Politique de protection des données du canal de signalement

1. Qui est le responsable du traitement ?

HABITUS GLOBAL RETAIL, S.L.U, (ci-après HABITUS ou l’entreprise) est le responsable du traitement des données personnelles obtenues dans le cadre du Canal de signalement.
HABITUS respecte les droits et libertés fondamentaux des personnes, parmi lesquels figure le droit fondamental à la protection des données à caractère personnel. La confidentialité des personnes concernées est un pilier essentiel pour HABITUS, qui traite leurs données personnelles conformément à la législation en vigueur en matière de protection des données personnelles, de confidentialité et de sécurité de ces informations. À cet effet, des mesures techniques et organisationnelles nécessaires ont été adoptées pour éviter la perte, le mauvais usage, l’altération, l’accès non autorisé et le vol des données personnelles fournies, compte tenu de l’état de la technologie, de la nature des données et des risques auxquels elles sont exposées.

2. Dans quel but traitons-nous vos données personnelles ?

Les données personnelles seront traitées dans le but de gérer le système d’information du Canal de signalement et, en particulier, pour gérer, traiter et enquêter sur tous les actes ou omissions contraires à l’éthique, à la légalité, veiller à leur respect et adopter les mesures disciplinaires ou légales appropriées ; le cas échéant, pour le jugement des infractions pénales et l’exécution des sanctions pénales liées à la plainte reçue ainsi que pour le traitement et la résolution.

3. Quelles données personnelles traiterons-nous ?

Aucune donnée personnelle dont la pertinence ne serait pas nécessaire pour traiter une information spécifique ne sera collectée, et si des données sont collectées par erreur, elles seront immédiatement supprimées.

Les signalements présentés conformément à la présente procédure peuvent être anonymes, il n’est donc pas nécessaire que le lanceur d’alerte s’identifie. Sans préjudice de ce qui précède, les données personnelles obtenues à l’occasion du signalement et de l’enquête interne seront traitées de manière confidentielle et uniquement pour la gestion et le contrôle de la présente procédure, en appliquant les garanties et mesures de confidentialité légalement exigibles.

Les données personnelles obtenues à l’occasion du signalement et de l’enquête interne seront traitées de manière confidentielle et uniquement pour la gestion et le contrôle de la présente procédure, en appliquant les garanties et mesures de confidentialité légalement exigibles.

Voici les catégories de données traitées selon les différentes personnes concernées :

  • Lanceur d’alerte : les données personnelles fournies dans la plainte seront traitées.
  • Personne mise en cause : les données d’identification, les circonstances sociales, les détails d’emploi et, potentiellement, des données particulièrement protégées, ainsi que celles fournies lors des entretiens ou déclarations qu’elle fera.
  • Témoin : les données d’identification ainsi que celles fournies lors des entretiens seront traitées.

L’entreprise ne demande ni ne traite aucune catégorie spéciale de données personnelles telles que les informations de santé, l’origine raciale ou ethnique, les convictions religieuses ou idéologiques, l’affiliation syndicale ou l’orientation sexuelle. Toutefois, comme il existe des champs de texte libre dans le formulaire, vous pourriez volontairement divulguer ces catégories spéciales ainsi que des données personnelles de tiers auxquelles vous faites référence dans cette communication. En tout cas, conformément à l’art. 9.2 g) RGPD, les données de catégories spéciales peuvent être traitées pour des raisons d’intérêt public.

4. Quelle est la base légale du traitement de vos données personnelles ?

La base juridique pour le traitement des données personnelles est la suivante :

  • Pour la gestion d’une plainte via un canal interne :
    • Le respect des obligations légales applicables au responsable du traitement (art. 6.1c) RGPD), en ce qui concerne le devoir de disposer d’un canal de signalement et conformément aux articles 24 et 8 de la LO 3/2018 sur la protection des données et la garantie des droits numériques ainsi qu’à l’art. 30.2 de la Loi 2/2023.
    • À défaut, parce que cela est nécessaire pour satisfaire un intérêt public (art. 6.1 e) RGPD) en lien avec la poursuite d’infractions ou délits pouvant affecter l’entreprise.
  • Pour vérifier le fonctionnement du système.
    • En respect d’une obligation légale applicable au responsable du traitement (art. 6.1 c) RGPD).

5. Qui aura accès à vos données personnelles ?

L’identité du lanceur d’alerte ne sera communiquée que si nécessaire à l’autorité judiciaire, au ministère public ou à l’autorité administrative compétente dans le cadre d’une enquête pénale, disciplinaire ou sanctionnatrice. Dans ces cas, le lanceur d’alerte sera informé avant la révélation de son identité, sauf si cette information pouvait compromettre l’enquête ou la procédure judiciaire. Lorsque l’autorité compétente communiquera cette information au lanceur d’alerte, elle lui adressera un écrit expliquant les raisons de la divulgation des données confidentielles en question.

Dans la mesure permise par la loi, la personne concernée ne recevra aucune donnée relative à l’identité des lanceurs d’alerte.

Concernant l’identité des personnes concernées, des mesures techniques et organisationnelles appropriées seront prises pour la préserver, garantissant sa confidentialité ainsi que celle des tiers pouvant être mentionnés dans les informations fournies.

L’accès aux données est strictement limité à ceux qui, qu’ils fassent partie ou non de l’entreprise, exercent des fonctions de contrôle interne et de conformité réglementaire ou aux responsables du traitement éventuellement désignés à cet effet, ainsi qu’au Délégué à la Protection des Données ou au responsable désigné. Toutefois, les données personnelles peuvent être communiquées, en cas de nécessité, à des tiers intéressés tels que les membres de l’organe de prévention, les employés de l’organisation, les conseillers externes ou les autorités publiques à des fins d’enquête et d’éclaircissement des faits signalés, aux responsables des services juridiques pour la détermination des responsabilités, la mise en œuvre d’actions correctives et, le cas échéant, l’engagement des actions légales et disciplinaires devant les organes compétents dans chaque cas.

Sans préjudice de la notification à l’autorité compétente des faits constituant une infraction pénale ou administrative, l’accès aux données sera autorisé au personnel chargé de la gestion et du contrôle des ressources humaines uniquement lorsque des mesures disciplinaires à l’encontre des employés sont susceptibles d’être prises.

Le prestataire chargé de la mise en œuvre technique du canal de signalement en notre nom n’a pas accès aux informations communiquées et a signé un contrat de sous-traitance.
En aucun cas, l’entreprise ne procédera à des cessions automatisées basées sur les données transmises.

Vos données personnelles ne feront pas l’objet d’un transfert international.

6. Combien de temps conserverons-nous vos données personnelles ?

Les données seront conservées le temps nécessaire pour décider de l’opportunité d’ouvrir une enquête sur les faits signalés. Si l’on constate que les informations fournies, ou une partie d’entre elles, ne sont pas véridiques, elles seront immédiatement supprimées dès que cette circonstance sera connue, sauf si ce manque de véracité peut constituer une infraction pénale, auquel cas les informations seront conservées pendant la durée nécessaire au traitement de la procédure judiciaire.

En tout cas, si trois (3) mois se sont écoulés depuis la réception de la plainte sans qu’aucune enquête n’ait été ouverte, les données seront supprimées, sauf si leur conservation est nécessaire pour laisser une preuve du fonctionnement du système. En aucun cas, la conservation des communications et enquêtes internes ne dépassera dix ans. Si la conservation des données est nécessaire pour poursuivre l’enquête, elles seront communiquées à l’organe de l’entreprise chargé de l’enquête des faits signalés, qui pourra continuer à les traiter, sans conserver de copie des données dans le système d’information des signalements internes. Les signalements non traités ne pourront être conservés que sous forme anonymisée, sans que l’obligation de blocage prévue à l’art. 32 de la LO 3/2018 ne s’applique.

7. Quels sont vos droits ?

Les droits d’accès, de rectification, de suppression, de limitation, de portabilité ou d’opposition peuvent être exercés, dans les conditions spécifiées par la réglementation en vigueur, par écrit auprès de HABITUS GLOBAL RETAIL, S.L.U, à l’adresse suivante Carrera de Sant Esteve 29, 08173, San Cugat del Vallés, Barcelone, Espagne, ou par courriel à contact@muymucho.com, en indiquant le droit précis que vous souhaitez exercer. De plus, si vous estimez que l’entreprise n’a pas traité les données personnelles conformément à la réglementation en vigueur, vous pouvez contacter le Délégué à la Protection des Données à l’adresse ci-dessus et/ou déposer une réclamation auprès de l’Agence espagnole de protection des données.

Cependant, l’exercice de ces droits ne sera pas possible dans les cas suivants :

  • L’exercice du droit d’accès par la personne mise en cause n’inclut pas la révélation des données d’identification du lanceur d’alerte. Le droit d’accès à l’information contenue dans le dossier sera limité aux informations relatives aux données personnelles traitées, sans que les données relatives au lanceur d’alerte soient incluses dans cet exercice.
  • Si la personne enquêtée exerce son droit d’opposition, elle sera informée qu’elle ne pourra pas l’exercer car, conformément à l’art. 21.1 RGPD, il existe des motifs impérieux légitimant la poursuite de ce traitement, et conformément à l’art. 31.4 de la Loi 2/2023.
  • Le droit d’annulation ne pourra être exercé par aucun des participants pendant la durée de l’enquête.