Introduction

Charte de protection des données à caractère personnel dans le cadre du dispositif d’alerte de Renaissance

Préambule

Le dispositif d’alerte éthique opéré avec la plateforme BKMS^® System est destiné à recueillir, traiter et gérer, en tout sécurité et confidentialité, tout crime, délit, toute menace ou tout préjudice pour l'intérêt général, toute violation ou tentative de dissimulation d'une violation d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, du droit de l'Union européenne, de la loi ou du règlement.

La plateforme est également destinée à recueillir, traiter et gérer en toute confidentialité les manquements aux valeurs de RENAISSANCE.

La plateforme mise en place permet ainsi, aisément et de manière sécurisée, de déposer une alerte afin que celle-ci soit traitée de manière rigoureuse dans le but de protéger les droits et libertés de chacun.

La plateforme est gérée par un prestataire externe, la société EQS Group AG, domiciliée au Bayreuther Str. 35, 10789 Berlin – Allemagne.

Article 1 - Définitions

La présente Charte a pour objet de définir la manière dont les données communiquées par les Lanceurs d’alerte ayant accès à ce dispositif sont traitées par RENAISSANCE (ci-après « RENAISSANCE » ou « RE »). Les termes ci-dessous listés ont la définition suivante :

Association : désigne le parti RENAISSANCE, Association régie par la loi du 1er juillet 1901 relative au contrat d’association et le décret du 16 août 1901, Dont le siège social est situé 68 rue du Rocher, 75008 Paris ;
Adhérents : personnes membres de l’Association RENAISSANCE ;
Bénévole : personne exécutant certaines tâches de manière bénévole au sein de l’Association RENAISSANCE ;
Charte : désigne la présente Charte de protection des données à caractère personnel ;
Collaborateur extérieur et occasionnel : personne exécutant de manière occasionnelle et rémunérée des tâches au sein de l’Association ;
Données à caractère personnel : désignent toute information permettant d’identifier directement ou indirectement une personne physique (mail, nom, prénom, etc.) ;
Site : désigne le site internet accessible à l'adresse URL https://parti-renaissance.fr/cellule-alerte ;
Plateforme : désigne la plateforme BKMS^® System, support du présent dispositif d’alerte. La Plateforme est éditée et gérée par la société EQS Group AG, située au Bayreuther Str. 35, 10789 Berlin en Allemagne, sous-traitant de RE ;
Lanceur d’alerte: désigne la personne physique déposant un signalement sur la présente Plateforme qui relève un fait répréhensible dont il a eu personnellement connaissance et concernant :
- Un crime, un délit, une menace ou préjudice pour l’intérêt général ;
- Une violation ou une tentative de dissimulation d’une violation :
  - D’un engagement international régulièrement ratifié ou approuvé par la France :
  - D’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement ;
  - Du droit de l’Union européenne ;
  - De la loi ou du règlement ;
- Une violation des valeurs de RENAISSANCE.
Equipe Cellule Alerte : groupe de personnes désigné par le secrétariat général de RENAISSANCE en charge de recevoir les alertes, d’en prendre connaissance et de les traiter ;
Membres du personnel : personne ayant conclu un contrat de travail avec RENAISSANCE (CDI, CDD, Contrat d’intérim), un contrat d’apprentissage ou une convention de stage ;
Cocontractant : personne physique ou morale partie à un contrat conclu avec RENAISSANCE. Et lorsque le cocontractant est une personne morale, les membres de l’organe d’administration, de direction ou de surveillance du cocontractant ainsi que les membres de leur personnel.
Signalement : signalement effectué de manière désintéressée et de bonne foi par le Lanceur d’alerte sur la Plateforme et de nature à révéler l’existence tout crime, délit, toute menace ou tout préjudice pour l'intérêt général, toute violation ou tentative de dissimulation d'une violation d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, du droit de l'Union européenne, de la loi ou du règlement ou d’une violation des valeurs de RENAISSANCE.

Article 2 - Point de contact des Lanceurs d’alerte

Toute question sur la protection des Données dans le cadre du présent dispositif d’alerte et les demandes relatives à l’exercice de vos droits sur les données personnelles doivent être adressées via le dispositif d’alerte en cliquant sur le bouton « Soumettre une alerte » ou « Demander conseil » ou « Exercer vos droits sur les données personnelles ».

Article 3 - Finalité de la collecte et du traitement des données personnelles

Les Données personnelles sont recueillies et traitées afin d’examiner les alertes ou signalements effectués dans le cadre du dispositif de lancement d’alerte.

Article 4 - Fondements légaux de la collecte de données

En application des dispositions des articles 6 et suivants de la loi n°2016-1691 du 9 décembre 2016 modifiés par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte et du décret n° 2022-1284 du 3 octobre 2022, l’Association RENAISSANCE a mis en place une Plateforme externalisée et sécurisée pour recueillir et traiter les signalements tels que définis à l’article 1.

Lorsque les Données sont traitées dans le cadre d’une alerte relative à un crime, un délit, une menace ou un préjudice pour l'intérêt général, une violation ou tentative de dissimulation d'une violation d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, du droit de l'Union européenne, de la loi ou du règlement, le traitement repose sur l’article 6 (respect d’une obligation légale à laquelle le responsable du traitement est soumis, à savoir la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique modifiée par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte). Dans le cas où des Données sensibles sont traitées (à savoir, par exemple, une information sur l’orientation sexuelle d’une personne), le traitement respecte l’article 9 du RGPD au sens où l’une des exceptions est applicable au traitement concerné.

Lorsque les Données sont traitées en raison d’un manquement aux valeurs de RE ne rentrant pas dans les catégories détaillées au deuxième paragraphe du présent article, le traitement repose sur la réalisation d’un intérêt légitime poursuivi par RE. Cet intérêt légitime consiste à collecter et traiter des alertes dans l’unique but de protéger les personnes effectuant des tâches au siège de RE. Sans les données nécessaires, RE ne peut traiter les signalements.

En tout état de cause, le recueil de données potentiellement sensibles ou relatives à des infractions dans le cadre de la Plateforme repose sur les fondements légaux suivants :

- article 9.2.f du RGPD concernant la constatation, l’exercice ou la défense d’un droit en justice ;

- article 10 du RGPD et l’article 46 de la loi Informatique et Libertés du 6 janvier 1978 s’agissant de la préparation, l’exercice et le suivi d’une action en justice en tant que victime, mis en cause ou pour le compte de l’un ou l’autre.

Article 5 - Données à caractère personnel collectées

Le recours au dispositif d’alerte est une démarche purement volontaire. Les informations d’identification personnelle recueillies auprès des Lanceurs d’alerte naviguant sur la page web de la Plateforme sont détruites dès que le Lanceur d’alerte se déconnecte de la plate-forme et ne seront jamais utilisées pour une quelconque identification ou pour une autre utilisation.
Lorsqu’un Lanceur d’alerte décide de soumettre une alerte, seule la divulgation de leur emplacement et de la langue « préférée » est obligatoire.
Hormis ces informations, les données à caractère personnel ne sont recueillies et traitées que si celles-ci sont volontairement divulguées par le Lanceur d’alerte.
Les données suivantes peuvent être collectées :
1. Identité, fonctions et coordonnées de l’émetteur de l’alerte ;
2. Identité, fonctions et coordonnées des personnes faisant l’objet de l’alerte ;
3. Identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
4. Les faits signalés ;
5. Les éléments recueillis dans le cadre de la vérification des faits signalées ;
6. Les comptes rendus des opérations de vérifications ;
7. Les suites données à l’alerte. Les informations volontairement divulguées par le Lanceur d’alerte peuvent se rapporter, notamment, aux éléments suivants : nom du Lanceur d’alerte, adresse e-mail, numéros de téléphone fixe ou mobile, nature de la relation du Lanceur d’alerte avec RE, nature de la relation avec un tiers en lien avec RE, le nom des personnes et d’autres données personnelles des personnes mentionnées dans le signalement.
  
  Concernant plus spécifiquement les données sensibles (par exemple, statut médical ou de santé, origine ethnique, religion, orientation sexuelle, opinions philosophiques et politiques, appartenance à un syndicat), la collecte de ces données peut être autorisée en vertu de l’article 8 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique modifiée ou pour permettre à RE d’exercer et de suivre une action en justice en tant que victime, mise en cause ou pour le compte de ceux-ci.

Par ailleurs, si le Lanceur d’alerte créé un compte personnel, il lui sera demandé de divulguer ses informations de connexion pour y accéder. Ces informations sont protégées et serviront uniquement à aider le Lanceur d’alerte à accéder à son compte personnel protégé ou à l’alerte, via la Plateforme.
Les champs de collecte marqués d’un astérisque rouge sont obligatoires et doivent être remplis. A défaut, le Signalement ne pourra être traité.
L’attention du Lanceur d’alerte est attirée sur le point suivant : des fichiers peuvent contenir des informations cachées le concernant, pouvant révéler son identité. Le Lanceur d’alerte doit donc effacer ces informations avant de soumettre cette alerte afin de garantir son anonymat. Dans le cas où le Lanceur d’alerte ne pourrait pas les effacer, celui-ci doit copier le texte de sa pièce jointe dans celui de son alerte, ou envoyer anonymement le document imprimé à l'adresse indiquée en bas de page, en précisant le numéro de référence qu’il recevra en fin de procédure.

Article 6 - Signalement anonyme

Les Données étant volontairement divulguées par le Lanceur d’alerte, certaines informations peuvent ne pas être divulguées si le Lanceur d’alerte choisit de rester anonyme. Dans cette hypothèse, l’alerte ne pourra être traitée que si la gravité des faits est établie et les éléments factuels suffisamment détaillés. De même, l’alerte anonyme verra son traitement être entouré de précautions particulières, telles qu’un examen préalable par le premier destinataire, afin de mesurer l’opportunité de la diffusion de l’alerte dans le cadre du dispositif.

Article 7 - Accès aux Données

Les Données communiquées font l’objet de mesures de sécurité structurées en plusieurs niveaux (sécurité des datacenters, mots de passe forts, chiffrement, etc.).

L’accès aux Données est strictement encadré et n’est accordé qu’à un nombre restreint de personnes dument habilitées et formées en matière de gestion de signalement.

Les personnes habilitées à accéder aux données sont :

Les personnes internes à RE habilitées pour traiter les alertes (Équipe Cellule alerte), soumises à une obligation de confidentialité renforcée ;
Les instances de RE pouvant procéder au prononcé d’une sanction disciplinaire.
Les avocats DPO pouvant intervenir suite à une demande d’assistance de RE, légalement soumis à une obligation de secret professionnel ;

Les personnes habilitées à accéder aux Données s’engagent à la plus stricte confidentialité et sont soumis à des process internes stricts afin d’éviter, notamment :

Toute divulgation de données ;
Toute altération de données ;
Tote atteinte à la confidentialité des données ;
Tout conflit d’intérêt ;

Ces mesures sont mises en place afin de protéger le Lanceur d’alerte, et notamment son identité et son statut.

Les Données ne sont jamais transmises à des tiers (hormis le prestataire technique gérant la plateforme, celui-ci ne pouvant néanmoins consulter les données, notamment en raison de l’application de mesures de chiffrement).

Article 8 - Divulgation des informations

Les éléments de nature à identifier le Lanceur d'alerte ne peuvent être divulgués qu'avec le consentement de celui-ci. Ils peuvent toutefois être communiqués à l'autorité judiciaire, dans le cas où les personnes chargées du recueil ou du traitement des signalements sont tenues de dénoncer les faits à celle-ci. Le Lanceur d'alerte en est alors informé, à moins que cette information ne risque de compromettre la procédure judiciaire. Des explications écrites sont jointes à cette information.

Les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l'autorité judiciaire, qu'une fois établi le caractère fondé de l'alerte.

La personne qui fait l'objet d'une alerte est, conformément à la règlementation en vigueur, informée par le responsable du dispositif dès l'enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s'opposer au traitement de ces données. La personne qui fait l’objet de l’alerte n’est pas informée de l’identité du lanceur d’alerte.

Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l'alerte, l'information de cette personne intervient après l'adoption de ces mesures.

Cette information, qui est réalisée selon des modalités permettant de s'assurer de sa bonne délivrance à la personne concernée, précise notamment l'entité responsable du dispositif, les faits qui sont reprochés, les services éventuellement destinataires de l'alerte ainsi que les modalités d'exercice de ses droits d'accès et de rectification.

Article 9 - Durée de conservation des données

Les Données sont conservées pour la durée nécessaire au traitement de l’alerte, à la vérification et à l’instruction du signalement.

Au regard des finalités pouvant justifier la mise en place d’un dispositif d’alertes professionnelles et sauf disposition légale ou réglementaire contraire :

Les données relatives à une alerte considérée par RE comme n'entrant pas dans le champ du dispositif, sont détruites sans délai ou anonymisées.
Lorsqu’aucune suite n’est donnée à une alerte rentrant dans le champ du dispositif, les données relatives à cette alerte sont détruites ou anonymisées par l’équipe chargée de la gestion des alertes, dans un délai de deux mois à compter de la clôture des opérations de vérification.
Lorsqu'une procédure disciplinaire ou contentieuse est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte peuvent être conservées par l’équipe chargée de la gestion des alertes jusqu'au terme de la procédure ou de la prescription des recours à l’encontre de la décision.

Hormis les cas où aucune suite n’est donnée au Signalement, RE peut conserver les données collectées sous forme d’archives intermédiaires afin :

D’assurer la protection du Lanceur d’alerte ;
De permettre la constatation des infractions continues.

Les Données peuvent être conservées plus longtemps, en archivage intermédiaire, si RE en a l’obligation légale.

Les Données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d‘un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédure contentieuses, les délais applicables étant ceux des délais de prescription prévues par les dispositions légales et réglementaire.

Les données anonymisées peuvent être conservées sans limitation de données.

Article 10 - Droits du Lanceur d’alerte

En vertu de la réglementation relative à la protection des données à caractère personnel, les droits suivants peuvent être exercés :

Droit d’accès et d’information

RE souhaite délivrer une information claire et concise à une personne exerçant ses droits en vertu de la règlementation en vigueur. Ainsi, toute personne utilisant la Plate-forme peut solliciter RE afin d’en savoir davantage sur la protection de ses Données et ses droits.

Toute personne utilisant la Plateforme dédiée peut librement contacter RE à l’adresse mail : mes-données@parti-renaissance.fr

L’attention du Lanceur d’alerte est attirée sur le fait que les messages transmis à cette adresse doivent être exclusivement relatif à la plate-forme de Lanceur d’alerte et ne peuvent être consultés et traités que par des personnes dûment habilitées et soumises à des process stricts.

Le Lanceur d’alerte peut également obtenir une copie des données détenues par RE. En cas de demande de copie, RE ne sera plus responsable de la sécurité des données transmises, et il appartiendra au Lanceur d’alerte de prendre toute mesure nécessaire, physique et informatique, afin que les données restent confidentielles.

Droit d’opposition

Le Lanceur d’alerte peut s’opposer au traitement de ses Données, notamment pour des raisons tenant à sa situation particulière.

Le droit d’opposition ne peut être exercé par le Lanceur d’alerte lorsque son Signalement rentre dans le cadre des dispositions de la Loi Sapin II modifiée.

Droit à la limitation

Le Lanceur d’alerte peut obtenir du Responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

Lorsque l’exactitude des Données à caractère personnel est contestée, et ce pendant une durée permettant à RE de vérifier l’exactitude des Données à caractère personnel ;
Lorsque le traitement est illicite et que le Lanceur d’alerte s’oppose à l’effacement de ses Données et qu’il exige, en lieu et place, la limitation du traitement ;
Lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais le Lanceur d’alerte en a besoin pour la constatation, l’exercice ou la défense de droits en justice ;
Lorsque le Lanceur d’alerte s’oppose au traitement qui serait fondé sur l’intérêt légitime de RE, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par RE prévalent sur ceux du Lanceur d’alerte.

Droit à l’effacement des données

Sous réserve de la règlementation en vigueur, et notamment des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), le Lanceur d’alerte peut réclamer l’effacement des Données à caractère personnel qui lui sont relatives :

Lorsque les Données ne sont pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
Lorsque le Lanceur d’alerte retire son consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au traitement n’existe ;
Lorsque le Lanceur d’alerte estime que le traitement de leurs Données à caractère personnel constitue un traitement illicite ;
Lorsque les Données doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’Etat membre auquel RE est soumis, soit la France.
Lorsque le Lanceur d’alerte s’est opposé au traitement des données et que RE n’a pas de motif légitime ou impérieux pour refuser la demande ;

RE pourra, le cas échéant, opposer à la demande un intérêt légitime ou des motifs impérieux lorsque la législation applicable le prévoit.

Droit de rectification

Lorsqu’une Donnée est erronée, le Lanceur d’alerte peut demander à ce que ladite Donnée soit rectifiée.

RE pourra cependant opposer à la demande l’existence d’une motif légitime et impérieux.

Droit de donner des directives après le décès

Le Lanceur d’alerte dispose du droit de délivrer des directives (générales ou particulières) afin de pouvoir organiser le sort de ses Données après son décès.

Droit d’introduire une réclamation auprès de la CNIL

Si la réponse apportée par RE à une demande d’exercice des droits ne vous satisfait pas, vous disposez de la faculté de saisir l’autorité de contrôle, à savoir la CNIL (Commission Nationale Informatique et Libertés) pour la France.

Article 11 - Modalités d’exercice des droits

RE s’engage à répondre dans les meilleurs délais à toute demande d’exercice des droits et au plus tard dans le délai d’un moi. Dans certains cas, et afin d’empêcher toute altération d’une alerte par une personne autre que le Lanceur d’alerte, un justificatif d’identité pourra être demandé. Uns fois analysé, le justificatif d’identité sera immédiatement détruit.

Article 12 - Sécurité des données

RE a sélectionné comme prestataire technique pour administrer la Plateforme, EQS Group AG (qui intervient comme sous-traitant), notamment en raison des mesures de sécurité mises en œuvre par ce prestataire.

Les mesures de sécurité mises en œuvre par EQS Group AG sont détaillées dans le document établi par ce prestataire et librement consultable à l’adresse URL : https://www.eqs.bkms-system.com/fr/bkmsr-compliance-system/protection-des-donnees-et-securite-de-linformation.

Les Données sont conservées de façon sécurisée dans une base de données gérée par le sous-traitant, à savoir EQS Group AG, dans un datacenter (centre de données) sécurisé et situé dans le territoire de l’Union européenne. Seule l’équipe de référents de RE a accès à ces données : la société EQS Group AG ne dispose aucun d’accès, en raison de l’application de mesures de chiffrement.

Article 13 - Modalités de contact du DPO

RE a désigné un Délégué à la Protection des données (DPO). Pour toute question relative aux engagements de RE concernant la protection de vos données, ou pour tout autre réclamation, vous pouvez contacter le DPO de RE à l’adresse suivante : dpo@parti-renaissance.fr.

Aidez à préserver l'écosystème de Renaissance