Note d'information en matière de protection des données relative au système d'alerte
Veuillez lire attentivement la note d'information en matière de protection des données relative au système d'alerte de BKW avant de signaler un incident.
Objet, bases juridiques et responsabilité du système d'alerte
Le système d'alerte sert à signaler des infractions supposées ou avérées à l'encontre du Code de conduite de BKW ou d'autres règlements internes ainsi que les activités illégales de manière sûre et confidentielle au bureau de réception des alertes sur la conformité de BKW. Toutes les alertes sont recueillies et traitées selon un processus standardisé.
Il n'y a aucune obligation légale de tenue d'un système d'alerte pour le groupe BKW ni de l'utilisation du système par les groupes cible (avant tout les collaborateurs et les fournisseurs). En l'utilisant, vous donnez volontairement et explicitement votre accord au traitement des données.
La présente déclaration de protection des données ainsi que le traitement des données dans le système d'alerte reposent sur la loi de protection des données de Suisse.
Bureau responsable pour les contacts: Compliance BKW, Viktoriaplatz 2, CH-3013 Berne avec la mention « Confidentiel » ou s_compliance@bkw.ch
Quels types de données et informations à caractère personnel sont collectés et traités?
Si vous soumettez une alerte via le système d'alerte de BKW, nous traitons:
- Votre nom et prénom (si toutefois vous soumettez l'alerte par voie nominative; il est également possible d'y procéder de manière entièrement anonyme)
- D'autres données et informations à caractère personnel dans l'étendue dans laquelle vous la divulguez vous-même dans l'alerte
- Données et informations diverses dans le cadre du masque de saisie du système d'alerte
Seul sera traité le minimum technique et règlementaire de données associées à l'alerte (par ex. date d'alerte en tant que méta-information).
Cookies
Le système d'alerte ne traite aucun cookie de suivi ou d'autres cookies permettant de donner des indications sur l'origine ou l'identité de la personne qui saisit. A des fins de reconnaissance pendant l'utilisation en cours, il est fait appel à une « session zéro » (également appelée « cookie de session »).
Transfert de données et gestion des données
La gestion des données a lieu de manière cryptée dans un centre de données à haute sécurité en Suisse. Le transfert de données à la fois du lanceur d'alerte vers le serveur dans le centre de données et celle entre le serveur dans le centre de données et l'examinateur autorisé de BKW a lieu par une ligne cryptée. Ni le centre de données ni le fournisseur de logiciels ne peut consulter les données ou les traiter de toute autre façon.
Comment les données et informations sont-elles traitées et qui y a accès au sein du groupe BKW?
Le traitement des données a en principe lieu dans le cadre de systèmes sécurisés. Dans tous les cas où des données complémentaires sont nécessaires pour le traitement d'un incident, ces données sont traitées au sein du groupe BKW avec le niveau de protection le plus élevé.
Les données et informations que vous saisissez peuvent être consultées, traitées et utilisées par les personnes suivantes chargées de la mise au point, du suivi, etc. de l'incident:
- Compliance Manager
- Spécialistes (internes ou externes); selon le cas après validation par le service de conformité
- Responsables; selon le cas après validation par le service de conformité
- Direction d'entreprise de BKW, dans la mesure où l'incident est d'importance majeure pour BKW (par ex. en cas de menace d'atteinte à la réputation, de sanctions légales ou règlementaires, pertes financières, ou dans le cas où un responsable est impliqué dans un incident); selon le cas après validation par le service de conformité.
Toutes les personnes impliquées sont tenues de respecter la confidentialité la plus absolue des contenus. Les données et informations à caractère personnel peuvent en cas de besoin et dans le cadre des déterminations règlementaires également être transmises à la police, aux autorités d'enquête ou à d'autres autorités.
Le personnel TIC comme par ex. les administrateurs système ne peuvent consulter ni le contenu du système d'alerte ni la consigne de données interne.
Veuillez noter que toutes les personnes dont vous divulguez l'identité par le biais du système d'alerte, peuvent selon les besoins ou la nécessité être informées du contenu de votre alerte (transparence, droits de la « partie adverse »). Par ailleurs, toute personne faisant l'objet de l'une de vos déclarations est habilitée à présenter la situation de son point de vue.
L'identité de la personne donnant l'alerte n'est en principe pas divulguée. Dans les cas où cela doit quand même avoir lieu (par ex. une procédure criminelle), si le nom est divulgué, les parties s'efforcent d'assurer la protection la meilleure possible de la personne donnant l'alerte, selon la situation.
Les données et informations mises à disposition par vos soins sont conservées aussi longtemps qu'elles sont nécessaires pour le traitement de l'alerte ou que la loi impose de les conserver.
Explication de l'accord explicite pour le traitement des données
Dans la mesure où il est impossible de déterminer au préalable quel sera le déroulement d'une alerte, la possibilité d'une collecte de données à caractère personnel ne peut être exclue.
Par ailleurs, dans le cadre des mises au point, il peut arriver que des données personnelles particulièrement sensibles et dignes d'être protégées soient traitées ou qu'un profilage ait lieu au sens de la loi sur la protection des données.
Le groupe BKW reconnaît les principes de base de la protection des données et n'utilise de tels traitements de données qu'à partir du moment où ils s'avèrent impérativement nécessaires ou sont saisis dans le système par la personne qui donne l'alerte.
Droits d'information et de rectification (droits des personnes concernées)
Sur demande, le groupe BKW donne des renseignements aux personnes concernées quant à la nature, l'ampleur, etc. des données traitées, selon la loi sur la protection des données et le droit applicable. En cas de données inexactes, il y a la possibilité d'une rectification, modification, verrouillage ou effacement en conformité avec les directives légales. Par ailleurs, vous disposez d'un droit de recours auprès d'une autorité de surveillance.
Accord/retrait
Sur demande de la personne donnant l'alerte, les données à caractère personnel qui la concernent directement peuvent être retirées (procédure dite « opt-out »). Cette demande est mise en œuvre à condition qu'aucun intérêt autre ou supérieur ne l'empêche ou ne le rende inacceptable (par ex. procédure pénale en cours) voire impossible. Il est impossible de retirer une alerte préalablement soumise.
Des tiers ne peuvent pas faire valoir de droits sur les données soumises et traitées les concernant au titre de la protection des données.