Aux termes du Règlement UE 679/2016 (ou « RGPD ») relatif à la protection des données personnelles et leur libre circulation, Rummo SpA (ou plus bas, sous forme abrégée, « Rummo »), est tenu de fournir certaines informations concernant l’utilisation des données personnelles aux fins indiquées plus bas, communiquées dans le cadre de la procédure de lancement d’alertes et acquises via des outils informatiques et/ou via d’autres modalités indiquées dans la documentation spécifique. Toutes les données personnelles seront traitées conformément à la législation en vigueur en matière de protection des données à caractère personnel, à savoir le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques eu égard au traitement des données à caractère personnel ainsi qu’à la libre circulation de ces données (ou « RGPD »), le décret législatif italien n° 196/2003 amendé par le décret législatif n° 101/2018 (« Code de confidentialité ») ainsi que toute autre norme relative à la protection des données à caractère personnel applicable en Italie, y compris les dispositions de l’Autorité de contrôle (plus bas, conjointement au RGPD, « Règlement sur la confidentialité »), dans le plus scrupuleux respect du droits et des libertés fondamentaux, en particulier en concernant la confidentialité de l’identité des personnes concernées et la sécurité du traitement.
Responsable du traitement
Le Responsable du traitement est Rummo SPA, en la personne de son représentant légal pro tempore, siège social Via Dei Grandi Maestri Pastai n° 1, 82100 Benevento (Italie), numéro de TVA 01418030621.
Le Responsable du traitement peut être contacté par mail en écrivant à gdpr@pastarummo.it ou par courrier postal adressé à Rummo SpA, Via Dei Grandi Maestri Pastai n° 1, 82100 Benevento (Italie).
Nature des données traitées
Les données à caractère personnel acquises, auxquelles se réfère la présente note d’information, sont pour l’essentiel celles communiquées par la personne concernée via l’utilisation de la solution « Software as a Service » (SaaS), GlobalLeaks (système numérique de lancement d’alerte), qui peut être utilisée dans le respect des dispositions qui en règlent l’application.
La procédure de lancement d’alertes est conçue pour protéger l’anonymat du lanceur d’alerte. Il est possible, en suivant les instructions indiquées à la page dédiée, de masquer sa propre adresse IP. L’opérateur chargé de la gestion et de la transmission des alertes n’est autorisé à communiquer aucune donnée à caractère personnel, à moins que le lanceur d’alertes ne les ait lui-même communiquées afin de faciliter les activités d’enquête et/ou les procédures judiciaires.
Les données traitées appartiennent aux types suivants :
Alerte anonyme
- Données personnelles de la personne signalée (par exemple nom, prénom, lieu et date de naissance) ;
- Données professionnelles de la personne signalée (par exemple service auquel elle appartient, fonctions dans l’entreprise, nature des relations entretenues avec la société ou d’autres tiers, profession) ;
- Toute éventuelle relation entre la personne signalée et le lanceur d’alerte ;
- Données d’état civil d’éventuels témoins ;
- Situation professionnelle des témoins ;
- Éventuelle relation du témoin avec le lanceur d’alerte.
Dans certaines conditions, pour procéder à l’examen de l’alerte, des informations complémentaires peuvent être demandées, y compris l’indication des données d’état civil du lanceur d’alerte dans le cas où elles n’auraient pas été précédemment fournies. Dans tous les cas, il n’est possible de donner suite aux lancements d’alerte que si elles sont suffisamment détaillées et étayées, à savoir à condition qu’elles permettent de faire ressortir des faits et des situations en les reliant à des contextes spécifiques.
Signalement avec identification du lanceur d’alerte
Outre les données précédemment indiquées concernant la personne signalée et les éventuels témoins, il faut mentionner les données suivantes :
- Les données d’état civil du lanceur d’alerte (par exemple nom, prénom, lieu et date de naissance) ;
- Les coordonnées du lanceur d’alerte (par exemple, adresse mail, numéro de téléphone, adresse postale);
- Les données à caractère professionnel (par exemple le service d’appartenance au sein de l’entreprise, la nature des rapports entretenus avec la société ou autres tiers, profession);
- Les images ou les messages audio relatifs à l’alerte lancée permettant d’identifier les personnes enregistrées;
- Toute autre information relative à l’alerte que le lanceur d’alerte déciderait de partager avec le Responsable du traitement pour mieux étayer son alerte, en relation à:
- Des conduites illicites pertinentes aux termes du Décret législatif italien 231/2001 ou à des violations du modèle d’organisation et de gestion de l’entité ;
- Des irrégularités et/ou des comportements illicites, de commission ou d’omission, qui constitueraient ou pourraient constituer une violation des principes établis dans le Code d’éthique adopté, des politiques et des règles de l’entreprise et/ou qui pourraient se traduire par une fraude ou un dommage, même potentiel, envers des collègues, des actionnaires et des parties prenantes au sens général ou qui constitueraient des actes à caractère illicite ou préjudiciables pour les intérêts de la réputation de l’entreprise ;
- Des activités et des paiements inappropriés ou suspects, autres que les dépenses ou contributions, ou les demandes, directes ou indirectes, formulées par des agents publics, des entités privées ou autres personnes, relatives à des dons, ainsi que toute violation présumée.
Autres données à caractère personnel objet de traitement
Aux termes des nouveautés introduites par le Décret législatif italien 24/2023, la protection est accordée, non seulement aux personnes susmentionnées qui lancent des alertes, procèdent à des signalements ou effectuent des révélations publiques, mais aussi aux personnes qui pourraient faire l’objet de représailles, y compris indirectement, en raison du rôle joué dans la procédure de lancement d’alerte, de révélation publique ou de dénonciation et/ou de la relation particulière qui les lie au lanceur d’alerte ou à la personne qui a procédé au signalement, qui pourraient être ainsi identifiées :
- Données à caractère personnel d’identification se rapportant au facilitateur (la personne physique qui assiste le lanceur d’alerte dans la procédure de lancement d’alerte et qui opère dans le même environnement de travail et dont l’assistance doit rester confidentielle) ;
- Données à caractère personnel d’identification pouvant être mises en relation avec des personnes se trouvant dans le même environnement de travail que le lanceur d’alerte, que la personne qui a porté plainte ou la personne qui a fait une révélation publique et liées à elles par un lien affectif ou de parenté stable jusqu’au quatrième degré ;
- Données à caractère personnel d’identification se rapportant à des collègues de travail du lanceur d’alerte, de la personne qui a porté plainte ou de la personne qui a effectué une révélation publique, qui travaillent dans le même environnement de travail que cette personne et qui entretiennent une relation habituelle avec cette personne.
La communication de données de nature particulière visées à l’article 9 du RGPD n’est ni prévue ni requise (telles que, à seul titre d’exemples, des informations sur l’état de santé, l’origine raciale et/ou ethnique, religieuse et/ou ayant trait à des convictions idéologiques, à l’appartenance syndicale ou à l’orientation sexuelle), ainsi que les données relatives aux condamnations pénales et aux infractions conformément à l’article 10 du RGPD. Toutefois, aux fins de la gestion de l’alerte, le Responsable pourra avoir connaissance, à condition qu’elles aient été volontairement renseignées dans les champs présents dans le formulaire de lancement d’alerte, de ces données, lesquelles ne seront utilisées que dans la mesure strictement nécessaire à la gestion de l’alerte, dans le plus scrupuleux respect des principes de proportionnalité et de nécessité et, si elles sont jugées non pertinentes aux fins du traitement, elles ne feront l’objet d’aucun autre traitement.
Finalités du traitement des données
Les données à caractère personnel sont collectées et traitées à des fins strictement liées à la gestion des alertes concernant des comportements illicites, relatifs à des activités et/ou à des comportements qui diffèrent des procédures mises en œuvre par l’entreprise, à savoir la violation des règles de déontologie professionnelle et/ou des principes d’éthique visés par la législation en vigueur – interne et externe – et/ou à des comportements illicites ou frauduleux imputables aux salariés, aux membres des organes de la société ou à des tiers (clients, fournisseurs, consultants et/ou collaborateurs), pour lutter contre les comportements illicites ou les irrégularités, les violations de normes, les actions susceptibles de causer des dommages au patrimoine ou à l’image de l’entreprise et pour se doter d’un système de lancement d’alerte conforme aux dispositions de la législation ayant valeur d’obligation visant à vérifier la véracité de l’alerte et à réaliser toutes les activités nécessaires à sa gestion, en atténuant/éliminant les effets et l’adoption des mesures qui en découlent.
Base juridique
Les bases juridiques du traitement des données à caractère personnel pour les finalités indiquées ci-dessus se rattachent à :
- La nécessité de respecter les obligations légales auxquelles le Responsable du traitement est soumis (voir notamment l’art. 6, alinéas 2bis et suivants du Décret législatif italien n° 231 du 8 juin 2001) ;
- La nécessité de constater, d’exercer ou de défendre un droit en justice.
Durée de conservation des données
Les données sont conservées le temps strictement nécessaire à la réalisation des finalités pour lesquelles elles sont traitées ou dans les termes établis par les lois, règles et réglementations nationales et communautaires auxquelles l’organisation doit se conformer. Le Responsable de traitement a notamment défini les durées de conservation indiquées ci-dessous :
- Les alertes jugées non pertinentes et classées sur la base des dispositions des procédures internes adoptées par le Responsable du traitement seront supprimées dans un délai de 60 jours après la fin de la vérification des faits exposés dans l’alerte elle-même ;
- Toutes les autres alertes reçues des canaux d’alerte autorisés, tous les documents joints à l’alerte ou reçus pendant la phase d’enquête seront conservés pendant le délai de prescription applicable à la plupart des données à compter de la date de clôture de l’alerte. Par ailleurs, passé les délais de conservation indiqués ci-dessus, les alertes ne pourront être conservées sous forme anonymisée qu’à des fins statistiques uniquement.
Confidentialité et protection du lanceur d’alerte
Le Responsable du traitement conformément à l’art. 6 du Décret législatif italien 231/2001, modifié par l’art. 2 de la loi n° 179/2017, protège la confidentialité de l’identité du lanceur d’alerte dans les activités de gestion de l’alerte et interdit tout acte de représaille ou acte discriminatoire, direct ou indirect, contre le lanceur d’alerte pour des raisons liées, directement ou non, à l’alerte elle-même. Par conséquent, à l’exception des cas dans lesquels la responsabilité au titre de la calomnie et de la diffamation serait engagée conformément aux dispositions du code pénal italien ou de l’art. 2043 du code civil italien et, dans les cas où la confidentialité n’est pas opposable aux termes de la loi (par exemple enquêtes pénales, fiscales ou administratives, inspections des organes de contrôle), l’identité du lanceur d’alerte sera protégée dès la réception de l’alerte et à chaque étape ultérieure, conformément aux dispositions actuellement en vigueur de la règlementation en matière de confidentialité. L’identité du lanceur d’alerte ne peut donc être révélée que dans les cas où a) la contestation de l’accusation disciplinaire se révélerait fondée, en tout ou en partie, dans l’alerte et la connaissance de l’identité du lanceur d’alerte serait absolument indispensable à la défense de la personne objet du signalement ; b) existeraient des dispositions contraignantes qui obligeraient Rummo Spa à révéler l’identité du lanceur d’alerte. Quiconque recevra et/ou participera à la gestion des alertes est tenu de protéger la confidentialité de ces informations. La violation de l’obligation de confidentialité engage la responsabilité disciplinaire, sans préjudice des autres formes de responsabilité prévues par la loi.
Transfert de données hors de l’UE
Aucune donnée n’est transférée vers des territoires situés hors de l’UE
Droits de la personne concernée (articles 15, 16 et 17 du Règlement UE 679/16)
La personne concernée a le droit d’accéder aux données à caractère personnel, d’obtenir la rectification ou l’effacement de celles-ci ou encore la limitation du traitement qui la concerne ; de s’opposer au traitement, d’obtenir la portabilité des données, de retirer son consentement sans préjudice de la légitimité du traitement, basé sur le consentement donné avant le retrait. En cas de violation dans le traitement des données à caractère personnel, la personne concernée peut présenter une plainte auprès du Responsable du traitement, de l’Autorité garante ou de l’Autorité judiciaire compétente. Les droits de la personne concernée peuvent être exercés au siège de la société aux coordonnées indiquées dans la section Responsable du traitement de la présente note d’information et auprès du Chargé de traitement.
Limitations des droits de la partie objet du signalement et autres parties concernées
Les informations suivantes sont fournies à des fins de transparence envers la personne objet de signalement et toute personne concernée la plus mentionnée dans une alerte, en premier lieu pour l’informer des limites posées à l’exercice de certains droits prévus par le RGPD : Droit d’information – le droit d’être informé du traitement des données à caractère personnel conformément aux articles 12 et 14 du RGPD est limité à la lumière des obligations de confidentialité imposées par le décret législatif italien 231/2001, modifié par la loi n° 179/2017, ainsi que le risque de rendre impossible ou de compromettre gravement la réalisation des finalités du traitement lié aux rapports au sein du système de signalement (voir art. 14, paragraphe 5, lettres b) et d) du RGPD). Autres droits de la personne concernée – les droits visés aux articles 15 à 22 du RGPD ne peuvent pas être exercés (avec une demande auprès du Responsable du traitement ou avec une réclamation introduite conformément à l’article 77 du RGPD) si cela pourrait entraîner une indemnisation effective et un préjudice concret à la confidentialité de l’identité du lanceur d’alerte (voir article 2-undecies du Code de confidentialité et article 23 du RGPD) et/ou à la poursuite des objectifs de respect de la législation en matière de signalement de comportements illicites. En particulier, la personne objet de signalement est informée que l’exercice de ces droits : sera effectué conformément aux dispositions législatives ou réglementaires qui régissent le secteur (y compris le décret législatif italien 231/2001 modifié par la loi n° 179/2017) ; peut être retardé, limité ou exclu avec communication motivée adressée sans délai à la personne concernée, à moins que la communication ne puisse compromettre l’objet de la limitation, pendant le temps et dans les limites où cela constitue une mesure nécessaire et proportionnée, compte tenu des droits fondamentaux et des intérêts légitimes de la personne concernée, afin de sauvegarder la confidentialité de l’identité du lanceur d’alerte ; éventuellement, dans de tels cas, les droits de la personne concernée peuvent également être exercés par l’intermédiaire de l’Autorité garante de la protection des données personnelles (« Autorité de garante ») selon les modalités prévues à l’article 160 du Code de confidentialité, auquel cas l’Autorité garante informe la personne concernée d’avoir effectué toutes les vérifications nécessaires ou d’avoir procédé à un réexamen, ainsi que du droit de la personne concernée de présenter un recours en justice.