Notice d’information sur le traitement des données personnelles dans le cadre de de la gestion du canal de signalement interne « Lanceur d’alerte »

Préambule

Le Centre National de Rééducation Fonctionnelle et de Réadaptation (ci-après « Rehazenter ») accorde une grande importance à la protection des données à caractère personnel qu’il traite dans le cadre de ses missions, et ce conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») et à la Loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données.

Objet

Cette notice a pour objectif de vous informer de la manière dont vos données personnelles seront traitées par le Rehazenter dans le cadre des finalités détaillées ci-après.

Responsable du traitement

Le Responsable du traitement est le Rehazenter, établi et ayant son siège social à 1, Rue André Vésale, L-2674 Luxembourg, Grand-Duché du Luxembourg.   

Finalités et bases juridiques des traitements de données

Nous collectons et traitons vos données personnelles uniquement dans le cadre de la gestion du canal de signalement interne « Lanceur d’alerte ».

Ce traitement repose sur une obligation légale : la loi du 16 mai 2023 portant transposition de la directive UE 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union. Cette loi impose au Rehazenter de mettre en place un canal de signalement interne et d’assurer le suivi de ces signalements.

Les données personnelles collectées peuvent également être utilisées à des fins statistiques, ainsi que pour répondre à des obligations imposées par des instances compétentes en matière de contrôle, d’audit ou d’évaluation de la gestion du Rehazenter. Dans ces cas, les données seront anonymisées avant toute diffusion.

Données personnelles traitées

Les données personnelles traitées dans le cadre des finalités susmentionnées sont les suivantes :

  • Données d’identification et de contact du lanceur d’alerte, s’il ne souhaite pas rester anonyme
  • Toute autre donnée à caractère personnel communiquée par le lanceur d’alerte

Personnes concernées et méthodes de collecte des données personnelles

Ce traitement concerne les catégories suivantes de personnes :

  • Le personnel du Rehazenter
  • Les stagiaires du Rehazenter
  • Les membres du Conseil d’Administration
  • Les anciens collaborateurs
  • Les bénévoles
  • Les personnes en processus de recrutement
  • Les sous-traitants
  • Les fournisseurs
  • Les partenaires

Les données sont collectées via la plateforme Vispato, qui constitue l’outil informatique hébergeant le canal de signalement interne du Rehazenter. Cette plateforme est fournie par Vispato GmbH, société établie en Allemagne et soumise au droit allemand.

Exigence de fourniture de données

La fourniture de ces données est entièrement volontaire.

Prise de décision automatisée et profilage

Aucune décision automatisée n’est prise et aucun profilage n’est réalisé à partir de ces données.

Destinataires des données personnelles

Vos données sont accessibles uniquement aux personnes ou entités suivantes :

  • les gestionnaires de cas désignés au sein du Rehazenter pour gérer le canal de signalement interne et de traiter les signalements
  • d’autres personnes dont l’expertise serait nécessaire pour vérifier et élucider d’éventuelles violations de la législation

Les données sont hébergées par DATEV eG (Allemagne) dans des datacenters sécurisés en Allemagne. La plateforme de signalement interne est fournie par Vispato GmbH (Allemagne). Ces sous-traitants n’accèdent pas aux données qui sont chiffrées. 

Si la loi l’exige, ces données peuvent être communiquées aux autorités compétentes.    

Transfert international des données

Le Rehazenter ne procède pas au transfert de données vers un pays situé en dehors de l’Union européenne pour ce traitement. Au cas où un transfert vers un tel pays est envisagé, la personne concernée en sera informée préalablement et les mesures adéquates seront prises pour encadrer ce transfert.

Mesures de sécurité

Le Rehazenter met en place des mesures organisationnelles et techniques nécessaires pour assurer la sécurité des données personnelles contre les traitements non-autorisés. Seuls les membres du personnel habilités et soumis à une obligation de confidentialité ont accès aux données personnelles et ce dans le cadre exclusif de l’exécution de leurs missions.

Lieux et durées de conservation

Les données personnelles collectées dans le cadre de ce traitement sont conservées sur le site du Rehazenter ou confiés à un hébergeur de données, avec lequel le Rehazenter a établi un contrat imposant les mêmes règles de sécurité et de confidentialité que celles applicables sur son site. Les données personnelles relatives à une alerte seront conservées jusqu’à la prise de la décision définitive sur les suites à réserver à celle-ci. Après cette décision, les données seront archivées pour une durée de 10 ans, en tenant compte des délais d’éventuelles enquêtes complémentaires.

Droits de la personne concernée

En vertu du RGPD, la personne concernée dispose des droits suivants : accès aux données, rectification, effacement ou portabilité des données, limitation du traitement, opposition au traitement, retrait du consentement, si le traitement est basé sur celui-ci. Pour exercer ces droits, la personne concernée peut contacter le DPO du Rehazenter par email au dpo@rehazenter.lu ou par lettre signée et datée, en fournissant une copie de sa carte d’identité et en précisant les droits à exercer. Le Rehazenter s’engage à y répondre dans les délais légaux. Si la personne estime que ses droits ne sont pas respectés, elle peut contacter le DPO du Rehazenter ou déposer une réclamation auprès de la CNPD.