
Objet et finalités du traitement
Le traitement des données effectué par la société SUEZ SA ou l’une de ses filiales (ci-après collectivement « Groupe SUEZ ») a pour objet :
- Le recueil de tout signalement (« Signalement ») ne constituant pas une Alerte telle que définie ci-après ;
- Le recueil et la gestion des alertes (« Alertes ») relatives à :
- un crime ou délit, une violation ou tentative de dissimulation d’une violation d’un engagement international de la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, des lois ou règlements, ou menace ou préjudice pour l’intérêt général ; et/ou
- des faits de corruption, de trafic d’influence ou de conflits d’intérêts ; et/ou
- des conduites ou situations contraires à la Charte éthique du Groupe SUEZ ; ou l’existence ou la réalisation de risques d’atteintes graves que le Groupe SUEZ, ses filiales directes ou indirectes et ses sous-traitants ou fournisseurs commettraient dans leurs activités communes envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes, ainsi que l'environnement.
- un crime ou délit, une violation ou tentative de dissimulation d’une violation d’un engagement international de la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, des lois ou règlements, ou menace ou préjudice pour l’intérêt général ; et/ou
La gestion des Alertes mentionnées ci-dessus implique les finalités suivantes : le traitement des alertes par vérifications, enquêtes, auditions, collecte de preuves et analyses, la définition des suites à donner, la documentation des diligences accomplies, la protection des personnes concernées par les Alertes, l’exercice ou la défense de droits en justice et la réalisation d’audits du dispositif d’Alerte (ci-après, le « Dispositif »).
Base légale
En France, ces traitements sont réalisés par SUEZ SA et les entités concernées du Groupe SUEZ pour répondre :
- D’une part, à leurs obligations légales résultant des dispositions (i) des articles 6 et suivants et de l’article 17.II.2° de la Loi n° 2016-691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique telle que modifiée par la Loi n° 2022-401 du 21 mars 2022, dite Loi Sapin II, et (ii) de l’article L225-102-4 du Code de commerce.
- D’autre part à leur intérêt légitime à (i) acquérir la connaissance de tout acte ou situation contraire à leurs règles internes et de pouvoir y réagir s’agissant des Alertes signalant une conduite ou une situation contraire à la Charte éthique et (ii) recueillir les Signalements.
Dans le reste de l’Union européenne, les entités du Groupe SUEZ concernées traitent ces données personnelles dans leur intérêt légitime d’acquérir la connaissance de toute situation contraire à sa Charte éthique et de pouvoir y réagir. Chaque entité du Groupe SUEZ établie en dehors de l’Union européenne s’assure de la conformité des traitements de données personnelles à la réglementation applicable.
Catégories de données traitées
S’agissant des Signalements (hors Alertes), les données traitées sont celles fournies par la Personne Concernée dans le formulaire ou via l’adresse [email protected].
S’agissant du recueil et du traitement des Alertes, les catégories de données personnelles collectées directement et indirectement par la Direction Ethique et Conformité de SUEZ sont strictement nécessaires à la vérification des faits allégués :
Au stade de l’émission de l’Alerte :
Les informations communiquées par l’auteur de l’Alerte doivent rester factuelles et présenter un lien direct avec l’objet de l’Alerte. En application du principe de minimisation, il incombe à l’auteur de l’Alerte de limiter la communication de données personnelles au strict nécessaire afin de garantir le respect des droits et libertés des personnes susceptibles d’être concernées par l’Alerte. En particulier, les faits, informations ou documents, quel que soit leur forme ou leur support, dont la divulgation est interdite par les dispositions relatives au secret de la défense nationale, secret médical, secret des délibérations judiciaires, secret de l’enquête, de l’instruction judiciaire ou secret des relations entre un avocat et son client ne peuvent donner lieu à l’émission d’une Alerte.
Au stade de la réception et de l’instruction de l’Alerte :
Les catégories de données suivantes peuvent être traitées :
- Identité, fonctions et coordonnées de l'auteur de l'Alerte le cas échéant, dans la mesure où l’auteur de l’Alerte fournit ces données ;
- Identité, fonctions et coordonnées des personnes faisant l'objet de l’Alerte ;
- Identité, fonctions et coordonnées des personnes intervenant, consultées ou entendues pour le recueil ou le traitement de l'Alerte ;
- Identité, fonctions et coordonnées des facilitateurs et personnes en lien avec l’auteur de l’Alerte
- Faits signalés ;
- Éléments recueillis dans le cadre de la vérification des faits signalés ;
- Compte-rendu des opérations de vérification ;
- Suites données à l'Alerte.
Cas particulier des données sensibles et des données d’infractions :
En fonction de l’objet de l’Alerte, SUEZ SA et les entités concernées du Groupe SUEZ peuvent également être amenées à traiter des données sensibles au sens du RGPD et/ou des données relatives aux infractions, condamnations et mesures de sûreté concernant des personnes physiques. Dans de tels cas, le traitement de ces données est autorisé en vertu :
- Des obligations légales applicables aux entités du Groupe SUEZ ; ou
- De la nécessité pour les entités du Groupe SUEZ de constater, d'exercer ou de défendre un droit en justice.
Caractère obligatoire ou facultatif du recueil des données
Les données devant obligatoirement être fournies pour permettre à SUEZ SA ou à l’entité concernée du Groupe SUEZ de répondre et/ou de traiter l’Alerte ou le Signalement qui lui est soumis sont indiquées par un astérisque dans le formulaire.
Personnes concernées
Les personnes concernées (ci-après, « Personnes Concernées ») par les traitements sont :
- S’agissant des Alertes :
- l’auteur de l’Alerte : collaborateur du Groupe SUEZ, fournisseur, client ou tout autre tiers,
- la personne faisant l’objet de l’Alerte,
- les personnes intervenant, consultées ou entendues pour le traitement de l’Alerte, et
- les facilitateurs et personnes en lien avec l’auteur de l’Alerte.
- l’auteur de l’Alerte : collaborateur du Groupe SUEZ, fournisseur, client ou tout autre tiers,
- S’agissant des Signalements: l’auteur du signalement et les personnes intervenant, consultées ou entendues pour le traitement du signalement.
Destinataires des données
Les données personnelles collectées sont exclusivement destinées aux personnes habilitées (ci-après « les Personnes Habilitées ») à en connaître dans la stricte limite de leurs attributions respectives, à savoir :
- La Direction Ethique et Conformité de SUEZ ou les Ethics & Compliance Officers ou Correspondants (« ECO » ou « ECC ») au sein des BU, qui reçoivent l’Alerte ou le Signalement ;
- Les autres Personnes Habilitées sont celles retenues (ou désignées) par un ECO ou par la Direction Ethique et Conformité de SUEZ pour l’assister ou pour leur déléguer le traitement de l’Alerte. Toute personne amenée à traiter une Alerte devra préalablement avoir signé un accord de confidentialité. Le cas échéant, les données peuvent être transmises à l’autorité judiciaire, dans le respect des dispositions légales ou réglementaires applicables.
Transfert des données hors UE
Les données personnelles traitées au niveau de la Direction de l’Ethique et de la Conformité du Groupe SUEZ peuvent, dans certains cas, faire l’objet de communications aux Personnels Habilitées au sein d’autres entités du Groupe SUEZ ou à des prestataires externes (en particulier des avocats) dans le cadre de transferts en dehors de l’Union européenne, pour les seuls besoins de la vérification ou du traitement des Alertes ou Signalements. Afin d’assurer la continuité de la protection des données personnelles, ces transferts sont soumis à la mise en place de garanties appropriées, conformément à l’Article 44 du RGPD.
Durées de conservation
S’agissant du recueil et du traitement des Signalements qui ne constituent pas des Alertes, les données sont conservées en base active jusqu’à la prise de décision définitive sur les suites à leur donner, puis en archivage intermédiaire pour la période strictement nécessaire à la constitution de preuves en prévision d’un éventuel contrôle ou litige et/ou la réalisation d’audits de qualité du mécanisme de Signalement et/ou pour permettre aux entités du Groupe SUEZ de répondre à leurs obligations comptables, sociales ou fiscales.
S’agissant du recueil et du traitement des Alertes, les données personnelles collectées seront conservées pendant la durée nécessaire au traitement :
Si l’Alerte n’est suivie d’aucune procédure disciplinaire ou judiciaire, les données sont conservées :
- En base active jusqu’à la prise de la décision définitive sur les suites à réserver à l’Alerte, qui doit intervenir dans un délai raisonnable à compter de la réception ;
- Puis en archivage intermédiaire pour une période strictement nécessaire à la protection des Personnes Concernées, la réalisation d'enquêtes complémentaires, la constitution de preuves en prévision d'un éventuel contrôle ou litige, la réalisation d'audits de qualité du Dispositif et/ou pour permettre aux entités du Groupe SUEZ de répondre à leurs obligations comptables, sociales ou fiscales ;
Si une procédure disciplinaire ou judiciaire est engagée à la suite de l’Alerte, les données sont conservées :
- En base active jusqu’au terme de la procédure ;
- Puis en archivage intermédiaire jusqu’à la prescription des recours à l’encontre de la décision intervenue et /ou pour la réalisation d'audits de qualité du Dispositif et/ ou pour permettre aux entités concernées du Groupe SUEZ de répondre à leurs obligations comptables, sociales ou fiscales.
Droits des Personnes Concernées
Conformément à la Réglementation, les Personnes Concernées disposent d’un droit d’accès, de rectification et d’effacement de leurs données personnelles, ainsi que d’un droit d’opposition pour des raisons tenant à leur situation particulière (pour les traitements fondés sur l’intérêt légitime de SUEZ SA ou des entités du Groupe SUEZ), et d’un droit de limitation du traitement des données qu’elles peuvent exercer par courrier postal avec la mention CONFIDENTIEL suivi du nom de l’entité concernée du Groupe SUEZ: Direction Ethique et Conformité SUEZ - Tour Altiplano, 4 place de la Pyramide, 92800 Puteaux - France ou par courriel à l’adresse [email protected].
Dans le cas d’Alertes, le droit de rectification ne doit notamment pas permettre la modification rétroactive des éléments contenus dans l’Alerte ou collectées lors de son instruction. Son exercice, lorsqu’il est admis, ne peut avoir pour effet d’empêcher la reconstitution de la chronologie des éventuelles modifications d’éléments importants de l’enquête. Ce droit ne peut être exercé que pour rectifier les données factuelles à l’appui d’éléments probants, sans que soient effacées ou remplacées les données, même erronées, collectées initialement.
En cas de réclamation quant au traitement de leurs données personnelles, les Personnes Concernées peuvent s’adresser au Délégué à la Protection des Données Personnelles désigné par le Groupe SUEZ par courrier postal avec la mention CONFIDENTIEL suivi du nom de l’entité concernée du Groupe SUEZ: Délégué à la protection des données personnelles SUEZ Tour Altiplano, 4 place de la Pyramide, 92800 Puteaux - France ou par courrier électronique à l’adresse [email protected]. Si elles estiment n’avoir pas obtenu les informations attendues, elles peuvent saisir l’Autorité de contrôle des données personnelles de leur pays (en France, la Commission Nationale Informatique et Libertés, 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07, https://www.cnil.fr/).