Politique de confidentialité

Politique de confidentialité : 

BASE LEGALE 

  • Articles 13 à 21 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union
  • Loi du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte
  • Décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022
  • Délibération de la CNIL n° 2023-064 du 6 juillet 2023 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles
  • Article L1152-1 du Code du travail relatif au harcèlement moral
  • Article L1152-3 du Code du travail relatif au harcèlement sexuel
  • Article L2312-59 paragraphe 1 du Code du travail relatif aux alertes en cas d'atteinte aux droits des personnes.
  • Article L2312-60 paragraphe 2 du Code du travail relatif aux alertes en cas de danger grave et imminent.

TITULAIRE

Le responsable du traitement des données des données personnelles est NEVERHACK Groupe 7 rue Galvani 75017 PARIS – Rcs Paris 90179017000038

FINALITÉ DU TRAITEMENT

Le traitement vise à assurer une évaluation des pièces transmises.

Le traitement peut concerner des signalements relatifs à des violations de la réglementation nationale et européenne, qui régissent les activités de NEVERHACK Groupe, des principes et règles de conduite contenus dans le Code d'éthique et le Règlement intérieur, ainsi que les dispositions contenues dans la Loi SAPIN II, n° 2016-1691 du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

Il est fait référence à des comportements illégaux ou frauduleux se référant à des employés, des membres de personnes morales ou des tiers qui peuvent déterminer, directement ou indirectement, la responsabilité pénale, l'atteinte à l'intégrité économique et/ou à l'image.

Les données personnelles sont acquises car elles sont contenues dans le rapport et/ou dans les actes et documents qui y sont joints.

TYPE DE DONNÉES TRAITÉES

La réception et la gestion des alertes donnent lieu à des traitements de données personnelles au sens de l’article 9 du RGPD. Seules des données dites « communes » sont traitées (nom, prénom, adresse e-mail, numéro de téléphone). Les traitements ne doivent pas contenir de données particulières telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des données génétiques, des données biométriques dans le but d'identifier de manière unique une personne physique, des données relatives à la santé ou à la vie sexuelle ou à l'orientation sexuelle de la personne (article 9 du RGPD).

Si le signalement contient des données particulières ou des données personnelles relatives à des condamnations pénales ou à des infractions telles que définies par le RGPD, (transmises au lanceur d'alerte ou à des tiers), le Responsable de traitement les détruira, sauf dans les cas où le traitement est autorisé par la loi.

Les données fournies seront traitées en protégeant la confidentialité de l'identité du lanceur d'alerte tout au long de la procédure sous la responsabilité du Responsable du traitement.

BASE JURIDIQUE DU TRAITEMENT

Le traitement répond à une obligation légale pour NEVERHACK Groupe au sens de l’article 6, al. 1, C. du RGPD et de l’article 5.3 Traitement de l’identité de l’auteur d’une alerte du Référentiel de la CNIL relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte, version du 6 juin 2023 (Référentiel - Alertes professionnelles).

MODALITÉS DE TRAITEMENT

Les données personnelles seront traitées avec des outils électroniques pendant le temps strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectés.

Le traitement est réalisé dans le strict respect du RGPD et du Référentiel de la CNIL relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte, version du 6 juin 2023, notamment les dispositions visant le dispositif de recueil et de gestion internes des alertes professionnelles (DAP).

NEVERHACK Groupe, avec le soutien du fournisseur de la plateforme WHISTLEBLOWING, met en œuvre des mesures appropriées pour s'assurer que les données fournies sont traitées de manière adéquate et conformément aux finalités pour lesquelles elles sont gérées.

Conformément aux dispositions des article 24, 25 et 32 du RGPD, NEVERHACK Groupe utilise des mesures de sécurité, organisationnelles, techniques et physiques, pour protéger les informations contre l'altération, la destruction, la perte, le vol ou l'utilisation abusive ou illégitime. 

DURÉE DE CONSERVATION DES DONNÉES

Les données seront traitées le temps strictement nécessaire à la réalisation des finalités indiquées ci-dessus, sans préjudice de toute conservation ultérieure afin de se conformer aux obligations légales dans le respect de la législation en vigueur en matière de protection des données à caractère personnel (article 5, al. 1, e. du RGPD et Article 7 du Référentiel de la CNIL relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte). 

La durée de conservation et d’archivage des données personnelles relatives à une alerte va différer suivant que l’alerte est ou non suivie d’effets.

Si le responsable du traitement décide de donner suite4 à une alerte, ou qu’une action disciplinaire ou contentieuse est engagée, l’ensemble des données à caractère personnel collectées à l’occasion de l’instruction peuvent être conservées jusqu’au terme de la procédure, jusqu’à acquisition de la prescription (six ans) ou épuisement des voies de recours (Article 133-3 du Code Pénal).

Dans le cas où l’instruction de l’alerte ne débouche sur aucune suite, les données à caractère personnel doivent être détruites ou anonymisées dans les deux mois suivants la clôture de l’instruction (Loi Sapin II).

DROITS

Conformément aux dispositions de l’article 15 et suivants du RGPD et les lois applicables, la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel.

Selon les formes prévues par la loi, la personne concernée dispose du droit de demander la rectification des données personnelles inexactes et l'intégration des données incomplètes et d'exercer tout autre droit conformément à l’article 15 et suivants du RGPD.

Dans le cadre d’une procédure disciplinaire, la personne concernée dispose du droit de révoquer, à tout moment, son consentement à la divulgation de son identité sans que cela n'affecte la licéité du traitement, fondé sur le consentement, effectué avant le retrait (article 13 du RGPD).

La personne concernée dispose du droit de s’opposer au traitement de ses données, sous réserve des conditions d’exercice de ce droit conformément aux dispositions de l’article 9 du Référentiel de la CNIL et de l’article 21 du RGPD.

Ces droits peuvent être exercés sur demande effectuée par :

  • Mail à l’adresse : [email protected]
  • Courrier à l’adresse NEVERHACK, 7 rue Galvani, PARIS 75017
Ce portail Web utilise ses propres cookies uniquement à des fins techniques, ne collecte ni ne transfère en aucun cas les données personnelles des utilisateurs. Si vous souhaitez plus d'informations, cliquez à tout moment sur le lien ci-dessous "Cookies".