Protection des données
Objectif du traitement des données
Conformément aux obligations découlant de la loi sur le crédit (KWG) et d'autres dispositions en matière de surveillance financière, aux dispositions de la loi sur le blanchiment d'argent (GwG) ainsi qu'à l'obligation prévue par la loi sur la protection des lanceurs d'alerte (HinSchG) et aux éventuelles obligations découlant de la loi sur le devoir de diligence dans la chaîne d'approvisionnement (LkSG), un système de signalement interne numérique a été mis en place sous le nom d'AdvoWhistle. AdvoWhistle fait partie intégrante du système de gestion de la conformité ainsi que de la gestion des risques.
Les collaborateurs, clients, partenaires commerciaux ou autres personnes souhaitant signaler des faits peuvent utiliser AdvoWhistle pour signaler de manière sécurisée et confidentielle tout soupçon de violation des lois et des règles internes. Cela vise à favoriser la détection et la prévention des violations graves des règles et à éviter des risques et des dommages importants.
Responsabilité
Le responsable du traitement des données à caractère personnel est, dans le cadre d'une relation de mandat d'avocat, Bette Westenberger Brink Rechtsanwälte PartGmbB, Grosse Langgasse 1A, 55116 Mainz, Allemagne, téléphone +49 6131 287700, e-mail advowhistle@bette.legal (ci-après avocats de confiance).
Les responsables du contenu sont l'avocate Stephanie Kappen et l'avocat Christian Faber. Le responsable de la protection des données de Bette Westenberger Brink Rechtsanwälte est joignable à l'adresse susmentionnée ainsi qu'à l'adresse datenschutz@bette.legal.
Infrastructure technique
Les avocats-conseils utilisent le logiciel du système d'alerte du prestataire de services techniques iComply GmbH, Große Langgasse 1A, 55116 Mayence, Allemagne.
Les données personnelles et les informations qui y sont introduites sont stockées dans une base de données exploitée par le prestataire technique dans un centre de données certifié ISO/IEC 27001. La consultation des données n'est possible que pour les avocats de confiance expressément autorisés. Le cryptage de bout en bout de toutes les données, la protection par mot de passe à plusieurs niveaux, les mesures techniques et organisationnelles et les certifications régulières garantissent que les prestataires techniques, l'exploitant du centre de données et les autres tiers n'ont pas accès aux données.
Bases juridiques
La base juridique pour le traitement des indications qui relèvent du champ d'application de la loi sur la protection des informateurs est l'obligation légale conformément à l'article 6, paragraphe 1, point c) du RGPD, en liaison avec le § 10 de la loi sur la protection des informateurs (HinSchG).
La base juridique du traitement des signalements relatifs à des violations des règles internes réside dans l'intérêt légitime prépondérant à la détection et à la prévention de violations graves des règles, ainsi qu'à la prévention des risques et des dommages qui en découlent, conformément à l'article 6, paragraphe 1, point f), du RGPD.
Si un signalement concerne des risques liés aux droits de l'homme ou à l'environnement, ou la violation d'obligations en matière de droits de l'homme ou d'environnement, le traitement des données à caractère personnel se fonde sur l'article 6, paragraphe 1, point c) du RGPD, en liaison avec l'article 8 de la LkSG.
Si un signalement concerne des violations des dispositions relatives à la lutte contre le blanchiment d'argent, le traitement des données à caractère personnel se fonde sur l'article 6, paragraphe 1, point c), du RGPD en liaison avec l'article 11a de la loi allemande sur le blanchiment d'argent (GwG).
Si un signalement concerne des violations des dispositions en matière de surveillance bancaire, telles que la loi sur le crédit (KWG) et les règlements qui en découlent, ainsi que d'autres dispositions dont le respect est contrôlé par l'Autorité fédérale de surveillance financière (BaFin) dans le cadre de la surveillance des marchés financiers (par exemple, le règlement CRR, le règlement sur les abus de marché, le règlement SSM, règlement PRIIPS, règlement sur les prospectus), la loi sur le commerce des valeurs mobilières (WpHG) et les règlements qui en découlent, le traitement des données à caractère personnel dans le cadre de ce système d’alerte se fonde sur l’article 6, paragraphe 1, point c), du RGPD en liaison avec les dispositions applicables en matière de surveillance financière.
Utilisation du portail de signalement
L'utilisation d'AdvoWhistle se fait sur une base volontaire. Lors de la remise d'un signalement, AdvoWhistle collecte les données et informations personnelles suivantes :
- personne signalant l'incident : nom (si vous révélez votre identité), coordonnées (si vous les mettez à disposition)
- personnes concernées par les incidents : prénom et nom, informations sur les incidents et les soupçons de violation de la loi et des règles.
- Témoins et/ou tiers mentionnés dans l'avis (par ex. clients, fournisseurs, collègues ou partenaires commerciaux) : prénom et nom, coordonnées.
Des pièces jointes peuvent être transmises lors de l'envoi de remarques et de compléments. Si l'anonymat doit être préservé, les données personnelles cachées doivent être supprimées avant l'envoi. Si cela n'est pas possible, seul le texte de ces fichiers peut être copié dans le formulaire de notification numérique ou des copies imprimées de ces fichiers peuvent être envoyées à l'adresse postale des avocats de confiance.
Confidentialité
Les informations entrantes sont reçues par un cercle restreint d'avocats de confiance expressément autorisés et sont toujours traitées de manière confidentielle. Les avocats de confiance examinent les faits et, le cas échéant, procèdent à un examen plus approfondi des faits en fonction du cas. Toute personne ayant accès aux données est tenue à la confidentialité.
Afin de poursuivre le traitement des informations reçues, il est régulièrement nécessaire de transmettre des informations au client. Dans la mesure où cela est convenu, les avocats-conseils demandent toujours l'accord explicite de la personne qui a fourni l'information avant de la transmettre.
Dans la mesure où le client est domicilié en dehors de l'Union européenne et où il existe dans ce pays des réglementations divergentes en matière de protection des données personnelles, les avocats-conseils veillent toujours à ce que les dispositions pertinentes de la législation sur la protection des données soient respectées lors de la transmission d'informations.
Information des personnes mises en cause
Les avocats-conseils ne sont en principe pas tenus d'informer les personnes mises en cause de la réception d'informations les concernant, étant donné que les avocats bénéficient de l'exception au secret professionnel prévue à l'article 14, paragraphe 5, point d) du RGPD. Le contenu des informations est collecté et traité dans le cadre de la relation client.
Droits des personnes concernées
Les personnes dont les données personnelles sont traitées (personnes concernées) ont le droit d'obtenir gratuitement, sur demande, des informations sur les données personnelles enregistrées à leur sujet, leur origine, leur destinataire et la finalité du traitement des données. Dans la mesure où nous traitons vos données sur la base de notre intérêt légitime, vous avez le droit de vous opposer au traitement (droit d'opposition) en présence de motifs légitimes découlant de votre situation particulière.
En outre, les personnes concernées ont le droit de rectifier des données à caractère personnel inexactes, le droit de supprimer des données à caractère personnel, le droit de limiter le traitement des données à caractère personnel, le droit à la portabilité des données.
Les personnes concernées ont également le droit de déposer une plainte auprès d'une autorité de contrôle. Les personnes concernées peuvent à cet effet s'adresser à l'autorité de surveillance de leur lieu de résidence ou de travail habituel ou aux avocats de confiance.
Durée de conservation des données
LOI SUR LA PROTECTION DES LANCEURS D'ALERTE (HINSCHG)
La documentation des signalements et les données à caractère personnel qu'elle contient sont en principe supprimées trois ans après la clôture de la procédure. Dans certains cas, la documentation peut être conservée plus longtemps afin de répondre aux exigences de la loi sur la protection des informateurs (HinSchG) ou d'autres dispositions légales, tant que cela est nécessaire et proportionné. Une évaluation finale est en outre conservée à des fins de documentation.
LOI SUR LES OBLIGATIONS DE VIGILANCE DE LA CHAÎNE D'APPROVISIONNEMENT (LKSG)
La documentation des avis et les données à caractère personnel qu'elle contient sont en principe supprimées sept ans après la fin de la procédure. Dans certains cas, la documentation peut être conservée plus longtemps afin de répondre aux exigences de la loi sur les obligations de vigilance de la chaîne d'approvisionnement (LkSG) ou d'autres dispositions légales, tant que cela est nécessaire et proportionné. Une évaluation finale est en outre conservée à des fins de documentation.