Tell Me Privacy
-
Sommaire
1. Introduction
2. Responsable(s) du traitement
3. Délégué à la protection des donnée
4. Catégories de données à caractère personnel
5. Finalités et base légale du traitement
6. Transmission de données à caractère personnel à des tiers
7. Transfert international de données à caractère personnel
8. Période de conservation des données
9. Vos droits légaux
10. Définitions
Annexe 1 Données relatives aux responsables du traitement
Annexe 2 Amendements législatifs locaux
1. Introduction
La présente notice de confidentialité ( « notice de confidentialité », « notice »
) est publiée par chacune des entités du groupe Kia ( « groupe Kia Europe »
) listées ci-après dans l'annexe 1. Elle vise à vous informer sur le traitement de vos données à caractère personnel par l’entité groupe Kia Europe concernée dans le cadre du traitement d’incidents signalés par des collaborateurs, actuels et anciens, (y compris les directeurs ou membres du conseil d’administration, le personnel intérimaire, les coordinateurs expatriés et les stagiaires) du groupe Kia Europe ainsi que les personnes travaillant sous la supervision et la direction de contractants, de sous-traitants ou de fournisseurs du groupe Kia Europe ( « auteur du/de signalement »
) via la plateforme de signalement de comportement non conforme Kia Compliance : Tell Me ( « plateforme Tell Me »
).
Vous trouverez dans l'annexe 2 les différents amendements législatifs locaux qui s'appliquent à cette notice de confidentialité.
La plateforme Tell Me fournit au lanceur d'alerte un canal de communication dédié au signalement de violations des lois et statuts externes ainsi que des infractions aux règlements internes (par ex., au Kia EU Compliance & Integrity Code
) en vigueur au sein du groupe Kia Europe.
Pour de plus amples informations sur la plateforme Tell Me et pour savoir quand et comment soumettre des signalements, veuillez vous reporter à la politique Kia Compliance: Tell Me Policy
.
2. Responsable(s)
Dans le cas où l’incident signalé concerne exclusivement une affaire de Kia Europe GmbH ( « Kia EU »
), Kia EU est le responsable unique et indépendant du traitement des données à caractère personnel collectées lors de la réception, de l’analyse et du traitement d’incidents signalés via la plateforme Tell Me (ci-après désignées « données à caractère personnel pertinentes », « données pertinentes »
).
Lorsque le signalement concerne une affaire d’une autre entité du groupe Kia Europe ( « entité Kia concernée »
), Kia EU et l’entité Kia concernée collaboreront étroitement afin d’évaluer et d’enquêter sur le cas signalé (pour plus de détails sur la procédure de traitement des cas, veuillez consulter la politique Kia Compliance: Tell Me Policy
Par conséquent, dans un tel cas, Kia EU et l'entité Kia concernée définiront conjointement les finalités et moyens de traitement des données pertinentes en tant que responsables conjoints du traitement.
Dans ce but, ils définiront leurs responsabilités respectives pour assurer le respect des obligations en vertu du Règlement général sur la protection des données (RGPD) comme suit
:
(a) Dans le cas où vous faites valoir vos droits légaux conformément au paragraphe 9 de la présente notice de confidentialité, l'entité Kia concernée sera responsable de donner effet à de tels droits. Toutefois, Kia EU s’engage à immédiatement apporter à l'entité Kia concernée toute assistance adéquate dont l'entité Kia concernée a besoin afin de traiter votre déclaration conformément aux exigences du RGPD ;
(b) L'entité Kia concernée et Kia EU se conformeront à leurs obligations de vous fournir toute information utile relative au traitement des données à caractère personnel pertinentes conformément aux articles 13 et 14 du RGPD : (i) chacun des deux rendra la présente notice de confidentialité disponible via ses systèmes intranet ; (ii) Kia EU s’assurera que cette notice de confidentialité soit accessible sur la plateforme Tell Me ; et (iii) si et dans la mesure applicable, l'entité Kia concernée mettra à votre disposition des informations pertinentes conformément à l'art. 14 du RGPD.
(c) Nonobstant les articles 2(a) et (b) ci-dessus, l'entité Kia concernée et Kia EU affirment que vous pouvez exercer vos droits en vertu du RGPD vis-à-vis de l'un ou l'autre dans leur fonction de responsables conjoints du traitement. Toutefois, veuillez noter qu’en règle générale, l'entité Kia concernée répondra à votre demande.
Vous trouverez les coordonnées de contact des différentes entités du groupe Kia Europe dans l'annexe 1 ci-après.
3. Délégué à la protection des données
Si vous avez des questions sur ou en rapport avec cette notice de confidentialité, vous pouvez au choix contacter le Délégué à la protection des données Kia EU à l'adresse courriel : dpo@kia-europe.com
ou le Délégué à la protection des données ( « DPD »
) de l'entité Kia concernée. Vous trouverez les coordonnées de contact des différentes entités du groupe Kia Europe dans l'annexe 1 ci-après.
4. Catégories de données à caractère personnel
L’exploitation d’une plateforme de signalement de comportement non conforme et l’enquête des cas signalés via ladite plateforme impliquent nécessairement le traitement de données à caractère personnel. Veuillez cependant noter que l'auteur du signalement contrôle entièrement les informations qu'il souhaite signaler.
En effet, la plateforme Tell Me est un système de forme libre, cela signifie que la personne à l'origine du signalement n’est pas obligé d'établir et de soumettre son signalement en fonction de catégorisations prédéfinies.
Cela s'applique également à l’identité
de l'auteur du signalement, de la personne mise en cause,
d’un témoin,
ou de toute autre personne mentionnée dans la signalement pertinent
(tous ensemble ci-après désignés comme étant les « personnes concernées »
et chacun d'entre eux ci-après désigné comme étant la « personne concernée »
).
En tant qu'auteur de signalement, il convient de toujours évaluer soigneusement s’il est judicieux ou non de révéler votre identité. Bien que l’identité de l'auteur du signalement comme de tout tiers mentionné dans son signalement soient traitées avec la plus grande confidentialité, il se peut que, dans certaines circonstances, Kia EU ou l'entité Kia concernée se trouve dans l'obligation de divulguer l'identité de l'auteur du signalement ou de tiers mentionné dans le signalement.
C’est pour cette raison que le groupe Kia Europe a créé sa plateforme Tell Me de Kia Compliance. En effet, cet outil spécifique permet aux lanceurs d'alerte de soumettre leur rapport respectif de façon entièrement anonyme.
Si, en tant que lanceur d'alerte, vous souhaitez divulguer votre identité, veuillez alors consulter la politique Kia Compliance: Tell Me Policy
pour avoir connaissance des autres canaux de communication possibles.
Les types de données à caractère personnel que Kia EU et l'entité Kia concernée (le cas échéant) traitent en rapport avec la plateforme Tell Me, de même que celles qu’ils traitent pour résoudre des cas signalés, peuvent comprendre les informations suivantes relatives à la personne concernée (en fonction du contenu et des informations signalées par l'auteur du signalement) : le nom, le sexe, la nationalité, l’adresse et la ville ; l'adresse courriel ; le titre (fonction professionnelle) ; le rôle et le poste dans la société ; des numéros d’administration/numéros d’employés ; des détails caractéristiques de l’incident ; les mesures prises ; les rapports d'enquête ; d’autres données relatives à l’incident (par ex., la date, l'heure et le lieu) ; le code d’accès ; le fichier audio et l’adresse IP, de même que d’autres données techniques ; les enregistrements de consentement (par ex., des enregistrements du consentement donné de l'auteur du signalement).
Comme défini dans la politique Kia Compliance: Tell Me Policy
le groupe Kia Europe garantit une protection maximale de l'anonymat de l'auteur du signalement, si ce dernier souhaite rester anonyme, dans la mesure du possible et de manière proportionnelle. C'est pour cette raison que le groupe Kia Europe n'a aucun accès aux données techniques qui permettraient d'identifier l'auteur du signalement anonyme (par ex., une adresse IP, les fichiers d'enregistrements vocaux et les données des appels entrant).
En tant que lanceur d'alerte, abstenez-vous de divulguer des données à caractère personnel faisant partie de catégories particulières sans pertinence au regard du cas signalé, y compris des informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance à un syndicat, de même que des informations concernant l’état de santé ou la vie sexuelle.
S'il arrivait qu'un signalement contienne de telles données non pertinentes, Kia EU et l'entité Kia concernée les effaceront aussi bien dans le signalement que dans tous les ensembles de données pertinents.
Il en va de même pour les données à caractère personnel qui ne sont pas strictement et objectivement nécessaires en vue de vérifier les allégations faites dans le signalement.
5. Finalités et base légale du traitement
Kia EU et l'entité Kia concernée traitent des données à caractère personnel pertinentes à des fins de signalement initial, de vérification ultérieure de la déclaration soumise et d’enquête du cas signalé.
Les bases légales de ces traitements de données sont les suivantes :
• Consentement (art. 6 (1) a) du RGPD) :
la base légale de certains traitements des données à caractère personnel pertinentes par l'entité du groupe Kia Europe concernée est le consentement exprès préalable de la personne à l'origine du signalement (not. lorsque, à la demande de cette dernière, l'auteur du signalement et l'entité du groupe Kia Europe concernée s'entretiennent en visioconférence).
• Respect d'obligations légales (art. 6 (1) c) du RGPD) :
la mise en place et la mise à disposition de systèmes de signalement de comportement non conforme est obligatoire dans certaines juridictions. Lorsqu'une entité du groupe Kia Europe est légalement tenue de mettre à disposition un tel système et que la mise à disposition dudit système implique nécessairement le traitement de données personnelles pertinentes, alors la base légale de ces traitements de données est la conformité aux obligations légales en vigueur.
• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public (art. 6 (1) e) du RGPD) :
si l'implémentation et la mise à disposition de systèmes de signalement de comportement non conforme est obligatoire dans certaines juridictions, les entités du groupe Kia Europe concernées n'ont cependant aucune obligation de mettre à disposition un canal de communication qui permette de soumettre des signalement de façon anonyme et ne sont pas tenues de considérer les signalements qui ont été soumis anonymement. Dans de tels cas, la base légale du traitement des données personnelles pertinentes est la nécessité du traitement pour l'exécution d'une mission d'intérêt public.
• Intérêts légitimes (art. 6 (1) f) du RGPD) :
lorsque le traitement des données personnelles pertinentes n'est pas nécessaire pour être en conformité avec une obligation légale, l'entité du groupe Kia Europe concernée traite lesdites données personnelles pertinentes aux fins de ces intérêts légitimes. Son intérêt légitime est de contrôler la conformité aux lois et statuts en vigueur, aux règlements internes (not. au code de conformité et d'intégrité de Kia EU) ainsi que de détecter et de prévenir toute action et tout comportement non conforme. Pour chaque signalement, l'entité du groupe Kia Europe concernée déterminera s'il existe des intérêts ou des libertés et droits fondamentaux de la personne concernée qui prévalent.
Comme indiqué précédemment, les catégories particulières de données à caractère personnel sans pertinence au regard du cas correspondant ne doivent pas être comprises dans les déclarations soumises via la plateforme Tell Me et seront effacées, le cas échéant.
Si et dans la mesure où des données appartenant à l’une des catégories particulières susmentionnées sont toutefois pertinentes au cas signalé, alors la base légale au dit traitement est l'art. 9 (2) f) du RGPD (par ex., la constatation, l'exercice ou la défense d'un droit en justice) ou l'art 9 (2) g) du RGPD (par ex., le traitement est nécessaire pour des raisons d'intérêt public, sur la base de la législation nationale ou de l'Union européenne en vigueur).
6. Transmission de données à caractère personnel à des tiers
Kia EU et l'entité Kia pertinente traitent les données à caractère personnel pertinentes avec la plus grande confidentialité. Ces données seront transmises uniquement aux fins de traitement désignées ci-avant et strictement en conformité avec les lois en vigueur. Les destinataires des données personnelles pertinentes peuvent comprendre les entreprises, institutions, ou personnes suivantes :
• les prestataires de services :
cela inclut la société People Intouch B.V. (et ses sous-sous-traitants autorisés) en tant qu’exploitant de la plateforme Tell Me (siège social à Olympisch Stadion 6, 1076 DE Amsterdam, Pays-Bas).
• People Intouch B.V. traitera les données à caractère personnel pertinentes dans sa fonction de sous-traitant de Kia EU et strictement en conformité avec les instructions données par Kia EU. Kia EU et People Intouch B.V. ont conclu un accord régissant le traitement des données personnelles à cette fin.
• les conseillers juridiques :
dans certains cas, Kia EU ou l'entité Kia concernée peuvent transmettre des données à des conseillers juridiques aux fins de protéger leurs intérêts ou de faire valoir leurs droits. Les conseillers juridiques traiteront lesdites données dans le cadre de leur fonction de responsables indépendants du traitement.
• les cours de justice et organes réglementaires :
Kia EU ou l'entité Kia concernée peut transmettre des données personnelles à des cours de justice ou organes réglementaires, si cela est exigé par la loi ou si cela est nécessaire au respect de procédures judiciaires, décisions de justice ou demandes des autorités réglementaires, ou afin de protéger ses intérêts ou faire valoir ses droits.
• Les cours de justice ou organes réglementaires compétents traiteront lesdites données dans le cadre de leur fonction de responsables du indépendants traitement.
• autres destinataires :
Kia EU ou l'entité Kia concernée peuvent transmettre des données personnelles à des tiers (par ex. la personne accusée, des membres externes des organes de surveillance), mais uniquement si la loi l’exige. Ces tiers traiteront les données pertinentes dans le cadre de leur fonction de responsables indépendants du traitement.
7. Transfert international de données à caractère personnel
Aux fins de traitement des données à caractère personnel pertinentes mentionnées dans la présente notice de confidentialité, il se peut que Kia EU ou l'entité Kia concernée doive transférer des données à caractère personnel pertinentes à des tierces parties désignées au paragraphe 6 ci-avant. Toutefois, en règle générale, les données à caractère personnel pertinentes ne seront pas transférées à un destinataire situé dans un pays qui n’est pas un État membre de l’Espace économique européen (EEE) ou pour lequel la Commission européenne n’a pas adopté une décision d'adéquation par laquelle elle constate que le pays tiers dispose d’un niveau adéquat de protection de données. Si, à un moment donné, des données à caractère personnel pertinentes étaient tout de même transférées à un destinataire situé dans un pays ne faisant pas partie des catégories susmentionnées, des mesures de prévention adéquates seraient alors mises en place afin d’assurer la conformité d’un tel transfert aux réglementations du RGPD.
8. Période de conservation des données
Kia EU et l'entité Kia concernée ne traiteront les données à caractère personnel pertinentes seulement aussi longtemps que nécessaire au regard des finalités désignées dans la présente notice de confidentialité ou que la loi l’exige. Pour déterminer la durée de conservation, Kia EU et l'entité Kia concernée prennent en compte les critères suivants : les finalités de traitement des données à caractère personnel pertinentes ; si ces finalités peuvent être atteintes sans utilisation des données et catégories de données pertinentes, sans risques en cas de violation de données ; et si des obligations légales nécessitent la conservation des données par Kia EU ou l'entité Kia.
Par conséquent, les données à caractère personnel pertinentes seront, en règle générale, conservées comme suit :
• les données à caractère personnel sans pertinence au regard du cas correspondant seront effacées ou rendues anonymes sans délai indu.
• les données à caractère personnel pertinentes au regard du cas correspondant seront conservées aussi longtemps que nécessaire pour évaluer le signalement et, le cas échéant, mener l'enquête. Elles seront supprimées ou anonymisées, le cas échéant, au plus tard trois ans après la clôture de l'évaluation/enquête, à moins que des procédures judiciaires ou des sanctions disciplinaires ne soient engagées et nécessitent une conservation plus longue ou que différentes périodes de conservation sont requises par la législation en vigueur et dans la mesure ou une telle conservation est nécessaire et pertinente.
9. Vos droits légaux
Dans le cas où le traitement de vos données à caractère personnel par Kia EU ou l'entité Kia concernée repose sur votre consentement, vous êtes en droit de retirer celui-ci à tout moment (art. 7(3) RGPD).
Avez-vous des questions concernant le traitement de vos données à caractère personnel par Kia EU ou l'entité Kia concernée ? Dans ce cas, Kia EU ou l'entité Kia concernée (le cas échéant) sont, bien entendu, à votre disposition pour fournir toute information utile relative aux données à caractère personnel vous concernant et aux activités de traitement correspondantes (art. 15 du RGPD). Pour autant que les exigences légales soient satisfaites, vous êtes également en droit d’obtenir : (a) la rectification de vos données personnelles (art. 16 du RGPD) ; (b) l’effacement de vos données personnelles (art. 17 du RGPD) ; et (c) la restriction du traitement de vos données personnelles (art. 18 du RGPD).
De plus, vous disposez du droit à la portabilité des données (art. 20 RGPD) ainsi que du droit d'introduire une réclamation auprès d'une autorité de contrôle (art. 77 RGPD).
Votre droit d'opposition : lorsque l’article 6(1)(f) RGPD constitue la base du traitement de vos données à caractère personnel par Kia EU ou l'entité Kia, vous êtes en droit de vous opposer à un tel traitement à tout moment, pour des raisons tenant à votre situation particulière (art. 21(1) RGPD).
Lorsque l'entité Kia concernée et Kia EU traitent vos données à caractère personnel en tant que Responsables conjoints du traitement, veuillez vous reporter au paragraphe 2(a)-(c) pour déterminer quelle entité est responsable de prendre en charge votre demande.
10. Définitions
Le « responsable du traitement » est la personne morale ou physique, l'autorité publique, l'agence ou toute autre personne qui détermine, seule ou conjointement, les finalités, les conditions et les moyens du traitement des données à caractère personnel.
« RGPD » : (i) en rapport avec Kia UK LTD en tant que responsable du traitement, ce terme désigne le Règlement britannique sur la protection des données à caractère personnel de 2018 (« UK GDPR ») ; et (ii) en rapport avec toutes les autres entités du groupe Kia Europe énumérées dans l'annexe 1, ce terme désigne le Règlement (UE) 2016/679 (Règlement général sur la protection des données).
Une « donnée personnelle » est toute information se rapportant à une personne physique identifiée ou identifiable.
« Traiter » / « Traitement » : toute opération ou tout ensemble d'opérations effectuée(s) sur la base de données à caractère personnel ou d’ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
Le « sous-traitant » est la personne morale ou physique, l'autorité publique, l'agence ou toute autre personne qui traite des données à caractère personnel pour le compte du responsable du traitement.
Annexe 1 – Données relatives aux responsables du traitement
| Entités du groupe Kia pertinentes | Coordonnées | Coordonnées du DPO |
|---|---|---|
| Kia Europe GmbH (Kia UE) | Theodor-Heuss-Allee 11, 60486 Francfort, Allemagne E-mail : info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Pays-Bas E-mail : info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Autriche E-mail : office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Belgique E-mail : info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, France E-mail : relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Slovaquie E-mail : info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, Espagne E-mail : contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Francfort, Allemagne E-mail : info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Suède E-mail : info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Varsovie, Pologne E-mail : infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Prague 4, République tchèque E-mail : kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapest, Budafoki út 56, Hongrie E-mail : info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Royaume-Uni E-mail : dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unit A8 Calmount Park, Calmount Road, Dublin, D12 X266, Irlande E-mail : admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Milan, Italie E-mail : infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Francfort, Allemagne E-mail : info@kia-connect.eu |
dpo@kia-connect.eu |
Les modifications suivantes de la législation locale en vigueur s'appliquent :
AUSTRIA
Grâce à la loi sur la protection des lanceurs d’alerte (HinweisgeberInnenschutzgesetz - HSchG), la directive européenne sur la protection des lanceurs d'alertes a été adoptée par la législation nationale autrichienne. Si des indices permettent de penser qu'il existe une ou des infractions à la législation en vigueur qui sont couvertes par le champ d'application de la loi HSchG (« champ d'application »), alors le traitement desdites informations se fait sur la base d'une obligation légale dont la finalité est de prévenir et d'empêcher toute infraction légale potentielle (art. 6 (1) f) du RGPD en relation avec §§ 2 et suiv. HSchG).
BELGIQUE
Conformément à la directive belge sur la protection des lanceurs d'alertes du 28 novembre 2022, qui transpose la directive (UE) 2019/1937:
Les paragraphes suivants sont ajoutés comme derniers paragraphes au chapitre 8 «Période de conservation des données»:
De façon spécifique, en vertu de la directive belge sur la protection des lanceurs d'alertes, le nom, la fonction et les données de contact de l'auteur du signalement et de toute personne à qui les mesures d'assistance et de protection s'adressent, ainsi que les personnes concernées, y compris, le cas échéant, le numéro de société, sont conservés jusqu'à ce que l'infraction signalée soit prescrite en vertu de la législation en vigueur.
Kia Belgique tiendra un registre de tous les signalements effectués, dans le plus grand respect des obligations de confidentialité telles que définies au chapitre 11 de la notice de confidentialité Kia Compliance : Tell Me. Indépendamment du chapitre susmentionné, le cas échéant, le signalement sera conservé pendant toute la durée de la relation contractuelle entre Kia et l'auteur du signalement.
ITALIE
Le texte suivant remplace le chapitre 4 :
L'utilisation d'une plateforme de signalement d'infraction (potentielle) ainsi que les investigations qui en découlent impliquent nécessairement un traitement de données personnelles. Veuillez cependant noter que l'auteur du signalement contrôle entièrement les informations qu'il souhaite signaler.
En effet, la plateforme Tell Me est un système de forme libre, cela signifie que la personne à l'origine du signalement n’est pas obligé d'établir et de soumettre son signalement en fonction de catégorisations prédéfinies. Cela s'applique également à l’identité de l'auteur du signalement, de la personne mise en cause, d’un témoin, ou de toute autre personne mentionnée dans la signalement pertinent (tous ensemble ci-après désignés comme étant les «personnes concernées» et chacun d'entre eux ci-après désigné comme étant la «personne concernée»).
En tant que lanceur d'alerte / auteur du signalement, vous devez toujours considérer soigneusement si vous souhaitez révéler votre identité ou non. Quelle que soit votre décision, sachez que l'identité du lanceur d'alerte, comme celle de toute personne mentionnée dans le signalement, est traitée avec la plus grande confidentialité. Dans certains cas cependant, il se peut que Kia EU ou que l'entité Kia concernée ait besoin de connaître l'identité du lanceur d'alerte et/ou de la/des personne(s) concernée(s).
C'est notamment afin de préserver l'identité des personnes concernées, le groupe Kia Europe a implémenté la plateforme Kia Compliance : Tell Me. Elle est un outil spécifique permettant une communication anonyme des signalements.
Si, en tant que lanceur d'alerte, vous souhaitez divulguer votre identité, veuillez consulter la notice de confidentialité Kia Compliance : Tell Me et prendre connaissance des autres canaux de signalement pertinents. Dans le cadre de la plateforme Tell Me et du traitement des signalements pertinents, il se peut que Kia EU et/ou toute entité pertinente Kia (le cas échéant) ait à traiter des données personnelles de quelque catégorie que ce soit.
En effet, peuvent être traitées non seulement les données d'identification et de contact (qui sont absolument nécessaires au traitement du signalement), mais aussi toute autre donnée du signalement. Indépendamment de leur volonté, en fonction des données du signalement et/ou des actes et documents qui y sont joints, Kia EU et, le cas échéant, l'entité Kia pertinente, peuvent être amenées à traiter des données personnelles qui sont considérées comme étant des données particulières selon l'article 9 du RGPD ou des données judiciaires telles que des condamnations pénales, des infractions ou des mesures de sûreté telles que définies à l'article 10 du RGPD.
Le traitement de telles données ne peut se faire qu'afin de permettre le traitement du signalement correspondant et uniquement selon les principes de proportionnalité et de nécessité. S'il s'avère que des données sont superflues ou qu'elles ne sont pas objectivement strictement nécessaires à la vérification des allégations du signalement, Kia EU et, le cas échéant, l'entité Kia concernée, les supprimeront du signalement et des enregistrements de données correspondants.
Comme défini dans la notice de confidentialité Kia Compliance : Tell Me et dans la mesure du possible et en toute proportionnalité, lorsque le lanceur d'alerte souhaite préserver son anonymat, le groupe Kia Europe lui garantit un niveau de protection très élevé de son anonymat.
À cette fin, le groupe Kia Europe n'a aucun accès à quelque donnée que ce soit, qui permettrait d'identifier un lanceur d'alerte qui souhaite préserver son anonymat (par ex., adresse IP, fichiers d'enregistrements vocaux et données des appels entrant).
Le chapitre 5 est amendé comme suit :
• La base légale « le traitement est nécessaire à l'exécution d'une mission d'intérêt public » (art. 6 (1) e) du RGPD)
ne s'applique pas à l'Italie.
• Intérêts légitimes (art. 6 (1) f) du RGPD) :
Lorsque le traitement des données personnelles pertinentes n'est pas requis par une obligation légale, l'entité du groupe Kia Europe concernée traite les données personnelles pertinentes en raison de ses propres intérêts légitimes, à savoir pour protéger ses droits contractuels et précontractuels ou qui, pour le moins, résultent de relations existantes. Dans tous les cas, l'entité du groupe Kia Europe concernée détermine toujours au cas par cas si les intérêts ou les libertés et droits fondamentaux de la personne concernée prévalent sur ses propres intérêts.
Comme spécifié ci-avant, certaines catégories particulières de données personnelles (comme, par ex., les données sensibles de l'art. 9 du RGPD), qui ne sont pas pertinentes pour le cas signalé, ne doivent pas être incluses dans le signalement fait via la plateforme Tell Me et seront, le cas échéant, supprimées. Dans tous les cas, si et dans la mesure où de telles données personnelles s'avèrent pertinentes pour un signalement donné, la base légale de leur traitement est l'art. 9 (2) b) du RGPD (le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée) et l'art. 9 (2) f) du RGPD (lorsque le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice).
Le chapitre 6 est amendé comme suit :
• Autres :
Kia EU ou l'entité Kia concernée sont susceptibles de transférer les données personnelles à des tiers tels que des membres externes d'organes de contrôle, des entités d'aide au signalement, des consultants ou des sociétés de conseils ainsi qu'à toute autre entité qui coopèrent avec Kia, à quelque titre que ce soit, mais uniquement si cela est requis par la législation en vigueur ou si cela s'avère nécessaire pour répondre aux finalités définies par la présente notice de confidentialité.
Le chapitre 9 est amendé comme suit :
Si vous avez des questions relatives au traitement de vos données personnelles par Kia EU et/ou l'entité Kia concernée, Kia EU et/ou l'entité Kia concernée (le cas échéant) se feront un plaisir de vous fournir de plus amples informations sur les données personnelles vous concernant ainsi que sur les activités de traitement qui s'y rapportent (art. 15 du RGPD). Conformément à la législation en vigueur, outre le droit d'accès à vos données personnelles, vous avez également un droit (a) de rectification de vos données personnelles (art. 16 du RGPD) ; (b) un droit à l'effacement (« droit à l'oubli ») de vos données personnelles (art. 17 du RGPD) ; (c) un droit à la limitation du traitement de vos données personnelles (art. 18 du RGPD).
Vous avez également le droit de déposer une plainte auprès de l'autorité de contrôle de la protection des données compétente (art. 77 du RGPD).
Le chapitre 10 est amendé comme suit :
«Responsable» : toute personne physique ou morale, autorité publique, agence ou tout autre organisme traitant des données à caractère personnel pour le compte du responsable du traitement.
Chapitre supplémentaire :
En vertu de l'article 14 (2) f) du RGPD : Les données personnelles sont collectées soit directement auprès des personnes concernées, soit auprès de tiers, en fonction de :
• les données concernant le lanceur d'alerte, auquel cas les données sont collectées directement auprès de la personne concernée qui communique ses données en envoyant le signalement ;
• les données concernant d'autres personnes concernées (telles que la personne mise en cause, les témoins ou toute autre personne mentionnée dans le signalement), auquel cas les données sont collectées auprès de tiers, c'est-à-dire de la personne qui effectue le signalement.
ESPAGNE
En tant que responsable du traitement, Kia Iberia S.L.U. (KES) effectuera les activités de traitements des données personnelles nécessaires aux traitements des signalement que vous nous aurez soumis via le canal local implémenté à cette fin chez KES (canal KES). Vous trouverez à l'annexe 2B, la notice de confidentialité de ce canal de signalement interne local.
Chapitre 8 (période de conservation des données) doit comprendre l'addendum suivant :
Conformément à la législation en vigueur, seront supprimées toutes les communications effectuées depuis le territoire espagnol et pour lesquelles aucune enquête n'a été faite dans les trois mois suivants leur réception respective, à moins que leur conservation n'ait pour finalité d'en conserver des preuves dans le système. Les communications qui n'ont pas été suivies d'effets ne peuvent être conservées que de façon anonyme.
SUÈDE
Le paragraphe suivant est ajouté comme étant le dernier paragraphe du chapitre 1 (Introduction) :
Outre le traitement des données personnelles pertinentes définies dans cette notice de confidentialité, Kia Sweden AB («Kia Sweden») traite les données personnelles dans le cadre de la gestion du canal de signalement local de Kia Sweden («Canal suédois»). Vous trouverez dans l'annexe 2 les informations relatives au traitement des données personnelles de Kia Sweden dans le cadre du Canal suédois.
Le chapitre 5 (finalités du traitement et base légale du traitement) doit être remplacé comme suit :
Kia EU et Kia Sweden traitent les données personnelles pertinentes aux fins du signalement initial, de l'examen ultérieur du signalement pertinent et d'investigation du cas signalé.
Les bases légales qui s'appliquent aux activités de traitement des données personnelles de Kia EU sont les suivantes :
• Un consentement exprès (art. 6 (1) a) du RGPD) :
La base légale de certains traitements de données personnelles pertinentes effectués par Kia EU est celle du consentement préalable exprès de l'auteur du signalement (par ex., lorsque Kia EU et l'auteur du signalement, à la demande de ce dernier, s'entretiennent en visioconférence).
• La conformité à une obligation légale (art. 6 (1) c) du RGPD) :
Lorsque Kia EU est légalement tenu d'implémenter et de fournir un tel système de transmission des signalements et que cela implique nécessairement un traitement des données personnelles pertinentes, alors la base légale desdits traitements est la conformité aux exigences légales correspondantes. Certaines législations exigent la mise à disposition d'un tel système de communication des signalements.
• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public » (art. 6 (1) e) du RGPD) :
Comme l'implémentation et la fourniture d'un tel système de transmission des signalements peut relever d'une obligation légale, Kia EU n'est non seulement pas tenue d'implémenter un canal de signalement permettant les signalements anonymes, mais elle n'a également aucune obligation de vérifier les signalements qui lui ont été soumis anonymement. La base légale du traitement des données personnelles pertinentes est ici la nécessité d'exécuter une tâche d'intérêt public.
• Les intérêts légitimes (art. 6 (1) f) du RGPD) :
Lorsque le traitement des données personnelles pertinentes de Kia EU ne relève pas d'une obligation légale, Kia EU traite les données personnelles pertinentes aux fins de ses intérêts légitimes. L'intérêt légitime de Kia EU est non seulement d'être conforme à la législation en vigueur ainsi qu'aux statuts et règlements internes (et not. à la notice et au code de conformité « Kia EU Compliance & Integrity Code »), mais aussi de détecter et de prévenir les écarts de conduite comme les infractions. Dans tous les cas, Kia EU détermine toujours au cas par cas si les intérêts ou les libertés et droits fondamentaux de la personne concernée prévalent sur ses propres intérêts. Comme spécifié ci-avant, certaines catégories particulières de données personnelles (par ex. l'art 9 du RGPD), qui ne sont pas pertinentes pour le cas signalé, ne doivent pas être incluses dans le signalement fait via la plateforme Tell Me et seront, le cas échéant, supprimées. Dans tous les cas, si et dans la mesure où de telles données personnelles s'avèrent pertinentes pour un signalement donné, la base légale de leur traitement est l'art. 9 (2) f) du RGPD (par ex., le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice) ou l'art. 9 (2) g) du RGPD (par ex., le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre).
Les bases légales qui s'appliquent aux activités de traitement des données personnelles de Kia Sweden sont les suivantes :
• Les intérêts légitimes (art. 6 (1) f) du RGPD) :
La base légale du traitement des données personnelles pertinentes de Kia Sweden est non seulement son intérêt légitime d'être conforme à la législation en vigueur ainsi qu'aux statuts et règlements internes (et not. à la notice et au code de conformité « Kia EU Compliance & Integrity Code »), mais aussi son intérêt légitime à détecter et prévenir les écarts de conduite comme les infractions. Lorsque les données personnelles pertinentes sont transmises à des tiers, Kia Sweden les communique pour servir son intérêt légitime à vérifier et, le cas échéant, à enquêter sur les faits signalés.
• Le traitement est nécessaire à l'exécution d'obligations et à l'exercice de droits spécifiques en matière de droit du travail (art. 9 (2) b) du RGPD) :
Si et dans la mesure où Kia Sweden traite des données personnelles de catégories particulières qui sont pertinentes pour le cas signalé aux fins de recevoir et d'enquêter sur un signalement, alors la base légale du traitement correspondant est que le traitement est nécessaire à l'exécution d'obligations et à l'exercice de droits spécifiques en matière de droit du travail.
• Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice (art. 9 (2) f) du RGPD) :
Si et dans la mesure où Kia Sweden traite des données personnelles de catégories particulières qui sont pertinentes pour le cas signalé aux fins d'enquêter sur un signalement, alors la base légale du traitement correspondant est que le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.
• Le traitement est nécessaire aux fins d'enquête pour déterminer si une personne physique occupant un poste directionnel ou qui est considérée comme étant une personne clé au sein du groupe Kia Europe est impliquée dans des infractions graves ou que le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice (chapitre 5 (2) du règlement complémentaire suédois « Swedish Supplementary Regulation (2018:219) » du RGPD (Sw. Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) et chapitre 2 (4) du règlement DIFS 2018:2 (Sw. Föreskrifter om behandling av personuppgifter som rör lagöverträdelser)) :
Si et dans la mesure où Kia Sweden traite des données personnelles pertinentes relatives à des condamnations pénales et des infractions (présumées) d'une personne physique occupant un poste directionnel ou qui est considérée comme étant une personne clé au sein du groupe Kia Europe, alors la base légale du traitement correspondant de Kia Sweden est que ledit traitement est nécessaire aux fins d'enquête afin de déterminer si ladite personne a bien été impliquée dans des infractions graves. Si et dans la mesure où Kia Sweden transfert des données personnelles pertinentes relatives à des condamnations pénales et des infractions (présumées) d'une personne physique occupant un poste directionnel ou qui est considérée comme étant une personne clé au sein de Kia aux fins d'enquête, alors la base légale dudit transfert est que le transfert est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice (art. 9 (2) f) du RGPD).
Version : 15 décembre 2023
