Politique de confidentialité

1. Introduction

La présente politique décrit comment Whistlesblow (nom commercial de True Solutions S.r.l.) collecte, utilise et protège les informations personnelles des utilisateurs du service de signalement. Cette politique est établie conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite Loi Sapin II), ainsi qu'à la Directive (UE) 2019/1937 sur la protection des personnes qui signalent des violations du droit de l'Union.

2. Responsable du traitement

Le responsable du traitement des données personnelles est True Solutions S.r.l., dont le siège social est situé Foro Buonaparte 59, 20121 Milan (MI), Italie. Pour les données traitées dans le cadre des signalements d'irrégularités, l'entreprise cliente est Responsable du traitement au sens de l'art. 4(7) RGPD. True Solutions S.r.l. agit en tant que Sous-traitant au sens de l'art. 28 RGPD, conformément à la désignation disponible sur /designation-sous-traitant. Pour toute communication relative au traitement des données personnelles, vous pouvez contacter le Responsable à l'adresse email indiquée dans la section "Contacts" de cette politique ou au numéro de téléphone indiqué.

3. Données personnelles collectées

Dans le cadre de la prestation du service de signalements, Whistlesblow peut collecter et traiter les catégories suivantes de données personnelles :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone (s'ils sont fournis volontairement par le lanceur d'alerte)
• Données relatives aux signalements : contenu des signalements, documents et fichiers joints, informations relatives aux faits signalés, communications entre le lanceur d'alerte et les responsables de la gestion des signalements
• Données techniques et de navigation : adresse IP, type de navigateur, système d'exploitation, date et heure d'accès, pages visitées, durée de la session, éventuelles erreurs rencontrées lors de la navigation
• Données d'enregistrement et d'administration : identifiants de connexion (nom d'utilisateur, mot de passe chiffré), données relatives au compte entreprise (raison sociale, numéro SIRET, adresse, données de facturation), rôles et permissions des utilisateurs administrateurs
• Données d'utilisation du service : statistiques d'utilisation de la plateforme, préférences de configuration, journaux des activités réalisées sur la plateforme

4. Finalités et base juridique du traitement

Les données personnelles sont traitées aux fins suivantes et sur la base des bases juridiques correspondantes :

• Prestation du service de signalements : gestion des signalements, communication avec les lanceurs d'alerte, gestion du processus de signalements conforme à la Loi Sapin II. Base juridique : exécution d'un contrat (art. 6, paragraphe 1, lettre b) RGPD) et respect d'obligations légales (art. 6, paragraphe 1, lettre c) RGPD)
• Garantir l'anonymat et la confidentialité des lanceurs d'alerte : protection de l'identité des lanceurs d'alerte anonymes, mise en œuvre de mesures de sécurité pour prévenir la révélation de l'identité. Base juridique : respect d'obligations légales (art. 6, paragraphe 1, lettre c) RGPD et Loi Sapin II)
• Gestion administrative et comptable : facturation, gestion des paiements, respect des obligations fiscales et comptables. Base juridique : exécution d'un contrat et respect d'obligations légales (art. 6, paragraphe 1, lettres b) et c) RGPD)
• Communication et support : réponse aux demandes d'information, assistance technique, envoi de communications relatives au service. Base juridique : exécution d'un contrat (art. 6, paragraphe 1, lettre b) RGPD)
• Amélioration du service et analyses statistiques : analyse de l'utilisation de la plateforme pour améliorer les services offerts, développement de nouvelles fonctionnalités. Base juridique : intérêt légitime du responsable (art. 6, paragraphe 1, lettre f) RGPD), après évaluation de la balance des intérêts
• Respect des obligations légales et défense en justice : respect des obligations prévues par la réglementation applicable, défense de ses droits en justice. Base juridique : respect d'obligations légales (art. 6, paragraphe 1, lettre c) RGPD) et intérêt légitime (art. 6, paragraphe 1, lettre f) RGPD)

5. Base juridique du traitement

Le traitement des données personnelles se fonde sur les bases juridiques suivantes prévues à l'art. 6 du RGPD : (a) consentement de la personne concernée, (b) exécution d'un contrat ou de mesures précontractuelles, (c) respect d'une obligation légale, (f) poursuite d'un intérêt légitime du responsable. En ce qui concerne les données des signalements d'irrégularités, le traitement est nécessaire au respect des obligations prévues par la Loi Sapin II et la réglementation applicable en matière de protection des lanceurs d'alerte.

6. Durée de conservation des données

Les données personnelles sont conservées pendant la durée strictement nécessaire à la poursuite des finalités pour lesquelles elles ont été collectées, dans le respect des durées de conservation prévues par la réglementation applicable. En particulier : (a) les données relatives aux signalements d'irrégularités sont conservées pendant la durée prévue par la Loi Sapin II et en tout cas pendant une durée non inférieure à celle nécessaire à la gestion et à la conclusion de la procédure relative au signalement ; (b) les données d'enregistrement et d'administration sont conservées pendant toute la durée de la relation contractuelle et ensuite pendant les durées prévues par la réglementation fiscale et civile (généralement 10 ans) ; (c) les données de navigation et techniques sont conservées pendant une durée maximale de 24 mois ; (d) les données relatives aux communications de support sont conservées pendant une durée maximale de 3 ans à compter de la date de la dernière communication. À l'expiration de la durée de conservation, les données personnelles seront supprimées ou anonymisées de manière sécurisée et irréversible.

7. Droits de la personne concernée

Conformément aux articles 15-22 du RGPD et à la Loi n° 78-17 du 6 janvier 1978, la personne concernée a le droit de :

• Obtenir la confirmation de l'existence ou non de données personnelles la concernant et l'accès auxdites données (droit d'accès, art. 15 RGPD)
• Demander la rectification des données personnelles inexactes ou le complément de celles incomplètes (droit de rectification, art. 16 RGPD)
• Demander la suppression des données personnelles lorsque les conditions prévues par la loi sont remplies (droit à l'oubli, art. 17 RGPD), sous réserve que pour les données relatives aux signalements d'irrégularités peuvent s'appliquer des limitations spécifiques prévues par la Loi Sapin II
• Demander la limitation du traitement dans les cas prévus par la loi (art. 18 RGPD)
• Recevoir les données personnelles dans un format structuré, d'usage courant et lisible par machine et les transmettre à un autre responsable sans entrave (droit à la portabilité des données, art. 20 RGPD)
• S'opposer à tout moment au traitement des données personnelles pour des motifs liés à sa situation particulière (art. 21 RGPD)
• Révoquer le consentement à tout moment, sans préjudice de la licéité du traitement basé sur le consentement donné avant la révocation (art. 7, paragraphe 3, RGPD)
• Introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) (www.cnil.fr) lorsqu'elle estime que le traitement de ses données personnelles viole la réglementation applicable

8. Mesures de sécurité

Whistlesblow adopte des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, afin de protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisé. Ces mesures incluent, à titre exemplatif : (a) chiffrement des données sensibles, en particulier des signalements et des communications ; (b) authentification à deux facteurs (2FA) pour les comptes administrateurs ; (c) accès aux données basé sur le principe du "privilège minimum nécessaire" ; (d) enregistrement et surveillance des accès aux données (logging) ; (e) sauvegardes régulières et procédures de récupération après sinistre ; (f) mises à jour de sécurité régulières des systèmes ; (g) formation du personnel autorisé au traitement des données ; (h) procédures de gestion des incidents de sécurité. En ce qui concerne spécifiquement les signalements d'irrégularités, des mesures supplémentaires sont mises en œuvre pour garantir l'anonymat et la confidentialité des lanceurs d'alerte, conformément à la Loi Sapin II.

9. Transfert des données

Les données personnelles sont traitées principalement sur le territoire de l'Union Européenne. S'il était nécessaire de transférer des données personnelles vers des pays tiers ou des organisations internationales, Whistlesblow garantirait que ce transfert s'effectue dans le respect de la réglementation applicable, en adoptant les mesures appropriées prévues par le RGPD (telles que, par exemple, les clauses contractuelles types approuvées par la Commission Européenne ou l'adhésion à des mécanismes de certification reconnus).

10. Destinataires des données

Les données personnelles peuvent être communiquées aux destinataires suivants : (a) employés et collaborateurs de True Solutions S.r.l. autorisés au traitement en raison de leurs fonctions ; (b) prestataires de services techniques (tels que fournisseurs d'hébergement, services cloud, services de paiement) qui agissent en tant que sous-traitants ; (c) professionnels externes (avocats, consultants) qui fournissent des services au Responsable ; (d) autorités publiques, lorsque requis par la loi ou par une décision de l'autorité compétente. Les données relatives aux signalements d'irrégularités sont communiquées exclusivement aux personnes autorisées à les recevoir et à les gérer conformément à la Loi Sapin II, garantissant la plus grande confidentialité.

11. Contacts et exercice des droits

Pour exercer les droits indiqués ci-dessus ou pour toute question, demande ou signalement relative au traitement des données personnelles et à la présente politique de confidentialité, la personne concernée peut contacter le Responsable :