Charte de protection des données à caractère personnel dans le cadre du dispositif d’alerte de La République en Marche
Préambule
Le dispositif d’alerte éthique opéré avec la plateforme BKMS® Incident Reporting est destiné à recueillir, traiter et gérer, en tout sécurité et confidentialité, tout crime et délit, une violation grave et manifeste d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice grave pour l'intérêt général.
La plateforme est également destinée à recueillir, traiter et gérer en tout confidentialité les manquements aux valeurs de LaREM.
La Plate-forme mise en place permet ainsi, aisément et de manière sécurisée, de déposer une alerte afin que celle-ci soit traitée de manière rigoureuse dans le but de protéger les droits et libertés de chacun.
La plate-forme est gérée par un prestataire externe, la société Business Keeper AG, domiciliée au Bayreuther Str. 35, 10789 Berlin – Allemagne.
Article 1 - Définitions
La présente Charte a pour objet de définir la manière dont les données communiquées par les Lanceurs d’alerte ayant accès à ce dispositif sont traitées par La République En Marche (ci-après « LaREM »). Les termes ci-dessous listés ont la définition suivante :
- Association : désigne La République En Marche, Association régie par la loi du 1er juillet 1901 relative au contrat d’association et le décret du 16 août 1901, Dont le siège social est situé 63 rue Sainte-Anne, 75002 Paris ;
- Bénévole : Personne exécutant certaines tâches de manière bénévole au sein de l’Association LA REPUBLIQUE EN MARCHE ;
- Charte : désigne la présente Charte de protection des données à caractère personnel ;
- Collaborateur régulier : personne exécutant de manière régulière et bénévole des tâches au sein de l’Association ;
- Données à caractère personnel : désignent toute information permettant d’identifier directement ou indirectement une personne physique (mail, nom, prénom, etc.) ;
- Site : désigne le site internet accessible à l'adresse URL https://en-marche.fr/cellule-alerte ;
- Plateforme : désigne la plateforme BKMS® Incident Reporting, support du présent dispositif d’alerte. La Plateforme est éditée et gérée par la société Business Keeper AG, située au Bayreuther Str. 35, 10789 Berlin en Allemagne, sous-traitant de LaREM ;
- Lanceur d’alerte: désigne la personne physique déposant un signalement sur la présente Plateforme qui relève un fait répréhensible dont il a eu personnellement connaissance et concernant :
- Un crime/un délit ;
- Une violation grave et manifeste :
- D’un engagement international régulièrement ratifié ou approuvé par la France :
- D’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement ;
- De la loi ou du règlement ;
- Une menace ou un préjudice grave pour l’intérêt général ;
- Une violation des valeurs de LaREM.
- Référent : personne désignée par le Bureau exécutif de LAREM en charge de certaines missions de recevoir les alertes, d’en prendre connaissance et de les traiter ;
- Salarié : personne ayant conclu un contrat de travail avec LAREM (CDI, CDD, Contrat d’intérim), un contrat d’apprentissage ou une convention de stage ;
- Signalement : signalement effectué de manière désintéressée et de bonne foi par le Lanceur d’alerte sur la Plate-forme et de nature à révéler l’existence d’un crime ou un délit, d’une violation grave et manifeste d’un engagement international ou d’un acte issu d’une organisation internationale ratifiés par la France, d’une menace ou un préjudice grave pour l’intérêt général, ou d’une violation des valeurs de LAREM.
Article 2 - Point de contact des Lanceurs d’alerte
Toute question sur la protection des Données dans le cadre du présent dispositif d’alerte et les demandes relatives à l’exercice de vos droits sur les données personnelles doivent être adressées via le dispositif d’alerte en cliquant sur le bouton « Soumettre une alerte » ou « Demander conseil » ou « Exercer vos droits sur les données personnelles ».
Article 3 - Finalité de la collecte et du traitement des données personnelles
Les Données personnelles sont recueillies et traitées afin d’examiner les alertes ou signalements effectués dans le cadre du dispositif de lancement d’alerte.
Article 4 - Fondements légaux de la collecte de données
En application des dispositions de l’article 8 de la loi Sapin II (Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique), l’Association LaREM a mis en place une plateforme externalisée et sécurisée pour recueillir et traiter les signalements tels que définis à l’article 1.
Lorsque les Données sont traitées dans le cadre d’une alerte relative à un crime, un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l'intérêt général, le traitement repose sur l’article 6.1.c (respect d’une obligation légale à laquelle le responsable du traitement est soumis, à savoir la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique). Dans le cas où des Données sensibles sont traitées (à savoir, par exemple, une information sur l’orientation sexuelle d’une personne), le traitement respecte l’article 9 du RGPD au sens où l’une des exceptions est applicable au traitement concerné.
Lorsque les Données sont traitées en raison d’un manquement aux valeurs du Mouvement ne rentrant pas dans les catégories détaillées au deuxième paragraphe du présent article, le traitement repose sur la réalisation d’un intérêt légitime poursuivi par LAREM. Cet intérêt légitime consiste à collecter et traiter des alertes dans l’unique but de protéger les personnes effectuant des tâches au siège de LAREM. Sans les données nécessaires, LAREM ne peut traiter les signalements.
En tout état de cause, le recueil de données potentiellement sensibles ou relatives à des infractions dans le cadre de la Plateforme repose sur les fondements légaux suivants :
- article 9.2.f du RGPD concernant la constatation, l’exercice ou la défense d’un droit en justice ;
- article 10 du RGPD et l’article 46 de la loi Informatique et Libertés du 6 janvier 1978 s’agissant de la préparation, l’exercice et le suivi d’une action en justice en tant que victime, mis en cause ou pour le compte de l’un ou l’autre.
Article 5 - Données à caractère personnel collectées
- Le recours au dispositif d’alerte est une démarche purement volontaire. Les informations d’identification personnelle recueillies auprès des Lanceurs d’alerte naviguant sur la page web de la Plateforme sont détruites dès que le Lanceur d’alerte se déconnecte de la plate-forme et ne seront jamais utilisées pour une quelconque identification ou pour une autre utilisation.
- Lorsqu’un Lanceur d’alerte décide de soumettre une alerte, seule la divulgation de leur emplacement et de la langue « préférée » est obligatoire.
Hormis ces informations, les données à caractère personnel ne sont recueillies et traitées que si celles-ci sont volontairement divulguées par le Lanceur d’alerte. - Les données suivantes peuvent être collectées :
- Identité, fonctions et coordonnées de l’émetteur de l’alerte ;
- Identité, fonctions et coordonnées des personnes faisant l’objet de l’alerte ;
- Identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
- Les faits signalés ;
- Les éléments recueillis dans le cadre de la vérification des faits signalées ;
- Les comptes rendus des opérations de vérifications ;
- Les suites données à l’alerte. Les informations volontairement divulguées par le Lanceur d’alerte peuvent se rapporter, notamment, aux éléments suivants : nom du Lanceur d’alerte, adresse e-mail, numéros de téléphone fixe ou mobile, nature de la relation du Lanceur d’alerte avec LaREM, nature de la relation avec un tiers en lien avec LaREM, le nom des personnes et d’autres données personnelles des personnes mentionnées dans le signalement.
Concernant plus spécifiquement les données sensibles (par exemple, statut médical ou de santé, origine ethnique, religion, orientation sexuelle, opinions philosophiques et politiques, appartenance à un syndicat), la collecte de ces données peut être autorisée en vertu de l’article 8 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ou pour permettre à LAREM d’exercer et de suivre une action en justice en tant que victime, mise en cause ou pour le compte de ceux-ci.
- Par ailleurs, si le Lanceur d’alerte créé un compte personnel, il lui sera demandé de divulguer ses informations de connexion pour y accéder. Ces informations sont protégées et serviront uniquement à aider le Lanceur d’alerte à accéder à son compte personnel protégé ou à l’alerte, via la Plateforme.
- Les champs de collecte marqués d’un astérisque rouge sont obligatoires et doivent être remplis. A défaut, le Signalement ne pourra être traité.
- L’attention du Lanceur d’alerte est attirée sur le point suivant : des fichiers peuvent contenir des informations cachées le concernant, pouvant révéler son identité. Le Lanceur d’alerte doit donc effacer ces informations avant de soumettre cette alerte afin de garantir son anonymat. Dans le cas où le Lanceur d’alerte ne pourrait pas les effacer, celui-ci doit copier le texte de sa pièce jointe dans celui de son alerte, ou envoyer anonymement le document imprimé à l'adresse indiquée en bas de page, en précisant le numéro de référence qu’il recevra en fin de procédure.
Article 6 - Signalement anonyme
Les Données étant volontairement divulguées par le Lanceur d’alerte, certaines informations peuvent ne pas être divulguées si le Lanceur d’alerte choisit de rester anonyme. Dans cette hypothèse, l’alerte ne pourra être traitée que si la gravité des faits est établie et les éléments factuels suffisamment détaillés. De même, l’alerte anonyme verra son traitement être entouré de précautions particulières, telles qu’un examen préalable par le premier destinataire, afin de mesurer l’opportunité de la diffusion de l’alerte dans le cadre du dispositif.
Article 7 - Accès aux Données
Les Données communiquées font l’objet de mesures de sécurité structurées en plusieurs niveaux (sécurité des datacenters, mots de passe forts, chiffrement, etc.).
L’accès aux Données est strictement encadré et n’est accordé qu’à un nombre restreint de personnes dument habilitées et formées en matière de gestion de signalement.
Les personnes habilitées à accéder aux données sont :
- Les personnes internes à LaREM habilitées pour traiter les alertes (référents alerte), soumises à une obligation de confidentialité renforcée ;
- Les instances de LaREM pouvant procéder au prononcé d’une sanction disciplinaire.
- Les avocats DPO pouvant intervenir suite à une demande d’assistance de LaREM, légalement soumis à une obligation de secret professionnel ;
Les personnes habilitées à accéder aux Données s’engagent à la plus stricte confidentialité et sont soumis à des process internes stricts afin d’éviter, notamment :
- toute divulgation de données ;
- toute altération de données ;
- toute atteinte à la confidentialité des données ;
- tout conflit d’intérêt ;
Ces mesures sont mises en place afin de protéger le Lanceur d’alerte, et notamment son identité et son statut.
Les Données ne sont jamais transmises à des tiers (hormis le prestataire technique gérant la plateforme, celui-ci ne pouvant néanmoins consulter les données, notamment en raison de l’application de mesures de chiffrement).
Article 8 - Divulgation des informations
Les éléments de nature à identifier le Lanceur d’alerte ne peuvent être divulgués, sauf à une autorité judiciaire, qu'avec le consentement de la personne.
Les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à une autorité judiciaire, qu'une fois établi le caractère fondé de l'alerte.
La personne qui fait l'objet d'une alerte est, conformément à la règlementation en vigueur, informée par le responsable du dispositif dès l'enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s'opposer au traitement de ces données. La personne qui fait l’objet de l’alerte n’est pas informée de l’identité du lanceur d’alerte.
Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l'alerte, l'information de cette personne intervient après l'adoption de ces mesures.
Cette information, qui est réalisée selon des modalités permettant de s'assurer de sa bonne délivrance à la personne concernée, précise notamment l'entité responsable du dispositif, les faits qui sont reprochés, les services éventuellement destinataires de l'alerte ainsi que les modalités d'exercice de ses droits d'accès et de rectification.
Article 9 - Durée de conservation des données
Les Données sont conservées pour la durée nécessaire au traitement de l’alerte, à la vérification et à l’instruction du signalement.
Au regard des finalités pouvant justifier la mise en place d’un dispositif d’alertes professionnelles et sauf disposition légale ou réglementaire contraire :
- les données relatives à une alerte considérée par LAREM comme n'entrant pas dans le champ du dispositif, sont détruites sans délai ou anonymisées.
- Lorsqu’aucune suite n’est donnée à une alerte rentrant dans le champ du dispositif, les données relatives à cette alerte sont détruites ou anonymisées par l’équipe chargée de la gestion des alertes, dans un délai de deux mois à compter de la clôture des opérations de vérification.
- Lorsqu'une procédure disciplinaire ou contentieuse est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte peuvent être conservées par l’équipe chargée de la gestion des alertes jusqu'au terme de la procédure ou de la prescription des recours à l’encontre de la décision.
Hormis les cas où aucune suite n’est donnée au Signalement, LAREM peut conserver les données collectées sous forme d’archives intermédiaires afin :
- D’assurer la protection du Lanceur d’alerte ;
- De permettre la constatation des infractions continues.
Les Données peuvent être conservées plus longtemps, en archivage intermédiaire, si LAREM en a l’obligation légale.
Les Données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d‘un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédure contentieuses, les délais applicables étant ceux des délais de prescription prévues par les dispositions légales et réglementaire.
Les données anonymisées peuvent être conservées sans limitation de données.
Article 10 - Droits du Lanceur d’alerte
En vertu de la réglementation relative à la protection des données à caractère personnel, les droits suivants peuvent être exercés :
- Droit d’accès et d’information
LAREM souhaite délivrer une information claire et concise à une personne exerçant ses droits en vertu de la règlementation en vigueur. Ainsi, toute personne utilisant la Plate-forme peut solliciter LAREM afin d’en savoir davantage sur la protection de ses Données et ses droits.
Toute personne utilisant la plateforme dédiée peut librement contacter LAREM à l’adresse mail : data-alerte@en-marche.fr
L’attention du Lanceur d’alerte est attirée sur le fait que les messages transmis à cette adresse doivent être exclusivement relatif à la plate-forme de Lanceur d’alerte et ne peuvent être consultés et traités que par des personnes dûment habilitées et soumises à des process stricts.
Le Lanceur d’alerte peut également obtenir une copie des données détenues par LAREM. En cas de demande de copie, LAREM ne sera plus responsable de la sécurité des données transmises, et il appartiendra au Lanceur d’alerte de prendre toute mesure nécessaire, physique et informatique, afin que les données restent confidentielles.
Le Lanceur d’alerte peut s’opposer au traitement de ses Données, notamment pour des raisons tenant à sa situation particulière.
Le droit d’opposition ne peut être exercé par le Lanceur d’alerte lorsque son Signalement rentre dans le cadre des dispositions de la Loi Sapin II.
Le Lanceur d’alerte peut obtenir du Responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
- lorsque l’exactitude des Données à caractère personnel est contestée, et ce pendant une durée permettant à LAREM de vérifier l’exactitude des Données à caractère personnel ;
- lorsque le traitement est illicite et que le Lanceur d’alerte s’oppose à l’effacement de ses Données et qu’il exige, en lieu et place, la limitation du traitement ;
- lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais le Lanceur d’alerte en a besoin pour la constatation, l’exercice ou la défense de droits en justice ;
- lorsque le Lanceur d’alerte s’oppose au traitement qui serait fondé sur l’intérêt légitime de LAREM, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par LAREM prévalent sur ceux du Lanceur d’alerte.
- Droit à l’effacement des données
Sous réserve de la règlementation en vigueur, et notamment des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), le Lanceur d’alerte peut réclamer l’effacement des Données à caractère personnel qui lui sont relatives :
- Lorsque les Données ne sont pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
- lorsque le Lanceur d’alerte retire son consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au traitement n’existe ;
- lorsque le Lanceur d’alerte estime que le traitement de leurs Données à caractère personnel constitue un traitement illicite ;
- lorsque les Données doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’Etat membre auquel LAREM est soumis, soit la France.
- Lorsque le Lanceur d’alerte s’est opposé au traitement des données et que LAREM n’a pas de motif légitime ou impérieux pour refuser la demande ;
LAREM pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.
Lorsqu’une Donnée est erronée, le Lanceur d’alerte peut demander à ce que ladite Donnée soit rectifiée.
LAREM pourra cependant opposer à la demande l’existence d’une motif légitime et impérieux.
- Droit de donner des directives après le décès
Le Lanceur d’alerte dispose du droit de délivrer des directives (générales ou particulières) afin de pouvoir organiser le sort de ses Données après son décès.
- Droit d’introduire une réclamation auprès de la CNIL
Si la réponse apportée par LAREM à une demande d’exercice des droits ne vous satisfait pas, vous disposez de la faculté de saisir l’autorité de contrôle, à savoir la CNIL (Commission Nationale Informatique et Libertés) pour la France.
Article 11 - Modalités d’exercice des droits
LAREM s’engage à répondre dans les meilleurs délais à toute demande d’exercice des droits et au plus tard dans le délai d’un moi. Dans certains cas, et afin d’empêcher toute altération d’une alerte par une personne autre que le Lanceur d’alerte, un justificatif d’identité pourra être demandé. Uns fois analysé, le justificatif d’identité sera immédiatement détruit.
Article 12 - Sécurité des données
LAREM a sélectionné comme prestataire technique pour administrer la plateforme, Business Keeper AG (qui intervient comme sous-traitant), notamment en raison des mesures de sécurité mises en œuvre par ce prestataire.
Les mesures de sécurité mises en œuvre par Business Keeper AG sont détaillées dans le document établi par ce prestataire et librement consultable à l’adresse URL : https://www.business-keeper.com/fr/bkmsr-compliance-system/protection-des-donnees-et-securite-de-linformation.
Les Données sont conservées de façon sécurisée dans une base de données gérée par le sous-traitant, à savoir Busines Keeper AG, dans un datacenter (centre de données) sécurisé et situé dans le territoire de l’Union européenne. Seule l’équipe de référents de LAREM a accès à ces données : la société Busines Keeper AG ne dispose aucun d’accès, en raison de l’application de mesures de chiffrement.
Article 13 - Modalités de contact du DPO
LAREM a désigné un Délégué à la Protection des données (DPO). Pour toute question relative aux engagements de LAREM concernant la protection de vos données, ou pour tout autre réclamation, vous pouvez contacter le DPO de LAREM à l’adresse suivante : dpo-alerte@en-marche.fr .