Avis relatif à la protection des données
La protection de vos données à caractère personnel est importante pour nous, et nos processus opérationnels sont conçus dans ce sens. Nous traitons les données (à caractère personnel) que vous nous communiquez dans le cadre d'une alerte de manière strictement confidentielle et uniquement dans le respect des dispositions légales.
Dans ce qui suit, nous souhaitons vous informer sur la collecte, le traitement et l'utilisation des données à caractère personnel dans le cadre du système de recueil d'alerte. Veuillez lire très attentivement les informations au sujet de la confidentialité avant de soumettre une alerte.
1 Responsable du traitement
Le responsable du traitement du système de recueil d'alerte (BKMS® System, accessible sur https://www.bkms-system.net/voestalpine) conformément au règlement général sur la protection des données1 (« RGPD »), est
1. voestalpine AG
voestalpine-Strasse 1
4020 Linz, Autriche
E-mail : group-dataprotection@voestalpine.com
2. ses filiales
(pour les coordonnées actuelles, voir https://www.voestalpine.com/locations)
en tant que responsables du traitement indépendants (ci-après « voestalpine », « nous » ou « notre »)
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
2 Objet et cadre juridique du système de recueil d'alerte
Le système de recueil d'alerte (BKMS® System) est destiné à recevoir et à traiter des alertes sur les infractions (suspectées) aux lois ou aux règles de conformité de voestalpine par une voie sûre et confidentielle. Le traitement des données (à caractère personnel) que vous avez partagées dans le cadre du BKMS® System sert à découvrir et à empêcher les mauvaises pratiques et à éviter les dommages associés, non seulement pour le groupe voestalpine, mais aussi pour nos employés et nos clients. La base juridique de ce traitement des données (à caractère personnel) est l'art. 6 al. 1 point f) du RGPD (intérêts légitimes du responsable du traitement à découvrir et à empêcher les mauvaises pratiques et à éviter les dommages associés, non seulement pour le groupe voestalpine, mais aussi pour nos employés et nos clients). En outre, le traitement des données est dans l'intérêt public, important (art. 6 al. 1 point e) du RGPD), qui consiste à prévenir et découvrir les infractions pénales grâce aux informations reçues et à dissuader la commission d'infractions pénales grâce à l'existence de systèmes de recueil d'alerte. Pour les filiales pour lesquelles un système de recueil d'alerte est obligatoire selon la directive sur les lanceurs d'alerte et ses lois de transposition nationales, l'art. 6 al. 1 point c) du RGPD (respect d'une obligation légale) doit également être utilisé comme base juridique.
Nous vous demandons de ne pas inclure dans votre alerte des catégories spéciales de données à caractère personnel (notamment des données indiquant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance syndicale ainsi que des données génétiques et biométriques, des données de santé ou des données concernant l'activité ou l'orientation sexuelle d'une personne physique). Dans la mesure où vous partagez néanmoins ces données, la base juridique de ce traitement est l'art. 9 al. 2 point f) du RGPD (constatation, exercice ou défense de droits en justice).
Les données relatives aux jugements des tribunaux en vertu du droit pénal et aux actes criminels ou aux mesures de sécurité associées ne sont traitées que dans la mesure où cela est autorisé par les lois de l'Union européenne ou des États membres, qui offrent des garanties appropriées pour les droits et libertés des personnes impliquées.
3 Utilisation du système de recueil d'alerte et type de données à caractère personnel collectées
3.1 Type de données à caractère personnel traitées
L'utilisation du système de recueil d'alerte se fait sur la base du volontariat. Si vous soumettez une alerte dans le système de recueil d'alerte, nous traitons les données à caractère personnel et les informations suivantes, concernant les personnes impliquées énumérées ci-dessous, que vous fournissez volontairement dans le cadre de votre alerte :
Lanceur d'alerte/personne qui soumet l'alerte :- Votre nom si vous décidez (volontairement) de révéler votre identité
- Si vous êtes employé de l'entreprise concernée
- Quelle relation vous avez avec l'entreprise concernée
- La désignation et une brève description de la situation
- D'autres données à caractère personnel vous concernant et concernant les personnes nommées dans l'alerte, que vous fournissez volontairement dans le cadre de l'alerte
Au cours du traitement, nous pouvons également vous demander de fournir des données supplémentaires qui faciliteraient le traitement de votre alerte. Le partage d'informations se fait toujours sur la base du volontariat. Ces données entrent dans les catégories suivantes :
- Coordonnées privées et professionnelles (par exemple nom, numéro de téléphone, e-mail, adresse)
- Date de naissance
- Relation avec voestalpine (par exemple fournisseur, employé, client, partenaire commercial)
- Données sur les employés de voestalpine
- Autres données à caractère personnel qui contribuent au traitement du cas concret et que vous partagez volontairement
Autres parties affectées nommées par le lanceur d'alerte (par exemple personnes accusées, témoins, personnes disposant d'informations) :- Nom et autres données à caractère personnel partagées par le lanceur d'alerte dans le cadre de l'alerte
En fournissant des réponses complètes aux questions posées dans le contexte de l'alerte, vous nous aiderez à traiter votre alerte. Veuillez noter que dans la mesure où les données (à caractère personnel) décrites ne sont pas fournies ou ne sont pas fournies dans la mesure nécessaire ou si nous ne sommes pas en mesure de collecter ces données, nous risquons de ne pas pouvoir traiter votre alerte ou le traitement de votre alerte risque d’être retardé.
3.2 Utilisation du portail d'alerte
La communication entre votre appareil (ordinateur, tablette, téléphone portable, etc.) et le système de recueil d'alerte s'effectue par le biais d'une connexion cryptée (SSL). Votre adresse IP ne sera pas stockée au cours de votre utilisation du système de recueil d'alerte. Pour maintenir la connexion entre votre appareil et le BKMS® System, un cookie est enregistré sur votre appareil, qui ne contient que l'ID de la session (aussi appelé « cookie de session »). Ce cookie est valide uniquement jusqu'à la fin de votre session et expire lorsque vous fermez votre navigateur.
Toute information reçue sera traitée par le comité d'alerte de voestalpine AG comme d'habitude ou, dans des cas particuliers, directement par la filiale concernée et sera toujours traitée de manière confidentielle.
4 Transfert et partage avancé
Dans le cadre du traitement d'une alerte, il est nécessaire de partager une alerte, en tout ou en partie, avec les employés de voestalpine AG responsables du traitement, avec les services compétents et les filiales qui sont impliqués dans l'objet de l'alerte ainsi que, dans certains cas, avec des consultants externes (par exemple des avocats, auditeurs, interprètes/traducteurs ou des experts médico-légaux qui enquêtent sur votre alerte pour le compte de voestalpine).
Dans ce cadre, voestalpine AG et les entreprises du groupe affectées ont un intérêt légitime au transfert et au traitement des données par voestalpine AG dans la mesure du traitement des cas, car souvent, les violations potentielles ne sont pas, ou pas suffisamment, clarifiées et écartées au niveau local, et nécessitent donc un examen et une intervention de la société mère du groupe. Pour ces raisons, l'entreprise du groupe concernée a un intérêt légitime à traiter les données et à les transférer à voestalpine AG, et voestalpine AG a un intérêt légitime à recevoir et à traiter ultérieurement les données en utilisant le BKMS® System.
Vos informations ne seront communiquées qu'aux personnes qui en ont un besoin urgent pour traiter votre alerte. Nous garantissons toujours la conformité aux réglementations de protection des données applicables au moment du partage des alertes. Toute personne obtenant l'accès aux données est tenue de les maintenir confidentielles.
En outre, les données peuvent être partagées avec d'autres parties compétentes (par exemple les autorités publiques) dans la mesure où nous sommes obligés de le faire en vertu de dispositions légales ou de décisions exécutoires des autorités publiques ou des tribunaux.
4.1 Sous-traitants
Le système de recueil d'alerte est exploité par une entreprise spécialisée, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlin, Allemagne, pour le compte de voestalpine.
voestalpine AG agit en tant que sous-traitant au sens de l'art. 28 du RGPD concernant l'utilisation du BKMS® System et de l'assistance de premier niveau pour les entreprises du groupe.
Les données à caractère personnel et les informations saisies dans le système de recueil d'alerte sont conservées dans une base de données dans un centre de données hautement sécurisé opéré par EQS Group GmbH. Seule voestalpine peut accéder aux données. EQS Group GmbH et d'autres tiers n'ont pas accès aux données. Ceci est garanti dans la procédure certifiée par le biais de mesures techniques et organisationnelles extensives. Toutes les données sont sauvegardées chiffrées avec de multiples niveaux de protection par mot de passe, de sorte à en restreindre l'accès à un nombre très limité de personnes expressément autorisées chez voestalpine (voir ci-dessus, « Transfert et partage avancé »). La vidéo produit sur le site Internet de EQS Group GmbH (www.eqs.bkms-system.com) fournit une explication brève et concise du fonctionnement du BKMS® System.
4.2 Partage avec des destinataires en dehors de l'UE ou de l'EEE
Les destinataires décrits dans cette partie 4 peuvent être situés dans des pays hors de l'Union européenne (« pays tiers »), dans lesquels les lois applicables ne garantissent pas le même niveau de protection des données que dans votre pays d'origine. Dans ce cas, toute transmission conformément aux exigences légales n'a lieu que s'il existe une décision d'adéquation de la Commission européenne pour le pays tiers, si des garanties appropriées ont été convenues avec le destinataire (par exemple des clauses contractuelles types de l'UE), si le destinataire participe à un système de certification approuvé, s'il existe des règles d'entreprise contraignantes conformément à l'art. 47 du RGPD ou s'il existe une dérogation pour des situations spécifiques conformément à l'art. 49 du RGPD (par exemple le transfert est nécessaire pour la constatation, l'exercice ou la défense de droits en justice). Vous pouvez nous demander un récapitulatif des destinataires dans les pays tiers et une copie des règles spécifiquement convenues pour assurer un niveau de protection des données approprié. Pour en faire la demande, veuillez utiliser les informations fournies dans la partie « Contact ».
5 Durée du stockage, périodes de conservation
Les données à caractère personnel sont conservées aussi longtemps que nécessaire pour clarifier la situation et procéder à une évaluation finale ou aussi longtemps qu'il y a un intérêt légitime de la part de l'entreprise ou que la conservation est requise par la loi. Ensuite, ces données seront supprimées ou anonymisées en conformité avec les exigences règlementaires.
6 Droits des personnes concernées
Conformément à la législation européenne sur la protection des données, vous, le lanceur d'alerte, et les personnes concernées qui sont mentionnées dans l'alerte jouissez d'un droit d'information, de rectification, d'effacement, de limitation du traitement, de portabilité et d'objection au traitement de vos données à caractère personnel. Vous avez également la possibilité de porter plainte auprès d'une autorité de contrôle.
7 Informations au sujet des autres personnes concernées
S'il existe une obligation légale, nous informerons d'autres personnes concernées (par exemple, les personnes accusées, les témoins, les personnes disposant d'informations, etc.) que nous avons reçu une alerte les concernant. Votre identité en tant que lanceur d'alerte ne sera pas divulguée (dans la mesure où cela est légalement possible) et il sera également garanti qu'il n'est pas possible de tirer des conclusions permettant de découvrir votre identité. Si vous soumettez délibérément de fausses alertes dans le but de discréditer une personne (dénonciation), la confidentialité ne peut être garantie. La base juridique de ce traitement des données à caractère personnel est l'art. 6 al. 1 point c) du RGPD (respect d'une obligation légale).
8 Note sur l'envoi d'annexes
Lorsque vous soumettez une alerte ou un complément d'information, vous pouvez en même temps envoyer des annexes à l'employé responsable chez voestalpine. Si vous souhaitez soumettre une alerte de façon anonyme, veuillez prendre note de la consigne de sécurité suivante : les fichiers peuvent contenir des données à caractère personnel masquées susceptibles de mettre en péril votre anonymat. Supprimez ces données avant d'envoyer des documents. Si vous ne parvenez pas à retirer ces données, ou si vous n'êtes pas sûr de la manière de procéder, veuillez copier le texte de votre annexe dans le texte de votre alerte ou envoyer une copie imprimée du document anonymement à l'adresse figurant dans la note de bas de page, en spécifiant le numéro de référence reçu à la fin du processus d'alerte.
9 Contact
Si vous avez des questions sur la protection des données ainsi que pour établir vos droits décrits précédemment, vous pouvez contacter l'organisation de protection des données de voestalpine à group-dataprotection@voestalpine.com ou
en écrivant à voestalpine AG, Legal, M&A and Compliance, voestalpine-Strasse 1, 4020 Linz, Autriche.
10 Modification de l'avis relatif à la protection des données
Le présent avis relatif à la protection des données est modifié de temps en temps. Merci par conséquent de toujours vous baser sur la dernière version de notre déclaration de protection des données.
Version : octobre 2022
(Pour simplifier la lecture du texte, nous n'utilisons pas de formulation non genrée. Lorsque des références aux personnes sont formulées au masculin, ces formulations s'appliquent à égalité à tous les genres.)