Ancre
Objet du traitement
Le traitement a pour objet, selon la teneur du message, précisé dans le formulaire de contact :
- (1) le recueil et la gestion des alertes éthiques émises par tout lanceur d’alerte interne (y compris les collaborateurs occasionnels) ou externe, relatives à un manquement aux règles éthiques du Groupe et aux lois et règlements applicables en matière de lutte contre la corruption (dispositif d’alerte interne « anticorruption » prévu par la loi Sapin II) ;
- (2) le recueil des signalements émis par les lanceurs l’alerte dans le cadre de la procédure de recueil des signalements (dispositif d’alerte général requis par la loi Sapin II)
- (3) le recueil et la gestion des alertes relatives à des risques envers les droits humains, les libertés fondamentales, la santé ou la sécurité des personnes ou l’environnement, en application de la loi française relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre ,
- (4) le recueil et la réponse aux demandes d’information ou questions relatives à l’éthique (notamment celles liées à l’application de la « Charte éthique » de SUEZ) ou au devoir de vigilance du Groupe (notamment celles relatives à la « Politique des droits humains » de SUEZ), indépendamment de toute obligation légale ou de toute réglementation applicable.
Base légale
Ce traitement relève du respect d’obligations légales imposant la mise en œuvre d’un dispositif d’alerte dans les cas visés au (1) à (3) ci-dessus et de l’intérêt légitime de SUEZ dans les autres cas visés au (4) ci-avant.
Catégories de données traitées
Les catégories de données personnelles collectées directement et indirectement par la Direction de l’Ethique et de la Conformité de SUEZ sont strictement nécessaires à la vérification des faits allégués et peuvent être les suivantes, selon le contexte :
Au stade de l’émission de l’alerte :
Les informations communiquées par les auteurs de signalements dans le cadre de l’alerte doivent rester factuelles et présenter un lien direct avec l’objet de l’alerte. En application du principe de minimisation, il incombe au lanceur d’alerte de limiter la communication de données personnelles, au strict nécessaire, ceci afin de garantir le respect des droits et libertés des personnes susceptibles d’être concernées par l’alerte.
Au stade de la réception et de l’instruction de l’alerte :
- (i) Identité, fonctions et coordonnées de l'émetteur de l'alerte le cas échéant, dans la mesure où l’auteur de l’alerte fournit ces données ;
- (ii) Identité, fonctions et coordonnées des personnes faisant l'objet de l’alerte ;
- (iii) Identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;
- (iv) Faits signalés ;
- (v) Éléments recueillis dans le cadre de la vérification des faits signalés ;
- (vi) Compte-rendu des opérations de vérification ;
- (vii) Suites données à l'alerte.
Cas particulier des données sensibles et des données d’infractions :
Les données sensibles peuvent notamment être traitées dès lors que le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, conformément à l’article 9-2-f du RGPD.
Les données collectées et traitées dans le cadre des dispositifs de recueil d’alertes professionnelles peuvent également comprendre des données relatives aux infractions, condamnations et mesures de sûreté concernant des personnes physiques. Elles ne peuvent être collectées et traitées que dans des conditions définies à l’article 10 du RGPD et à l’article 46 de la LIL.
Caractère obligatoire ou facultatif du recueil des données
Le recueil des données est nécessaire à l’exécution de ce traitement.Personnes concernées
Les personnes concernées sont l’auteur de l’alerte et la personne faisant l’objet de l’alerte.Destinataires des données
Les données personnelles collectées sont exclusivement destinées aux personnes habilitées à en connaître au regard de leurs attributions (la Direction du Développement Durable, la Direction des Ressources humaines, la Direction des Risques Environnementaux et des Industriels en cas de questions relatives au devoir de vigilance ou le Directeur Ethique et de la Conformité spécialement chargée de la gestion des alertes et le Déontologue du Groupe pour toute question relatives à l’éthique) et aux personnes désignées par elles ou habilitées en interne (par exemple, les déontologues locaux, le cas échant, la Direction Juridique), afin qu’elles puissent les assister dans l’enquête qui suivra la réception de l’alerte. La Direction de l’Audit interne peut également être chargée de conduire des investigations complémentaires à la demande de SUEZ. Dans des cas limités justifiant le recours à de prestataires externes, les données peuvent être transmises à des destinataires liés par un contrat avec SUEZ ou avec leurs entités concernées, précisant leurs obligations au titre du RGPD.
Certaines dispositions légales ou réglementaires encadrent strictement la communication d’informations (en particulier, les données permettant d’identifier l’émetteur de l’alerte ou la personne mise en cause par un signalement après vérification du caractère fondé de l’alerte), sauf à l’autorité judiciaire. Si nous étions appelés à divulguer de tels éléments, le consentement préalable écrit de la personne concernée serait recueilli au moyen d’un formulaire spécifique.
Transfert des données hors UE
Les données personnelles émanant de lanceurs d’alertes (internes ou externes) ou portant sur des collaborateurs situés en dehors de l’Union Européenne taritées au niveau de la Direction de l’Ethique et de la Conformité du Groupe peuvent, dans certains cas, faire l’objet de communications aux personnels habilités au sein d’autres entités du groupe SUEZ ou à des prestataires externes (en particulier des avocats) dans le cadre de transferts en dehors de l’Union européenne, pour les seuls besoins de la vérification ou du traitement des alertes. Afin d’assurer la continuité de la protection des données personnelles, ces transferts sont soumis à la mise en place de garanties appropriées, conformément à l’Article 44 du RGPD.Durées de conservation
Les données personnelles collectées seront conservées pendant la durée nécessaire au traitement.
Si l’alerte répond à des obligations légales ou réglementaires (alertes relevant des cas (1) à (3) ci-dessus), mais qu’elle n’est suivie d’aucune modification des règles internes, d’aucune procédure disciplinaire ou action judiciaire, les données à caractère personnel figurant dans l’alerte sont détruites ou archivées après anonymisation au plus tard deux mois à compter de la clôture des opérations de vérification.
Lorsqu’une procédure disciplinaire ou judiciaire est initiée à l’encontre de la ou des personnes visée(s) par l’alerte, ou à l’encontre de l’auteur d’une alerte abusive, les données à caractère personnel relatives à l’alerte sont conservées par SUEZ ou ses entités concernées jusqu’au terme de la procédure. Elles sont ensuite archivées après anonymisation ou détruites au plus tard deux mois après la fin des procédures.
A l’exception des cas où aucune suite n’est donnée à l’alerte, SUEZ peut conserver les données collectées sous forme d’archives intermédiaires pendant une durée minimale aux fins d’assurer la protection du lanceur de l’alerte ou de permettre la constations des infractions continues.
Les données peuvent être conservées plus longtemps, en archivage intermédiaire, si SUEZ ou ses entités sont soumis à une obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou si elles souhaitent se constituer une preuve en cas de contentieux, ceci dans la limite du délai de prescription/forclusion applicable.
Dans les autres cas (cf. cas (4) ci-dessus), les données collectées sont détruites ou anonymisées sans délai.
Vos droits (personnes susceptibles d'émettre un signalement, personnes susceptibles d'être visées par l'alerte ou personnes dont les données personnelles sont effectivement traitées dans le cadre du dispositif d'alerte, telles que le lanceur d'alerte, les personnes visées par l'alerte, les victimes présumées des faits, les témoins, les personnes entendues lors de l'enquête)
Conformément à la réglementation applicable en matière de données à caractère personnel, vous disposez d’un droit d’accès, de rectification, d’effacement (sauf dans les cas (1) à (3) ci-dessus), d’opposition (sauf dans les cas (1) à (3) ci-dessus), de limitation du traitement de vos données que vous pouvez exercer par courriel à l’adresse [email protected] ou par courrier auprès du Délégué à la Protection des Données (DPO) de SUEZ (Tour CB21, 16 place de l’Iris, 92040 La Défense Cedex), en précisant votre nom, prénom et adresse.
L’exercice du droit d’accès ne doit pas permettre à la personne qui l’exerce d’accéder aux données à caractère personnel relatives à d’autres personnes physiques.
La personne faisant l’objet d’une alerte ne pourra en aucun cas obtenir communication de l’identité de l’émetteur de l’alerte sur le fondement de son droit d’accès.
Dans le cas d’alertes éthiques, le droit de rectification ne doit notamment pas permettre la modification rétroactive des éléments contenus dans l’alerte ou collectées lors de son instruction. Son exercice, lorsqu’il est admis, ne peut avoir pour effet d’empêcher la reconstitution de la chronologie des éventuelles modifications d’éléments importants de l’enquête. Ce droit ne peut être exercé que pour rectifier les données factuelles à l’appui d’éléments probants, sans que soient effacées ou remplacées les données, même erronées, collectées initialement.
Pour exercer vos droits, merci de joindre la copie d’une pièce d’identité en cours de validité, sauf si les éléments communiqués dans le cadre de votre demande permettent de vous identifier de façon certaine. Pour mieux connaitre vos droits, vous pouvez consulter le site de la CNIL (www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles)
Si vous estimez que la réponse du DPO ne vous donne pas satisfaction, vous pouvez déposer une réclamation par courrier auprès de la Commission Nationale Informatique et Libertés, 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 ou en ligne (https://www.cnil.fr/).
(1) Articles 6 et suivants de la loi n° 2016 1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (« loi Sapin II) »
Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d'alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l'Etat
(2) Article 17.II – 2°) de la loi Sapin II susvisée et recommandations de l’AFA prises en application de l’Art 3.2 de la loi Sapin II (lutte contre la corruption te le trafic d’influence).
(3) LOI n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre
(Page modifiée le 09/01/2020)