Politique de Protection des Données relative au dispositif de signalement professionnel
1. Informations Générales
a) Introduction
La présente Politique de protection des données a pour but de vous informer des traitements de données à caractère personnel réalisés dans le cadre de l’utilisation du dispositif de signalement professionnel mis à disposition par METRO ainsi que des droits qui vous sont accordés par le Règlement Général sur la Protection des Données (ci-après « RGPD ») et par toute loi similaire applicable relative à la protection des données.
b) Responsable de traitement
Une distinction doit être faite en termes de responsabilité en matière de protection des données pour les traitements effectués dans le cadre du dispositif de signalement professionnel :
Dans le cas d’un canal local de remontée d’alerte d’une société du Groupe METRO (contact details), sous la responsabilité d’un collaborateur de cette société, cette dernière sera conjointement responsable au sens de l’article 26 du RGPD avec METRO AG.
Dans le cas d’un canal local de remontée d’alerte d’une société du Groupe METRO (contact details), sous la responsabilité d’un collaborateur d’une autre société (« Société assistante »), la société du Groupe METRO concernée sera conjointement responsable au sens de l’article 26 du RGPD avec METRO AG et la Société assistante.
Dans le cas d’une remontée d’alerte réalisée depuis l’outil de remontée d’alerte (« l’Outil de signalement »), la société du Groupe METRO pour laquelle l’alerte a été réalisée sera conjointement responsable au sens de l’article 26 du RGPD avec METRO AG.
METRO AG est responsable de l’exploitation de l’Outil de signalement et de l’attribution des signalements reçus via celui-ci aux bonnes sociétés du Groupe METRO. Le service Compliance Groupe de METRO AG s’assure de la gestion et du suivi de tous les signalements professionnels à travers le Groupe METRO. La responsabilité de METRO AG est limitée à cela pour les signalements reçus via les canaux d’alertes locaux, à moins que METRO AG ne soit concernée par ce signalement d’une autre façon.
La Société assistante réalise les tâches du canal de signalement interne pour la société concernée du Groupe METRO et est responsable du traitement des données effectué dans ce contexte. Par principe, la Société assistante est METRO AG.
La société du Groupe METRO concernée par le signalement est responsable de gérer et de traiter ce signalement Cela inclus, notamment, les mesures permettant de remédier à un incident et l’obligation d’en informer la personne à l’origine du signalement.
L’adresse de contact de METRO AG est Metro-Straße 1, 40235 Düsseldorf. Les adresses de contact des sociétés du Groupe METRO sont accessibles dans les politiques de protection des données des sites internet sur lesquels le canal de signalement local est publié.
Des informations générales relatives à la responsabilité conjointe entre les sociétés METRO sont accessibles via le lien suivant : https://www.metroag.de/en/data-privacy/jointcontrol
c) Délégué à la Protection des Données
Vous pouvez contacter les Délégués à la protection des données de la société METRO que vous souhaitez à tout moment aux coordonnées suivants :
METRO AG, Data Protection Officer, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Les coordonnées des délégués à la protection des données de chaque société du Groupe METRO peuvent être trouvées dans les politiques de protection des données sites internet sur lesquels le canal de signalement local est publié.
2. Information relative au traitement de données personnelles
a) Finalité et base légale
Les canaux de signalement ont pour but de recevoir, de traiter et de gérer de manière sécurisée et confidentielle tout signalement d’une non-conformité ou d’un manquement aux règles Compliance du Groupe METRO (ci-après « METRO »).
Dans les cas pour lesquels METRO est légalement tenu de mettre en place un canal de signalement, le traitement de données personnelles réalisé pour la gestion de ces signalements a pour base légale l’article 6.1.1.c) du RGPD. Dans la mesure où des données à caractère personnel particulières sont traitées, la base légale applicable est l’article 9.2.g) du RGPD ou toute base légale nationale applicable pour le traitement de données à caractère personnel particulières. Par ailleurs, le traitement des données permettant aux sociétés du Groupe de détecter et prévenir des manquements et ainsi d’éviter des dommages pour METRO, ses collaborateurs ou ses clients, est basé sur l’intérêt légitime, article 6.1.1.f) du RGPD.
Dans le cas où le traitement de données personnelles pourrait être basé sur le consentement, notamment lors de la transmission d’information d’identité, la base légale est l’article 6.1.1.a du RGPD ou – pour le traitement des données à caractère personnel particulières, l’article 9.2.a) et g) du RGPD.
Il peut être nécessaire pour les sociétés du Groupe METRO de mettre en place des mesures de suivi pour exécuter ou mettre fin à un service ou à un contrat de travail. La mise en place de ces mesures est fondée sur l’article 6.1.1.b du RGPD ou toute autre base légale nationale.
b) Catégories des données personnelles collectées
L’utilisation des canaux de signalements se fait sur la base du volontariat. Si vous réalisez un signalement via l’un des canaux de signalements, nous collecterons les catégories de données à caractère personnel suivantes :
- Votre nom, si vous choisissez de révéler votre identité ;
- Si vous êtes un collaborateur METRO ou non ; et
- Les noms des personnes et tout autre donnée personnelle de personnes que vous nommerez dans votre signalement.
c) Traitement confidentiel des signalements et Destinataires
Les signalements sont reçus par un groupe de personnes restreint du service Compliance du Groupe METRO, spécifiquement formés et expressément autorisés à y accéder. Ils sont systématiquement traités de manière confidentielle. Les collaborateurs du service Compliance de METRO vont évaluer le signalement et effectueront toute enquête complémentaire requise si besoin. Durant le traitement d’un signalement ou la réalisation d’enquêtes spécifiques, il pourra être nécessaire de partager ce signalement avec d’autres collaborateurs de METRO ou des collaborateurs d’autres sociétés, par exemple dans le cas où le signalement ferait référence à des incidents dans d’autres sociétés. Ces dernières peuvent être basées dans des pays situés en dehors de l’Union européenne ou de l’Espace Economique Européen et être ainsi soumis à des règlementations différentes en matière de protection des données. Nous veillons toujours à ce que les dispositions applicables en matière de protection des données soient respectées lors du traitement des signalements. Toutes les personnes ayant accès aux données sont tenues à des obligations de confidentialité.
La loi nous oblige à informer les personnes visées dans les signalements, à moins que cela ne vienne nuire à l’enquête liée à ce signalement. Ce faisant et dans la limite de ce qui est légalement possible, votre identité en tant que lanceur d’alerte ne sera pas révélée.
Avec votre consentement, les informations contenues dans les signalements seront transmises à des entités externes ; dans le cas contraire, elles ne seront accessibles qu’aux autorités compétentes chargées des enquêtes et des poursuites ou, dans ce même cadre, qu’aux tribunaux et conseils tenus au secret professionnel – dans la limite de ce qui est permis par la loi.
d) Durée de conservation
Les données personnelles sont conservées le temps nécessaire à clarifier la situation et à réaliser une évaluation du signalement, tant que la société en a un intérêt légitime ou tant que cela est requis par la loi. En règle générale, les données sont conservées jusqu’à trois ans après l’examen final du dossier. Si des besoins particuliers le justifient, dans certains cas, la durée de conservation des données peut aller jusqu’à 7 ans.
e) Sécurité des données dans l’Outil de signalement
Toute communication entre votre ordinateur et l’Outil de signalement s’effectue via une connexion chiffrée (SSL). Votre adresse IP ne sera pas stockée pendant votre utilisation de l’Outil de signalement. Afin de maintenir la connexion entre votre ordinateur et l’Outil de signalement, un cookie contenant uniquement l’ID de session est déposé sur votre ordinateur (un cookie dit nul). Ce cookie n’est conservé que jusqu’à la fin de votre session et expire dès lors que vous fermez votre navigateur. Il est possible de créer une boîte aux lettre sécurisée au sein de l’Outil de signalement à l’aide d’un pseudonyme/nom d’utilisateur et d’un mot de passe. Cela vous permet d’effectuer des signalements aux collaborateurs METRO chargés de traiter votre signalement de manière sécurisée soit en votre nom, soit de manière anonyme. Il ne s’agit pas d’une forme de communication standard par courriel.
Lorsque vous soumettez un signalement ou des informations complémentaires, vous pouvez simultanément envoyer des pièces jointes aux collaborateurs de METRO chargés de traitement votre signalement. Si vous souhaitez soumettre un signalement de manière anonyme, veuillez prendre en compte les recommandations de sécurité suivantes : les fichiers peuvent contenir des données à caractère personnel cachées qui pourraient compromettre votre anonymat. Retirer ces données personnelles avant toute transmission de ces fichiers. Si vous n’êtes pas en capacité de pouvoir les retirer ou si vous n’êtes pas certain de savoir comment faire, nous vous invitons à copier le texte présent dans votre pièce jointe directement dans le texte de votre signalement ou à envoyer un document imprimé anonymement à l’adresse indiquée en pied de page, en indiquant le numéro de référence reçu à l’issue du processus de signalement.
L’Outil de signalement est exploité par une société spécialisée, Business Keeper AG, Bayreuther Str. 35, 10789 Berlin, en Allemagne, pour le compte de METRO. Les données personnelles et informations saisies dans l’Outil de signalement sont conservées dans une base de données gérée par Business Keeper AG dans un datacenter hautement sécurisé. Seul METRO a accès à ces données. Business Keeper AG et les tiers n’ont pas accès à ces données. Cela est garanti dans la procédure certifiée à travers des mesures techniques et organisationnelles renforcées. Toutes les données sont stockées de manière chiffrée avec plusieurs niveaux de protection par mot de passe, afin que l’accès soit vraiment restreint à une très petite sélection de personnes expressément autorisées au sein de METRO.
3. Vos droits
En tant que personnes concernées, vous pouvez contacter notre délégué à la protection des données à tout moment aux coordonnées de contact mentionnées au point 1.c) afin d’exercer les droits qui vous sont accordés par le RGPD. Ces droits sont les suivants :
- Le droit de recevoir des informations concernant le traitement de vos données ainsi qu’une copie des données traitées (droit d’accès, article 15 du RGPD)
- Le droit de demander la rectification de données incorrectes ou de compléter des données incomplètes (droit de rectification, article 16 du RGPD)
- Le droit de demander la suppression de vos données personnelles par METRO et, si vos données ont été communiquées, par toutes les autres responsables de traitements (droit à l’effacement, article 17 du RGPD)
- Le droit de demander de limiter le traitement de vos données personnelles (droit à la limitation, article 18 du RGPD)
- Le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par la machine et le droit de transmettre ces données à un autre responsable de traitement (droit à la portabilité, article 20 du RGPD)
- Le droit de vous opposer au traitement de vos données personnelles (droit d’opposition, article 21 du RGPD)
- Le droit de retirer votre consentement à tout moment afin de mettre fin aux traitements de vos données personnelles basés sur le consentement. Le retrait de votre consentement n’affectera pas les traitements basés sur votre consentement réalisés en toute conformité avant le retrait de votre consentement (droit au retrait du consentement, article 7 du RGPD)
- Le droit d’adresser une plainte auprès de toute autorité compétente en matière de protection des données si vous considérez que le traitement de vos données se fait en non-conformité avec le RGPD (droit d’adresser une plainte auprès de l’autorité de protection des données compétente, article 77 du RGPD).
Si vos données personnelles sont traitées sur le fondement de l’intérêt légitime (article 6.1.1.f) du RGPD), vous avez le droit de vous opposer au traitement de vos données personnelles en vertu de l’article 21 du RGPD, à condition que vous invoquiez des raisons tenant à votre situation particulière. Si vous souhaitez exercer votre droit d’opposition, nous vous invitons à envoyer un email aux données de contact mentionnées au point 1.c).
(v 3.01)