POLITIQUE DE PROTECTION DES DONNÉES DU SYSTÈME DE DÉNONCIATION
1. Responsable et délégué à la protection des données
Le responsable est Carthago Reisemobilbau GmbH, Carthago-Ring 1, 88326 Aulendorf, +49 (0)7525 92000.
Délégué à la protection des données : Christoph Boser
Carthago Ring 1, 88326 Aulendorf
Tél. : +49 7525 9200 3000
E-mail : datenschutz@carthago.com
Si vous avez des questions concernant la protection des données, contactez notre délégué à la protection des données par e-mail à l’adresse suivante.
E-mail datenschutz@carthago.com.
2. Objectif de notre système interne de dénonciation
Nous mettons à disposition un système interne de dénonciation afin de pouvoir recevoir, traiter et gérer de manière sûre et confidentielle les dénonciations relatives à des abus potentiels, à des violations de la loi et à d’autres comportements fautifs au sein de l’entreprise.
3. Dénonciateur
Notre système interne de dénonciation est à la disposition des employés et anciens employés de notre entreprise et de tiers (p. ex. clients, partenaires commerciaux, fournisseurs, employés d’entreprises associées).
4. Types de dénonciations
- Dans le cas de dénonciations anonymes, notre système de dénonciation ne collecte et ne traite aucune donnée personnelle du dénonciateur concerné.
- Dans le cas d’une dénonciation confidentielle, seul le gestionnaire externe de notre système de dénonciation CONFDNT dispose des données de contact du dénonciateur, mais celles-ci ne nous sont pas communiquées. Dans le cas d’une dénonciation confidentielle, nous avons la possibilité de communiquer directement avec les dénonciateurs, p. ex. pour confirmer la réception de la dénonciation en question, poser des questions sur les faits et informer les dénonciateurs des mesures prises. Nous ne recevons toutefois aucune information sur l’identité du dénonciateur. Le gestionnaire externe de notre système de dénonciation CONFDNT fait office de « tampon d’anonymisation » entre nous et les dénonciateurs.
- Dans le cadre d’une dénonciation transparente, la personne responsable du traitement des dénonciations au sein de l’entreprise a accès aux données relatives à l’identité du dénonciateur et peut communiquer directement avec ce dernier. Conformément à la directive européenne sur les dénonciateurs, nous sommes tenus de traiter de manière confidentielle l’identité des dénonciateurs, c’est-à-dire que seul(s) le(s) collaborateur(s) qui traite(nt) la dénonciation en question peut(vent) connaître l’identité du dénonciateur, et personne d’autre dans l’entreprise.
5. Données à caractère personnel traitées
Lorsqu’une dénonciation est faite dans le cadre du système de dénonciation, nous traitons les données à caractère personnel suivantes :
- Le nom et les coordonnées du dénonciateur, dans la mesure où ils sont indiqués dans le cadre d’une dénonciation transparente. Dans le cas d’une dénonciation confidentielle, le gestionnaire externe de notre système de dénonciation CONFDNT ne nous transmettra pas les données à caractère personnel du dénonciateur. Dans le cas d’une dénonciation anonyme, aucune donnée à caractère personnel du dénonciateur ne sera traitée.
- L’adresse IP du dénonciateur n’est pas enregistrée pour le traitement d’un rapport au sein de l’application. Afin de préserver la disponibilité, la confidentialité et l’intégrité du serveur et des applications et interfaces qui y sont connectées, les accès au serveur sont journalisés afin de pouvoir identifier et traiter les éventuelles violations de la sécurité. Les accès qui ne peuvent être mis en relation avec aucune violation de la sécurité sont supprimés au plus tard après un mois calendaire du fait de l’intervalle de maintenance.
- L’appartenance à l’entreprise ou la fonction sont traitées si elles sont indiquées dans le cadre d’une dénonciation.
- Les données personnelles des personnes mentionnées dans une dénonciation sont traitées dans le cadre de l’enquête ou du traitement d’une dénonciation.
La communication entre l’ordinateur du dénonciateur et le système de dénonciation se fait via une connexion cryptée (SSL). Pour maintenir la connexion entre l’ordinateur et le système de dénonciation, un cookie est enregistré sur l’ordinateur. Celui-ci ne contient que l’identifiant de session, également appelé cookie Null. Le cookie n’est valable que jusqu’à la fin de la session concernée et est supprimé à la fermeture du navigateur.
6. Traitement confidentiel des dénonciations et transmission
Les dénonciations entrantes sont reçues et traitées par un petit nombre de collaborateurs autorisés. Ces collaborateurs sont expressément tenus de toujours traiter toutes les dénonciations de manière confidentielle. Ces collaborateurs compétents examinent la dénonciation et procèdent, le cas échéant, à un examen plus approfondi des faits en fonction du cas. Dans le cadre de la clarification des faits et, le cas échéant, de l’introduction de mesures ultérieures, il peut s’avérer nécessaire de transmettre les dénonciations à d’autres collaborateurs de l’entreprise. Cela se fait exclusivement dans le cadre de la nécessité de l’enquête ou de l’introduction de mesures. Nous veillons toujours à respecter les dispositions pertinentes de la législation sur la protection des données lors de la transmission de dénonciations. Dans certains cas, il est obligatoire, en vertu de la législation sur la protection des données, d'informer la personne incriminée des accusations portées contre elle. Cette obligation est imposée par la loi lorsqu’il est objectivement établi que la communication d’informations à l’accusé ne peut pas (plus) nuire à l’élucidation concrète de la dénonciation. Dans la mesure où cela est légalement possible, l’identité du dénonciateur n’est pas révélée et il est garanti que l’information ne permette pas de tirer des conclusions sur l’identité du dénonciateur. En cas de publication de fausses informations dans le but de discréditer une personne (dénonciation), le caractère confidentiel de l’identité du dénonciateur ne peut pas être garanti. En cas d’obligation légale ou de nécessité ou de nécessité en matière de protection des données, d’autres catégories de destinataires possibles sont : les autorités de poursuite pénale, les autorités antitrust, d’autres autorités administratives, les tribunaux ainsi que les sociétés d’avocats et d’audit que nous avons mandatées.
7. Création d’un compte
Les dénonciateurs créent un compte pour leur dénonciation. Le compte est accessible via un code QR et/ou un lien individuel. La communication entre les collaborateurs de l’entreprise chargés du traitement de la dénonciation et du dénonciateur peut se faire via le compte. Aucune autre donnée personnelle n’est collectée lors de la création et de l’utilisation du compte. L’utilisation du système de dénonciation peut être enregistrée de manière anonyme, mais il n’est pas possible de remonter jusqu’à l’utilisateur individuel. Les dénonciations individuelles sont clairement identifiées par un numéro d’identification. Le numéro d’identification ne sert en aucun cas à identifier le/les dénonciateur(s), mais uniquement à distinguer de manière logique les différentes dénonciations et les différents dénonciateurs. Les données personnelles indiquées dans le système de dénonciation peuvent être consultées à tout moment par le dénonciateur dans son compte. Le système de dénonciation ne conserve pas d’autres données personnelles que celles indiquées dans le compte. Toutes les données saisies par le dénonciateur sont enregistrées dans une base de données et cryptées individuellement.
8. Bases juridiques
Le traitement des données à caractère personnel dans le cadre du système de dénonciation se fonde sur le respect des obligations légales ainsi que sur notre intérêt légitime prépondérant à détecter et à prévenir les irrégularités et à éviter ainsi les dommages et les risques de responsabilité pour l’entreprise. La base juridique est donc l’art. 6, § 1, point c) et point f) du RGPD en liaison avec §§ 30, 130 de la loi fédérale sur les infractions (OWiG.)
Si une dénonciation concerne l’un de nos collaborateurs, le traitement sert en outre à prévenir et à détecter des infractions pénales ou d’autres violations du droit en rapport avec la relation de travail. Dans ce cas, la base juridique est l’art. 26, § 1, de la loi fédérale sur la protection des données (BDSG).
9. Conservation et suppression
Les données à caractère personnel sont conservées aussi longtemps que nécessaire pour éclaircir et évaluer de manière définitive une dénonciation ou s’il existe un intérêt légitime de l’entreprise ou si une loi l’exige.
Ensuite, ces données sont supprimées conformément aux dispositions légales. La durée de conservation dépend notamment de la gravité du soupçon et de l'éventuel manquement aux obligations signalé.
La suppression des données collectées a lieu en principe dans les deux mois suivant la fin de l'enquête interne.
Si une procédure pénale, disciplinaire ou civile est engagée à la suite d’une faute au sens de la présente directive ou d’une utilisation abusive du système de dénonciation, la durée de conservation peut être prolongée jusqu’à la clôture définitive de la procédure concernée.
Les données à caractère personnel qui ne sont manifestement pas pertinentes pour le traitement d’une dénonciation spécifique ne sont pas collectées ou sont immédiatement supprimées si elles ont été collectées involontairement.
10. Prestataire de services
Notre système de dénonciation est mis à disposition par le prestataire de services Compliance.One GmbH en Allemagne sur la base d’un accord sur le traitement des données conformément à l’article 28 du RGPD.
11. Vos droits en tant que personne concernée
En tant que personne concernée, vous disposez des droits suivants, dans la mesure où les conditions légales sont remplies :
- Droit à l’information, selon l’art. 15 sur le RGPD
- Droit à la rectification, selon l’art. 16 sur le RGPD
- Droit à la suppression, selon l’art. 17 sur le RGPD
- Droit à la limitation du traitement, selon l’art. 18 sur le RGPD
- Droit à la portabilité des données, selon l’art. 20 sur le RGPD
- Droit d’opposition, selon l’art. 21 sur le RGPD
Dans la mesure où le traitement des données repose sur une pondération des intérêts légitimes, vous avez le droit de vous opposer à ce traitement des données. Pour cela, des raisons légitimes découlant de votre situation particulière doivent exister.
Vous avez également le droit de déposer une plainte concernant le traitement des données auprès des autorités de contrôle de la protection des données.
12. Modification des présentes informations sur la protection des données
Nous nous réservons le droit d’adapter occasionnellement les présentes informations sur la protection des données afin qu’elles soient toujours conformes aux exigences légales actuelles et/ou afin de refléter les modifications du traitement des données. Les nouvelles informations sur la protection des données s’appliquent alors à votre nouvelle utilisation.