Protection des données

Politique de confidentialité


1 Objet du traitement des données

1.1 Conformément à nos obligations en vertu de la loi allemande sur la protection des lanceurs d'alerte (Hin-SchG) et de la loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement (LkSG), nous avons mis en place un bureau interne de signalement numérique pour les plaintes et les rapports (ci-après dénommé « portail de signalement »). Celui-ci fait partie de notre système de gestion de la conformité.
1.2 Les employés, clients, partenaires commerciaux ou autres lanceurs d'alerte peuvent utiliser ce système pour signaler de manière sécurisée et confidentielle les violations présumées des lois et des règles internes, les risques pour les droits de l'homme et l'environnement et les violations des droits de l'homme et des obligations environnementales. L'objectif est de promouvoir la détection et la prévention des violations matérielles des règles, des risques et des violations, et d'éviter les risques et dommages importants.

2 Responsabilité

2.1 Le responsable du traitement de vos données personnelles est SCHOTT AG, Compliance & Security, Hattenbergstrasse 10, 55122 Mayence, Allemagne, compliance.office@schott.com (ci-après « SCHOTT »)
2.2 Dans le cadre du traitement des signalements et des mesures de suivi à prendre, il peut être nécessaire de fournir des informations sur un incident signalé à des conseillers juridiques ou aux autorités compétentes.
2.3 Si vous avez des questions concernant la protection des données, veuillez contacter notre responsable de la protection des données à l'adresse info.datenschutz@schott.com.

3 Infrastructure technique

3.1 Le portail de signalement est exploité avec le logiciel de système de dénonciation AdvoWhistle du prestataire de services technologiques iComply GmbH, Grosse Langgasse 1A, 55116 Mayence, Allemagne.
3.2 Les données personnelles et les informations saisies dans le portail de signalement sont stockées dans une base de données gérée par le prestataire de services techniques dans un centre de données certifié ISO/IEC 27001. L'accès aux données n'est possible que pour les processeurs expressément autorisés. Le cryptage de bout en bout de toutes les données, la protection par mot de passe à plusieurs niveaux, les mesures techniques et organisationnelles et les certifications régulières garantissent que les prestataires de services techniques, l'opérateur du centre de données et les autres tiers n'ont pas accès aux données.


4 Base juridique

4.1 La base juridique du traitement des informations relevant de la loi sur la protection des lanceurs d'alerte est l'obligation légale en vertu de l'article 6, paragraphe 1, point c) du RGPD, en liaison avec l'article 10 de la loi sur la protection des lanceurs d'alerte (HinSchG).
4.2 La base juridique du traitement des informations relatives aux violations des règles internes est l'intérêt légitime supérieur à la détection et à la prévention des violations matérielles des règles et à la prévention des risques et dommages associés, conformément à l'art. 6, par. 1, point f) du RGPD.
4.3 Si un signalement concerne des violations de la réglementation en matière de blanchiment d'argent, le traitement des données à caractère personnel est fondé sur l'art. 6, paragraphe 1, point c) du RGPD en liaison avec l'article 11a de la loi allemande sur la lutte contre le blanchiment d'argent (GwG).
4.4 Si un signalement concerne des violations de la réglementation en matière de surveillance bancaire, telle que la loi allemande sur les activités bancaires (KWG) et les ordonnances qui en découlent, ainsi que d'autres dispositions dont le respect est contrôlé par l'Autorité fédérale allemande de surveillance financière (BaFin) dans le cadre de la surveillance des marchés financiers (par exemple, le règlement CRR, le règlement sur les abus de marché, le règlement SSM, le règlement PRIIPS, le règlement sur les prospectus), la loi allemande sur le commerce des valeurs mobilières (WpHG) et les règlements qui en découlent, le traitement des données à caractère personnel dans le cadre de ce dispositif d'alerte est fondé sur l'article 6, paragraphe 1, point f Règlement CRR, Règlement sur les abus de marché, Règlement SSM, Règlement PRIIPS, Règlement Prospectus), la loi allemande sur le commerce des valeurs mobilières (WpHG) et les règlements qui en découlent, le traitement des données à caractère personnel dans le cadre de ce système d'alerte est fondé sur l'article 6, paragraphe 1, point c), du RGPD, en liaison avec les règlements de surveillance financière.
4.5 Si un signalement concerne des risques pour les droits de l'homme ou l'environnement ou la violation des droits de l'homme ou des obligations environnementales, le traitement des données à caractère personnel est fondé sur l'article 6, paragraphe 1, point c), du RGPD, en liaison avec l'article 8 de la LkSG.

5 Utilisation du portail de signalement

5.1 L'utilisation du portail de signalement est volontaire. Lors de la soumission d'un signalement, SCHOTT recueille les données et informations personnelles suivantes : 
(a)    Lanceur d'alerte : nom (si vous divulguez votre identité), coordonnées (si vous les fournissez) 
(b)    Personnes concernées par les incidents : prénom et nom, informations sur les incidents et les violations présumées de la loi et des règles  
(c)    Témoins et/ou tiers nommés dans la notification (par exemple, clients, fournisseurs, collègues ou partenaires commerciaux) : prénom et nom, coordonnées
5.2 Des pièces jointes peuvent être transmises lors de la soumission d'informations et de l'envoi de compléments. Si l'anonymat doit être préservé, les données personnelles masquées doivent être supprimées avant l'envoi. Si cela n'est pas possible, seul le texte de ces fichiers peut être copié dans le formulaire de notification numérique, par exemple, ou des impressions de ces fichiers peuvent être envoyées à l'adresse postale de la personne responsable.

6 Confidentialité

Un petit groupe de personnes expressément autorisées est chargé de recevoir et de traiter tous les signalements reçus, qu'il traite toujours de manière confidentielle. Ces personnes vérifient les faits et, si nécessaire, procèdent à des clarifications supplémentaires. Toute personne ayant accès aux données est tenue de respecter la confidentialité la plus stricte.

7 Droits des personnes concernées

7.1 Les personnes dont les données personnelles sont traitées (personnes concernées) ont le droit, sur demande et gratuitement, d'obtenir des informations sur les données personnelles stockées à leur sujet, leur origine et leurs destinataires, ainsi que sur la finalité du traitement des données. Si nous traitons vos données sur la base de notre intérêt légitime, vous avez le droit de vous opposer au traitement pour des raisons légitimes liées à votre situation particulière (droit d'opposition). 
7.2 En outre, les personnes concernées ont le droit de rectifier les données personnelles inexactes, le droit d'effacer les données personnelles, le droit de restreindre le traitement des données personnelles et le droit à la portabilité des données. 
7.3 Les personnes concernées ont également le droit de déposer une plainte auprès d'une autorité de contrôle. Les personnes concernées peuvent contacter l'autorité de contrôle de leur lieu de résidence ou de travail habituel à cette fin.

8 Durée de conservation des données

8.1 La documentation des signalements et les données à caractère personnel qu'elle contient sont généralement supprimées trois ans après la clôture de la procédure. Dans certains cas, la documentation peut être conservée plus longtemps pour répondre aux exigences de la loi sur la protection des lanceurs d'alerte (HinSchG) ou d'autres dispositions légales, pour autant que cela soit nécessaire et proportionné. Une évaluation finale est également conservée à des fins de documentation.
8.2 Si un signalement concerne des risques pour les droits de l'homme ou l'environnement ou la violation des droits de l'homme ou des obligations environnementales, le traitement des données à caractère personnel est fondé sur l'article 6, paragraphe 1, point c), du RGPD, en liaison avec l'article 8 de la LkSG.