Note d’information relative à la protection des données et à la confidentialité
La présente politique de protection des données ne s’applique à vous que si vous décidez de signaler un cas dans le cadre du processus de dépôt de plainte de ce canal de lancement d’alerte.
|
Informations de base sur la protection des données |
|||||||||
|
Responsable du traitement des données |
Identité : Entité du partenariat entre Stellantis Financial Services Europe (SFSE) et Santander Consumer Finance (SCF) où l’infraction à signaler a eu lieu.
(L’entité chargée du traitement des données sera dénommée « l’Entité » ) |
||||||||
|
Objectifs du traitement des données et base juridique |
Gérer et résoudre les plaintes que vous avez signalées concernant des violations du Code de conduite et/ou de la législation en vigueur, la base juridique de ce traitement étant le respect des obligations légales et de l’intérêt public. |
||||||||
|
Destinataires |
Vos données seront divulguées à NAVEX UK Limited (ci-après, le fournisseur ou NAVEX) enregistrée au Royaume-Uni sous le numéro d’enregistrement de société 12011655, dont le siège social est situé à Vantage West – 4th floor, Great West Road, Brentford TW8 9AG, Royaume-Uni. NAVEX est un sous-traitant de l’Entité. Le Royaume-Uni a une décision d’adéquation avec l’UE. En outre, vos données ne seront pas divulguées à des destinataires tiers, sauf dans les cas prévus par la loi, auquel cas elles peuvent être divulguées à des organismes ou institutions publics, lorsque la procédure relève de leur compétence, et que les données doivent rester confidentielles. |
||||||||
|
Droits |
Vous pouvez exercer vos droits d’accès, de rectification, d’effacement, de limitation et d’opposition aux données à tout moment. En plus de tout autre droit reconnu par la réglementation applicable en matière de protection des données. |
||||||||
|
Informations supplémentaires |
Les détails des informations incluses dans ce tableau sont fournis ci-dessous. |
||||||||
Informations additionnelles sur la protection des données
L’Entité respecte pleinement la réglementation en matière de protection des données à caractère personnel et, en particulier, le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; par conséquent, les informations à caractère personnel que vous fournissez lors du signalement d’une violation du Code d’éthique sur ce canal de lancement d’alerte (le Canal) seront traitées conformément aux garanties requises et aux exigences légales.
Conformément à la réglementation en vigueur, l’Entité a intégré les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adéquat et prévenir la perte, l’utilisation abusive, l’altération, l’accès non autorisé et le vol des données fournies par les personnes concernées. L’Entité garantit également qu’elle respecte le devoir de secret et de confidentialité concernant les données à caractère personnel fournies par les personnes concernées sur ce Canal.
L’accès aux données à caractère personnel en possession du Canal sera limité aux personnes, à l’intérieur ou à l’extérieur de l’Entité, qui exercent des fonctions de contrôle interne et de conformité. Néanmoins, d’autres employés de l’Entité qui peuvent jouer un rôle pertinent dans la résolution du cas peuvent avoir accès à ces données (c’est-à-dire les ressources humaines, les syndicats, etc.).
I. Qui est le responsable du traitement des données ?
Le responsable du traitement est l’Entité où l’infraction à signaler a eu lieu.
Stellantis Financial Services Belux SA |
Banque Stellantis France |
Stellantis Financial Services Italia S.p.A. |
Stellantis Renting Italia S.p.A. |
Stellantis Financial Services Polska Sp. z o.o. |
Stellantis Consumer Financial Services Polska Sp. z o.o. |
Stellantis Financial Services Nederland B.V. |
Stellantis Financial Services España, E.F.C., S.A. |
II. Qui est le délégué à la protection des données et comment pouvez-vous le contacter ?
Le délégué à la protection des données est le tiers chargé, entre autres, de veiller au respect du RGPD pour assurer la protection des données à caractère personnel traitées via le Canal.
Pour contacter le délégué à la protection des données, vous pouvez envoyer une notification à l’adresse e-mail de l’entité où l’infraction à signaler a eu lieu :
| Stellantis Financial Services Belux SA | Sfbe-compliance@Stellantis-finance.com |
| Banque Stellantis France | Dpo-fr@Stellantis-finance.com |
| Stellantis Financial Services Italia S.p.A. | Dataprotection@Stellantis-finance.com |
| Stellantis Renting Italia S.p.A. | Dataprotection@Stellantis-finance.com |
| Stellantis Financial Services Polska Sp. z o.o. | Dane-osobowe@Stellantis-finance.com |
| Stellantis Consumer Financial Services Polska Sp. z o.o. | Dane-osobowe@Stellantis-finance.com |
| Stellantis Financial Services Nederland B.V. | Pfne-compliance@Stellantis-finance.com |
| Stellantis Financial Services España, E.F.C., S.A. | Delegadoprotecciondatos@Stellantis-finance.com |
III À quelles fins ou sur quel fondement juridique traitons-nous les données à caractère personnel ?
La base juridique du traitement pour la gestion des signalements concernant des violations du Code d’éthique et/ou de la législation en vigueur :
| Stellantis Financial Services Belux SA | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par la loi belge relative à la protection des personnes qui signalent des violations du droit syndical ou du droit national détectées au sein d’une entité juridique du secteur privé, du 28 novembre 2022, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt public. |
| Banque Stellantis France | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par la loi française n° 2022-401 du 21 mars 2022, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
| Stellantis Financial Services Italia S.p.A. | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par le décret législatif italien n° 24 du 10 mars, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
| Stellantis Renting Italia S.p.A. | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par le décret législatif italien n° 24 du 10 mars, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
|
Stellantis Financial Services Polska Sp. z o.o.
Stellantis Consumer Financial Services Polska Sp. z o.o. |
est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par la loi polonaise sur la protection des lanceurs d’alertes du 14 juin 2024, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
| Stellantis Financial Services Nederland B.V. | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par la loi néerlandaise sur la protection des lanceurs d’alertes du 18 juin 2023, ainsi que d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
| Stellantis Financial Services España, E.F.C., S.A. | est de se conformer aux obligations légales imposées à l’Entité, notamment celles prévues par la loi espagnole 2/2023 du 20 février, ainsi qu’à d’autres réglementations sectorielles applicables à l’Entité en raison de son activité et de l’intérêt général. |
IV. Combien de temps conserverons-nous vos données ?
Les données à caractère personnel fournies seront traitées aussi longtemps que nécessaire pour gérer et résoudre la plainte déposée. Les données ne seront stockées dans le système d’alerte que pendant le temps nécessaire pour décider d’ouvrir ou non une enquête sur les allégations formulées, conformément aux délais prévus par le RGPD sur la protection des données et la garantie des droits numériques. Les données seront supprimées du système trois mois après la clôture du dossier et seront ensuite cryptées et transférées vers un autre entrepôt de données où elles seront conservées pendant un maximum de 10 ans.
V. Vos données seront-elles divulguées ?
En ce qui concerne la divulgation des données, il est expressément indiqué que vos informations à caractère personnel ne seront pas divulguées à des tiers, sauf si la loi l’exige, ou si la personne concernée est supervisée dans ce processus par un employé de SFSE et/ou de SCF, auquel cas elles peuvent être communiquées à cette entité, à des organismes publics ou à des institutions, lorsque la procédure relève de leur compétence. Nonobstant ce qui précède, l’Entité adoptera les mesures nécessaires pour préserver la confidentialité des données.
La plateforme du canal de lancement d’alerte est hébergée au Royaume-Uni, un pays qui a reçu une décision d’adéquation de la Commission européenne. D’autres transferts internationaux de données à caractère personnel peuvent être effectués occasionnellement dans le cadre de l’assistance aux services, auquel cas des clauses contractuelles types approuvées par la Commission européenne ont été adoptées avec des mesures supplémentaires pour assurer un niveau de protection de la vie privée similaire au RGPD.
Néanmoins, nous aurons la collaboration de prestataires de services tiers qui peuvent avoir accès à vos données à caractère personnel et qui traiteront les données susmentionnées en notre nom et pour notre compte, en raison de leur prestation de services.
Au sein de l’Entité, nous suivons des critères stricts pour la sélection des prestataires de services afin de respecter leurs obligations en matière de protection des données, et nous nous engageons à signer avec eux l’accord de traitement des données correspondant, par lequel nous leur imposerons, entre autres, les obligations suivantes : appliquer les mesures techniques et organisationnelles appropriées ; traiter les données à caractère personnel aux fins convenues et uniquement conformément aux instructions documentées de l’Entité ; et supprimer ou restituer les données à l’Entité une fois la prestation des services terminée.
Plus précisément, l’Entité signera un contrat pour la fourniture de services par des prestataires tiers qui exercent leur activité, à titre d’exemple et sans limitation, dans les secteurs suivants : conseil juridique, approbation de prestataires, sociétés de services professionnels multidisciplinaires, sociétés liées à la maintenance, sociétés de prestataires de services technologiques, sociétés de prestataires de services informatiques, sociétés de sécurité, prestataires de services de messagerie instantanée et sociétés de gestion et de maintenance d’infrastructures.
VI. Quels sont vos droits lorsque vous nous fournissez vos données ?
Vous pouvez exercer, si vous le souhaitez et à tout moment, les droits d’accès, de rectification et d’effacement de vos données à caractère personnel, ainsi que demander la limitation du traitement de vos données à caractère personnel, en envoyant une notification écrite à l’adresse électronique suivante :
Stellantis Financial Services Belux SA |
|
Banque Stellantis France |
|
Stellantis Financial Services Italia S.p.A. |
|
Stellantis Renting Italia S.p.A. |
|
Stellantis Financial Services Polska Sp. z o.o. |
|
Stellantis Consumer Financial Services Polska Sp. z o.o. |
|
Stellantis Financial Services Nederland B.V. |
|
Stellantis Financial Services España, E.F.C., S.A. |
Nonobstant tout autre recours administratif ou action en justice, vous pouvez dans tous les cas déposer une réclamation auprès de l’Agence espagnole de protection des données, notamment lorsque vous n’êtes pas satisfait de l’exercice de vos droits, en visitant www.aepd.es ou sur le site Internet de l’autorité locale de protection des données :
Belgique
Commission de la protection de la vie privéeRue de la Presse 35
1000 Bruxelles
Site Internet : http://www.privacycommission.be/
Pays-Bas
Autoriteit PersoonsgegevensPrins Clauslaan 60
P.O. Box 93374
2509 AJ Den Haag/La Haye
Site Internet : https://autoriteitpersoonsgegevens.nl/nl
France
Commission Nationale de l'Informatique et des Libertés – CNIL3 place de Fontenoy TSA 80715
75334 PARIS CEDEX 07
Site Internet : http://www.cnil.fr/
Italie
Garante per la protezione dei dati personaliPiazza di Monte Citorio, 121
00186 Rome
Site Internet : http://www.garanteprivacy.it/
Pologne
Urząd Ochrony Danych OsobowychUl. Stawki 2
00-193 Varsovie
Site Internet : https://uodo.gov.pl/en
J’ACCEPTE,
J’ai pris connaissance des conditions et exprime expressément mon consentement quant au traitement de mes données à caractère personnel tel que décrit aux sections 3 et 4 ci-dessus.