que cela reste légalement possible, votre identité de lanceur d’alerte ne sera pas révélée.
d) Durées de conservation
Les données à caractère personnel sont conservées le temps nécessaire pour clarifier la situation et effectuer une évaluation du rapport ou tant que METRO en a un intérêt légitime ou encore pendant la durée exigée par la loi. Une fois le traitement du rapport terminé, les données seront supprimées conformément aux exigences légales.
e) Sécurité des données et destinataires
La communication entre votre ordinateur et le dispositif d’alerte professionnelle se fait par une connexion chiffrée (SSL). Votre adresse IP ne sera pas conservée pendant votre utilisation du dispositif d’alerte professionnelle. Afin de maintenir une connexion entre votre ordinateur et le dispositif d’alerte professionnelle, un cookie est déposé sur votre ordinateur, stockant simplement l’ID de session (un cookie di « nul »). Ce cookie n’est valable que jusqu’à la fin de votre session et expire lors que vous fermez votre navigateur. Il est possible de créer une boite aux lettre sécurisée dans le dispositif d’alerte professionnelle avec un pseudonyme/nom d’utilisateur et un mot de passe choisi librement. Cela vous permet d’envoyer des rapports de manière sûre aux collaborateurs METRO en charge de les traiter soit nominativement soit de manière anonyme. Ce système ne conserve les données qu’au sein du dispositif d’alerte professionnelle. Il ne s’agit pas d’une forme de communication standard par email.
Lorsque vous soumettez un rapport ou un ajout, vous pouvez simultanément envoyer des pièces jointes au collaborateur METRO en charge de traiter le rapport. Si vous souhaitez soumettre un rapport anonyme, veillez tenir compte des conseils de sécurité suivants : les fichiers peuvent contenir des données à caractère personnel cachées qui peuvent compromettre votre anonymat. Retirez-les avant tout envoi. Si vous ne pouvez pas retirer ces données ou si vous n’êtes pas certain de savoir comment procéder, copier le texte de votre pièce jointe dans le corps du texte du rapport ou envoyez une version imprimée du document de manière anonyme à l’adresse indiquée en bas de page, en citant le numéro de référence reçu à la fin du processus de signalement.
Le dispositif d’alerte professionnelle est exploité par une société spécialisée, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin (Allemagne), pour le compte de METRO. Les données à caractère personnel et les informations saisies dans le dispositif d’alerte professionnelle sont stockées dans une base de données exploitée par EQS Group GmbH dans un centre de données de haute sécurité. Seul METRO a accès à ces données. EQS Group GmbH et d’autres tiers n’ont pas accs aux données. Ceci est garantit dans la procédure de certification au travers de mesures techniques et organisationnelles étendues. Toutes les données sont stockées sous forme cryptée avec plusieurs niveaux de protection par mot de passe, de sorte que l’accès est limité à un nombre très restreint de personnes expressément autorisées au sein de METRO.
3. Vos droits
En tant que personne concernée, vous pouvez contacter votre DPO à tout moment par quelque moyen que ce soit aux coordonnées mentionnées au point 1.c) afin d’exercer vos droits conformément au RGPD. Ces droits sont les suivants :
- Le droit de recevoir des informations sur le traitement des données et une copie des données traitées (droit d’accès, article 15 du RGPD)
- Le droit d’exiger la rectification de données inexactes ou de compléter des données incomplètes (droit de rectification, article 16 du RGPD)
- Le droit d’exiger l’effacement des données à caractère personnel et, dans le cas où les données à caractère personnel ont été rendues publiques, la transmission de la demande de suppression à ces autres responsables du traitement (droit à l’effacement, article 17 du RGPD)
- Le droit de demander la limitation du traitement des données (droit à la limitation du traitement, article 18 du RGPD)
- Le droit de recevoir les données personnelles vous concernant dans un format structuré, couramment utilisé et lisible par une machine et de demander la transmission de ces données à un autre responsable de traitement (droit à la portabilité, article 20 du RGPD)
- Le droit de s’opposer au traitement des données afin de le faire cesser (droit d’opposition, article 21 du RGPD)
- Le droit de retirer un consentement donné à tout moment afin d’arrêter un traitement de données qui est basé sur votre consentement. Le retrait n’affectera pas la légalité du traitement fondé sur le consentement avant le retrait (droit de retirer son consentement, article 7 du RGPD)
- Le droit de déposer une plainte auprès d’une autorité de contrôle si vous considérez que le traitement des données constitue une violation du RGPD (droit de déposer une plainte auprès d’une autorité de contrôle, article 77 du RGPD).
Vous avez le droit de vous opposer à tout moment au traitement de vos données sur la base de l’article 6 alinéa 1 point f du RGPD (traitement des données sur la base d’un équilibre des intérêts) s’il existe des raisons pour cela découlant de votre situation particulière. Si vous vous y opposez nous ne traiterons plus les données personnelles, à moins que nous puissions prouver des raisons impérieuses et applicables pour le traitement, qui l’emportent sur vos intérêts, droits et libertés, ou que le traitement serve à faire valoir, exercer ou défendre des droits légaux. Cette opposition doit être adressée à notre DPO (cf Contact au point c) des présentes).