CHARTE DE CONFIDENTIALITÉ

La présente Charte de confidentialité est fournie par Chiesi Farmaceutici S.p.A., y compris ses filiales (ci-après le « Groupe CHIESI » ou « Chiesi »), conformément à la réglementation applicable en matière de protection de la vie privée, et a pour but d’informer les lanceurs d’alerte de la façon dont nous traitons les informations contenues dans leur signalement.

Si vous vous trouvez dans l’Union européenne, ou si vous signalez une violation concernant une société du Groupe Chiesi située dans l’Union européenne, vos données seront traitées conformément au règlement (UE) 2016/679 (dit « RGPD »). Le responsable local du traitement des données de votre signalement est la société du Groupe Chiesi que vous avez choisie lors de la soumission de votre signalement. Les signalements seront reçus et évalués au niveau local (sauf s’ils sont spécifiquement transmis à la société mère en Italie ou en l’absence de filiale locale) et seules des personnes spécifiquement formées à cette fin y auront accès et seront responsables des données signalées, selon le principe du besoin d’en connaître.

On entend par « Données à caractère personnel » toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Il s’agit également de chaque élément d’information qui, ensemble, peuvent mener à l’identification d’une personne.

« Le Traitement des Données à caractère personnel » couvre un large éventail d’opérations effectuées sur des Données à caractère personnel, que ce soit par des moyens manuels ou automatisés. Le traitement comprend la collecte, l’enregistrement, l’organisation, la structuration, le conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des Données à caractère personnel.

On entend par « Utilisateur » toute personne physique soumettant un signalement par le biais de la plateforme (ci-après dénommée « SpeakUp&BeHeard » ou « Plateforme »).

(1) INFORMATIONS GÉNÉRALES

OBJECTIFS :

La plateforme SpeakUp&BeHeard est un dispositif téléphonique et en ligne permettant à toute personne, notamment, les salariés, prestataires et fournisseurs de Chiesi, de signaler toute violation présumée ou toute inquiétude concernant la violation des lois, des règlements et des politiques internes. Ces signalements peuvent porter sur des comportements susceptibles d’enfreindre le Code de conduite du Groupe CHIESI, sa politique anticorruption, les lois concernant la lutte contre la corruption ou les lois pénales, et toute autre violation susceptible d’affecter l’intégrité commerciale et financière de la société (corruption, conflit d’intérêts, comportements déloyaux, fraudes, délits d’initiés, problèmes comptables, etc.), la sécurité environnementale ou le bien-être animal.

Le Groupe Chiesi traitera vos Données à caractère personnel uniquement aux fins suivantes :

- Mettre à disposition et gérer la Plateforme de signalement et les signalements qui y sont associés;
- Gérer le suivi du signalement, mener des enquêtes avec les parties prenantes concernées, y compris les pouvoirs publics;
- Prévenir et agir contre les comportements illicites, en appliquant si nécessaire des mesures disciplinaires;
- Sauvegarder les intérêts de l’entreprise, ainsi que les droits de ses salariés et des tiers concernés.

CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL :

Il n’est pas obligatoire de fournir des Données à caractère personnel. Grâce à son option de signalement anonyme, SpeakUp&BeHeard vous permet de soumettre un signalement sans fournir de Données à caractère personnel (sachez que, selon le cadre juridique local, l’examen de certains signalements peut nécessiter la divulgation de certaines de vos Données à caractère personnel).

Si l’Utilisateur décide, de son plein gré, de fournir ses Données à caractère personnel, il se peut que les catégories de données suivantes soient traitées par le Responsable du traitement des données concerné :

- Données d’identification de l’Utilisateur : nom, prénom et adresse e-mail;
- Données à caractère personnel de la personne signalée ou des autres parties mentionnées lors du signalement ou obtenues par le Responsable du traitement des données au cours des enquêtes;
- Les informations relatives au comportement signalé;

Sachez que les informations incluses dans certains signalements peuvent impliquer des catégories particulières de Données à caractère personnel. Conformément à l’article 9 du RGPD, les « catégories particulières de données à caractère personnel » sont considérées comme des données susceptibles de révéler l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques, l’appartenance à des partis ou à des syndicats, les données concernant la santé et la vie sexuelle et, dans le cadre de la présente déclaration.

BASE JURIDIQUE DU TRAITEMENT :

Obligation légale : se conformer aux lois et règlements applicables et répondre aux demandes émanant des Autorités compétentes.

Intérêt légitime :  nous conserverons également vos Données à caractère personnel sur la base de l’intérêt légitime des sociétés du Groupe Chiesi (en particulier les Responsables du traitement des données concernées) afin de prévenir et d’enquêter sur les violations potentielles décrites dans la section OBJECTIFS, de défendre ses droits dans le cadre de toute procédure judiciaire en découlant (ou de lancer des poursuites).

 (2) TRAITEMENT DE VOS DONNÉES À CARACTÈRE PERSONNEL

Votre signalement sera exclusivement traité par le personnel interne et externe spécifiquement désigné, sur la base du principe du besoin d’en connaître.

Les Données à caractère personnel peuvent également être partagées avec d’autres sociétés ou personnes, y compris le prestataire de services de la Plateforme, ou être consultées par ces derniers. Le prestataire n’accédera aux données qu’à des fins de maintenance du Dispositif, ou pour fournir une assistance technique à l’Utilisateur.

Chiesi assure la protection de vos Données à caractère personnel et la légitimité de leur traitement en désignant les parties concernées comme sous-traitants des données par le biais d’accords de traitement de données appropriés. Tous nos sous-traitants de données doivent donc se conformer aux lois applicables en matière de confidentialité, et mettre en œuvre des mesures de sécurité appropriées.

Dans certaines circonstances, nous pourrions être amenés à partager les informations issues de votre signalement, y compris vos Données à caractère personnel, avec les pouvoirs publics et les tribunaux qui les estiment nécessaires pour enquêter ou statuer sur l’affaire, ainsi qu’avec les conseillers juridiques qui apportent leur soutien à Chiesi dans le cadre du traitement du signalement.

N’oubliez pas que l’identité de l’Utilisateur, agissant en tant que lanceur d’alerte, ne sera divulguée qu’en cas d’obligation légale, de demande de divulgation susmentionnée, ou pour garantir le droit de défense de la personne dénoncée (cette disposition peut varier selon la législation propre au pays concerné). 

Comment nous assurons la protection de vos Données à caractère personnel

Chiesi met en œuvre des mesures de sécurité appropriées pour protéger vos Données à caractère personnel contre tout accès non autorisé, toute divulgation ou toute perte, y compris:

- Des mesures raisonnables pour s’assurer que les Données à caractère personnel sont collectées conformément aux principes de minimisation et de limitation des objectifs. Nous conservons vos Données à caractère personnel pour une durée limitée, comme indiqué dans la section suivante (3), à moins qu’une extension de la période de conservation ne soit requise ou autorisée par la loi;
- De nombreuses technologies visent à assurer la confidentialité des Données à caractère personnel, allant du cryptage, des mots de passe forts et de l’authentification à deux facteurs, aux pares-feux et aux logiciels dédiés pour protéger les serveurs en cas d’attaque externe;
- Nous choisissons nos partenaires commerciaux et prestataires de services sur la base de critères de qualification stricts et les obligeons à se conformer à nos normes de protection des données sécurisées par des dispositions contractuelles spécifiques. En outre, nous effectuons des audits et d’autres évaluations pour vérifier leur conformité aux exigences susmentionnées;
- Nous proposons des formations sur la confidentialité et à la protection des données pour vérifier les connaissances des salariés et des sous-traitants, ainsi que d’autres activités visant à les sensibiliser davantage à la confidentialité.

Transferts internationaux de données

Vos Données à caractère personnel visées à la section (1) sont stockées sur le serveur du prestataire de la Plateforme (spécifiquement désigné comme sous-traitant) situé en Italie ou au sein de l’Union européenne. Sur la base des caractéristiques et du contenu de votre signalement, vos Données à caractère personnel peuvent être transférées vers d’autres pays, y compris hors de l’Union européenne. Le Groupe Chiesi a évalué l’impact des transferts internationaux entrant dans le cadre des signalements et a mis en œuvre les garanties appropriées, notamment en signant les clauses contractuelles types avec les parties prenantes concernées. Les sociétés du groupe Chiesi ont également conclu un accord interentreprises régissant les transferts entre la filiale américaine et les filiales européennes.

Chine : conformément à la réglementation locale, vos Données à caractère personnel seront transférées en dehors de la Chine avec votre consentement explicite. Sachez qu’en soumettant votre signalement (en cliquant sur le bouton « envoyer »), vous consentez au transfert de vos Données à caractère personnel.

Le personnel spécifique de Chiesi Farmaceutici S.p.A., la société mère basée en Italie, peut avoir accès aux Signalements afin de coordonner leur traitement au sein du Groupe Chiesi.

(3) PÉRIODE DE CONSERVATION DE VOS DONNÉES À CARACTÈRE PERSONNEL

Nous conservons vos Données à caractère personnel pendant la durée nécessaire et conforme aux nécessités pouvant s’imposer au cours du traitement de votre signalement (procès, procédure devant les pouvoirs publics...), conformément aux principes de minimisation, de limitation de la finalité, et selon les réglementations spécifiques au pays pouvant s’appliquer à chaque Filiale.

Tout signalement évalué/clos sera anonymisé en remplaçant les données personnelles par des mots clés spécifiques au plus tard deux (2) mois après la fin de l’enquête.

Si les vérifications internes du signalement ne soulèvent aucune inquiétude (signalement infondé), vos données seront immédiatement effacées.

Vos Données à caractère personnel seront traitées selon les conditions énoncées ci-dessus, ou pour une période plus courte si vous décidez d’exercer l’un des droits énumérés dans la section suivante (4). À l’expiration de cette période, vos Données à caractère personnel seront supprimées ou rendues anonymes conformément à nos procédures internes, sauf si des obligations légales l’exigent ou si vos Données à caractère personnel sont nécessaires à la protection de nos droits devant toute autorité judiciaire ou autre autorité compétente.

Sachez que si vous demandez la suppression de vos Données à caractère personnel, il se peut que nous ne soyons pas en mesure de traiter votre signalement ou de conclure l’enquête.

(4) DROITS DES PERSONNES CONCERNEES

Accès, rectification, effacement, portabilité des données, opposition du traitement, limitation du traitement et révocation du consentement.

Chiesi fournit un canal dédié à l’application de votre droit d’accès, de rectification, d’opposition ou de limitation du traitement de vos Données à caractère personnel, de votre droit à demander l’effacement, la portabilité (le cas échéant) de vos Données, ou de révoquer votre consentement dans les situations mentionnées par le RGPD ou d’autres règlements pertinents.

Pour en savoir plus ou pour exiger l’application de vos droits, nous vous invitons à contacter le délégué à la protection des données (DPD, en anglais « Data Protection Officer », soit « DPO ») du Groupe à l’adresse dpoit@chiesi.com,  ou le délégué à la protection des données local, dont les coordonnées figurent sur le site internet de la filiale locale. Vous trouverez de plus amples informations sur nos filiales sur le lien suivant : https://www.chiesi.com/en/about-us/our-affiliates/, ou dans la liste ci-dessous.

Si vous pensez que Chiesi ne traite pas vos Données à caractère personnel conformément aux principes énoncés dans la présente Charte ou conformément aux lois applicables, sachez que vous avez le droit de déposer une plainte auprès d’une autorité de protection des données.

(5) INFORMATIONS CONCERNANT LA PRISE DE DÉCISION AUTOMATISÉE ET MISES À JOUR DE LA PRÉSENTE DÉCLARATION

Vos Données à caractère personnel ne sont pas soumises au processus de décision automatisé (y compris le profilage).

La présente déclaration peut être mise à jour à tout moment. Toute mise à jour de cette déclaration prendra effet lors de sa publication sur la Plateforme.