Finalité du traitement
Le traitement de ces données dans le cadre d’un dispositif d’alertes mis en place sans contrainte réglementaire est susceptible de porter sur des « données sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée.
Ce traitement est organisé afin de permettre de recevoir, traiter et conserver tout signalement effectué de bonne foi et qui révèle ou signale une violation de règles juridiques (qu’elles soient françaises, européennes, internationales ou étrangères) ou éthiques.
Base légale
- RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
Le traitement de données se fait :
- Dans le cadre de la Directive de l'autorité de contrôle, du Règlement (UE) n°2016/679, basée dans le pays du siège du Responsable de traitement, par la Délibération no 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en oeuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l’assistance et du contrôle des personnes placées par l’autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d’accompagnement judiciaire (AU-050).
- Directive européenne n° 2019/1937 relative à la protection des lanceurs d'alerte - Eur-Lex
- Loi du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte - Vie-publique.fr
- Décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 - Légifrance
- Délibération de la CNIL n° 2023-064 du 6 juillet 2023 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles
Source des données
Source des données : Les données transmises par la personne se considèrent comme lanceur d’alerte et/ou ses facilitateurs.
Catégories de données traitées
Sont considérées comme « personnes potentiellement concernées » par un Dispositif d'Alerte Professionnelle toutes les personnes qui sont susceptibles d’émettre un signalement via le Dispositif d'Alerte Professionnelle ou d’être visées par une alerte, et notamment :
- les effectifs propres de l’organisme concerné, quel que soit le statut juridique de collaboration (salariés, agents, intérimaires, stagiaires, salariés détachés par une entité tierce, bénévoles, etc.) ;
- les collaborateurs, clients et fournisseurs extérieurs de l’organisme, lorsqu’il s’agit de personnes physiques ayant un lien contractuel direct avec l’organisme (consultants, agents, conseils, sous-traitants personnes physiques au statut d'auto entrepreneur, etc.)
- les effectifs (salariés, associés, dirigeants, etc.) des personnes morales qui entretiennent un lien contractuel avec l’organisme concerné.
Sont considérées comme « personnes concernées » par un Dispositif d'Alerte Professionnelle toutes les personnes physiques dont les données à caractère personnel sont effectivement traitées dans le cadre du Dispositif d'Alerte Professionnelle (par exemple, les auteurs des alertes, les personnes visées, les facilitateurs personnes physiques, l’ensemble des personnes susceptibles de fournir des informations sur le signalement, qu’elles aient été nommées ou non par l’auteur du signalement, ainsi que les personnes protégées par ricochet conformément aux 2° et 3° de l’article 6-1 de la loi « Sapin 2 » modifiée).
Peuvent faire l'objet d'un engagement de conformité au présent traitement, les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés ayant pour finalité le signalement et le traitement des alertes, émises par une personne physique, relatives à :
- Les données d’identification et, le cas échéant, celles relatives :
- à l’émetteur de l'alerte
- à l’identité, fonctions et coordonnées
- aux personnes faisant l'objet de l’alerte
- aux personnes intervenant, consultées ou entendues dans le recueil ou dans le traitement de l'alerte
- aux facilitateurs et personnes en lien avec l’émetteur de l’alerte
- aux éléments recueillis dans le cadre de la vérification des faits signalés
- Les données relatives à la vie personnelle des personnes concernées :
- leurs conjoints et enfants : noms, prénoms, adresses, date et lieu de naissance, photographie, extraits d’acte d’état civil et autres données d’identités
- situation familiale, adresse de résidence et fiscale, type d’hébergement, habitudes de vie et alimentaires, relations avec les tiers, compte rendu de visite à domicile, lieu de vie, correspondances, régime matrimonial
- Les données sur l’alerte (les faits signalés) :
- un crime ou un délit
- une mise en danger
- une violation grave et manifeste de la loi ou du règlement
- une menace ou un préjudice graves pour l'intérêt général, dont l'émetteur de l'alerte a eu personnellement connaissance
- faits signalés
- comportements jugés inapproprié
- tout signalement effectué de bonne foi et qui révèle ou une mise en danger
- éléments recueillis dans le cadre de la vérification des faits signalés
- compte rendu des opérations de vérification
- suites données à l'alerte
- comptes rendus des opérations de vérification
- suites données à l'alerte
- données traitées de façon confidentielle par les personnes chargées de la gestion des alertes
- toutes données qui caractérisent un danger imminent sur la vie
- les informations où la situation d'alerte doit être déclenchée
- Les éléments de nature à identifier (leur statut) la(les) personne(s) mise en cause :
- les facilitateurs de l’alerte visible (identité est traitée de façon confidentielle par l'organisation ou les personnes chargées de la gestion des alertes.)
- les auteurs des alertes
- le témoin, la victime ou l’auteur présumé des faits
- les personnes visées
- les personnes entendues dans le cadre de l’enquête :
- Identité, fonctions et coordonnées de l'émetteur de l'alerte professionnelle
- Identité, fonctions et coordonnées des personnes faisant l'objet d'une alerte
- Identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte.
- Toutes données d’identification (identité, fonction et coordonnées de l’émetteur de l’alerte ainsi que celles des personnes intervenant dans le recueil ou le traitement des alertes)
Les données enregistrées dans les traitements concernés, y compris lorsqu’elles prennent la forme de pièces justificatives, ne sont pas conservées au-delà de la prescription de l’action en reddition des comptes, en revendication ou en paiement diligentée par la personne protégée ou ses héritiers. À ce titre, à l’expiration de cette période, les données sont détruites de manière sécurisée ou archivées, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d’archivage des informations du secteur public.
Caractère obligatoire du recueil des données
Le formulaire prévoit un recueil obligatoire des données pour la bonne prise en compte de la demande.
Personnes concernées
Les personnes qui souhaitent adresser un message à notre association ATM.
Destinataires des données
- Les personnels de notre association ATM en charge de la gestion des déclarations et des contacts avec les déclarants.
- Les catégories de destinataires, en fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
- les collaborateurs de notre association ATM autorisés.
- les autorités tiers autorisé (Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu’une loi l’y autorise expressément).
Durée de conservation des données
Les données sont traitées comme suit :
- Les données relatives à une alerte considérée, dès son recueil par le responsable du traitement, comme n'entrant pas dans le champ du dispositif (les alertes infondées) sont détruites ou archivées sans délai, après anonymisation
- Les données relatives à une alerte sont conservées “le temps strictement proportionné à leur traitement et à la protection de leurs auteurs, des personnes qu’ils visent et des tiers qu’ils mentionnent, en tenant compte des délais d’éventuelles enquêtes complémentaires” (Article 9.III de la loi Sapin 2 modifiée).
- Lorsque l'alerte n'est pas suivie d'une procédure disciplinaire ou judiciaire, les données relatives à cette alerte sont détruites dans un délai de deux mois à compter de la clôture des opérations de vérification
- Lorsqu'une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte sont conservées par l'organisation chargée de la gestion des alertes jusqu'au terme de la procédure.
- Les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de procédures contentieuses.
Transferts des données hors UE
Aucun transfert de données hors de l’Union européenne n’est réalisé.
Prise de décision automatisée
Le traitement ne prévoit pas de prise de décision automatisée.
Sécurité et confidentialité des données transmises
La confidentialité de l'identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement est garantie.
Les éléments de nature à identifier le lanceur d'alerte ne peuvent pas être divulgués sans son accord. Ils peuvent cependant être transmis à l'autorité judiciaire, dans certains cas.
Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l'autorité judiciaire, les éléments de nature à identifier le lanceur d'alerte peuvent également lui être communiqués. Dans ce cas, le lanceur d'alerte en est informé.
La procédure mise en œuvre par l'ATM garantit l’intégrité et la confidentialité des informations recueillies dans le cadre d’une alerte et, plus particulièrement, l’anonymat du lanceur d’alerte.
Dans le cadre du traitement d’une alerte, l'ATM est susceptible de vous demander tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées. Dans les mêmes conditions, l'ATM pourrait vous fournir des conseils confidentiels.
Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information. Notre établissement ATM s’organise pour garantir la sécurité des données par le maintien de la confidentialité, l’intégrité et la disponibilité des données personnelles et de limiter tout risque de destruction, de perte, d’altération, de divulgation et d’accès non autorisé aux données personnelles.
Vos droits sur les données vous concernant
Vous pouvez accéder et obtenir copie des données vous concernant, vous bénéficiez de votre droit d’interrogation, de portabilité, de rectification et de minimisation.
Le formulaire d’alerte sera adressé au Référent Alerte professionnelle, en sa qualité de Référent du dispositif d’alerte professionnelle par courriel à l’adresse suivante : Alerte professionnelle
|JOUR 1 à JOUR 3|
Un accusé de réception vous sera transmis, dans les 3 jours ouvrés, dès réception de votre courriel, étant précisé qu’il ne vaudra pas recevabilité du signalement.
Le signalement fera l’objet d’un traitement par le Référent qui, au terme du délai d’évaluation préalable, vous informera de la recevabilité ou non du signalement.
|JOUR 4 à JOUR 6|
Sans réponse du Référent Alerte professionnelle, après une semaine, vous êtes invité à contacter notre DPO (prestataire indépendant) par voie électronique sur notre page : Données personnelles
Sans réponse de notre DPO, après 3 ou en accédant à notre site Internet : cnil.fr
- Le délégué à la protection des données (DPO) de notre association tutélaire de la Meuse est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.
|APRÈS 7 JOURS|
Si vous estimez, après 7 jours que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL : par voie électronique à : cnil.fr
par courrier postal : Commission nationale de l’informatique et des libertés 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 FRANCE