Politique de confidentialité

 Version Décembre 2023

La présente politique de confidentialité définit les conditions dans lesquelles la société collecte et utilise vos données à caractère personnel. Elle peut évoluer en fonction du contexte légal et réglementaire.

La collecte et le traitement des données à caractère personnel se fait dans le respect de la réglementation en vigueur applicable au traitement de données à caractère personnel et en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.

1. Les données collectées

Les catégories de données suivantes peuvent notamment être collectées lorsqu’une personne a recours au dispositif d’alerte :

  • Données d’identification personnelle de type nom, prénom, fonction et coordonnées mail et téléphonique du lanceur d’alerte, des personnes faisant l’objet d’une alerte et des personnes intervenant dans le recueil ou le traitement de l’alerte ;

  • Données d’identification électronique de type adresse IP, cookies, logs de connexion, etc. ;

  • Données de géolocalisation ;

  • Données sensibles qui relèvent de l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l’orientation sexuelle ;

  • Toutes autres données nécessaires à la vérification des faits.

2. L’identité du responsable de traitement

La société agit en tant que « Responsable de traitement », en ce sens qu’elle détermine les moyens et finalités de traitement des données à caractère personnel. La société peut être contactée à l'adresse mail suivante dpo@ geh.lu

3. Les destinataires et sous-traitants

Vos données à caractère personnel peuvent être transmises aux destinataires suivants :

  • Aux tiers intervenant dans le cadre d’une procédure disciplinaire ou judiciaire relative à une alerte ;

  • A l’hébergeur et éditeur de la Plateforme : la société PLUG’N’COM, ayant son siège à ZAE Wolser G.220– L3434 DUDELANGE (LUXEMBOURG).

4. Les finalités du traitement

Ces différentes données sont collectées et traitées dans le cadre du dispositif d’alerte permettant à toute personne de signaler des dysfonctionnements pouvant affecter l’activité, la réputation et/ou qui pourraient gravement engager la responsabilité de la société. 

Cette finalité se fonde sur les normes internationales, européennes et nationales telles que mais sans s'y limiter et sous réserve d'éventuelles législations nouvelles applicables : les principes de l'Organisation de coopération et de développement économiques (OCDE), le US Foreign Corrupt Practices Act (FCPA) de 1977, le UK Bribery Act de 2010, la Directive (UE) 2019/1937 du 23 octobre 2019  etc.

5. La durée de conservation

Les données seront :

  • immédiatement détruites lorsque l’alerte n’entre pas dans le champ du dispositif d’alerte tel que défini au point 1 ;

  • conservées pour une durée de deux (2) mois après la fin de la procédure de vérification si l’alerte entre dans le champ du dispositif d’alerte et qu’aucune procédure disciplinaire ou judiciaire n’est initiée ;

  • conservées jusqu’à la fin de la procédure lorsque des procédures disciplinaires ou judiciaires sont initiées à l’encontre de la personne faisant l’objet de l’alerte, ou à l’encontre de l’auteur d’une alerte abusive. Dans le cas où il y aurait une obligation d’archivage des données, ces dernières seront stockées sur un système d’information distinct à accès limité pour une durée n’excédant pas les délais de procédures contentieuses.

Les données collectées seront conservées dans l’Union.

6. La sécurité

Les mesures organisationnelles, techniques, logicielles et physiques appropriées sont mises en œuvre par notre société afin de protéger les données à caractère personnel contre d’éventuelles altérations, destructions et accès non autorisé.

7. Vos droits

En application de la réglementation applicable en matière de données à caractère personnel, en tant que titulaire des données à caractère personnel collectées par notre société vous disposez notamment des droits suivants :

  • rectifier, mettre à jour ou supprimer les données vous concernant ;

  • exercer votre droit d’accès afin d’avoir le détail des données à caractère personnel vous concernant collectées par notre société. Dans ce cas, avant la mise en œuvre de ce droit, nous nous réservons la possibilité de demander un justificatif d’identité ;

  • s’opposer au traitement de vos données à caractère personnel. L’exercice de ce droit n’est possible que dans l’une des deux situations suivantes : lorsque l’exercice de ce droit est fondé sur des motifs légitimes ou vise à faire obstacle à ce que les données recueillies soient utilisées à des fins de prospection commerciale ;

  • demander la portabilité de vos données lorsque le traitement est basé sur votre consentement et que le traitement est effectué à l’aide de procédés automatisés ;

  • demander la limitation du traitement de vos données, pendant une certaine durée, lorsque :

    • vous contestez l’exactitude des données à caractère personnel,

    • le traitement est illicite mais que vous vous opposez à l’effacement des données à caractère personnel en cause,

    • le responsable de traitement n’a plus besoin de vos données à caractère personnel mais que celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice,

    • vous vous êtes opposé à un traitement fondé sur des motifs légitimes ;

  • d’introduire une réclamation auprès d’une autorité de contrôle : Si vous considérez que notre société ne respecte pas ses obligations en matière de protection de données à caractère personnel, vous pouvez adresser une plainte ou une demande auprès de l’autorité compétente. A titre indicatif et sans prétendre à l’exhaustivité :

    • « Commission Nationale de l’Informatique et des Libertés » en FRANCE, 

    • « Commission Nationale de contrôle de la protection des Données à Caractère Personnel » au LUXEMBOURG, 

    • « Autorité de protection des données » en BELGIQUE, 

    • « Agencia de Protección de Datos » en ESPAGNE, 

    • « Garante per la protezione dei dati personali » en ITALIE, 

    • «National Authority for Data Protection and Freedom of Information» en HONGRIE,

    • « Information Commissioner's Office » au ROYAUME-UNI, 

    • Etc.

Ces différentes demandes pourront être faites via la Plateforme https://geh.lanceuralertes.com/