Pour pouvoir bénéficier de la protection prévue par la loi Sapin 2, le lanceur d’alerte doit répondre aux critères cumulatifs suivants définis par son article 6 :

• Être une personne physique ;
• Avoir personnellement connaissance des faits objets du signalement ;
• Agir de manière désintéressée ;
• Agir de bonne foi ;

L’auteur d’allégations qu’il sait fausses ne peut être considéré comme « de bonne foi » et encourt les poursuites prévues par la loi à l’encontre des auteurs de dénonciations calomnieuses (article 222-10 du Code pénal). De même, l’alerte ne peut viser la propagation de rumeurs ni être faite dans le but de nuire ou d’en retirer un profit ou un avantage personnel quelconque.

Consulter la Loi Sapin II

Le lanceur d’alerte, au sens de la loi Sapin 2 est protégé dans les termes de la loi dès lors :

• Qu’il remplit les critères détaillés ci-dessus (cf. paragraphe sur la définition du lanceur d’alerte) ;
• Qu’il respecte, sauf danger grave et imminent ou en présence de risque de dommages irréversibles, la procédure de signalement à 3 niveaux prévue par la loi et commençant par la saisine de l’employeur, de l’organisme mis en cause ou de l’autorité compétente.

Le lanceur d’alerte respectant ces dispositions légales ne pourra faire l’objet de sanctions disciplinaires en raison de son signalement et pourra bénéficier de l’irresponsabilité pénale dans les termes de l’article 122-9 du Code pénal.

En revanche, toute utilisation abusive de ce dispositif d’alerte peut donner lieu à des poursuites et/ou sanctions.

Consulter le guide du défenseur des droits.

Sont exclus du régime de l’alerte prévue aux articles 6 et s. de la loi, les faits, informations ou documents, quels que soient leur forme ou leur support, couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client. Ils sont même susceptibles de constituer le délit de violation du secret professionnel (prévu et réprimé par l’article 226-13 du Code pénal) et un manquement aux obligations déontologiques applicables.

Un tel signalement ne pourra en conséquence faire l’objet d’un traitement dans le cadre du présent dispositif.

Au-delà du régime de protection du lanceur d’alerte prévu par la loi Sapin 2, Deloitte au plan mondial a adopté une politique anti-représailles, également déclinée en France, à Monaco, dans les pays de Deloitte Afrique Francophone et chez Constantin UK. Elle est intégrée au DPM et consultable sur chacun des intranets.

Elle énonce sans ambigüité que le cabinet s’engage à maintenir un environnement professionnel ouvert au dialogue et qu’aucune mesure de représailles ne saurait être tolérée à l’encontre de quiconque soulève de bonne foi des préoccupations d’ordre éthique et de conformité ou participe à une enquête ou procédure liée à l’éthique.

Les canaux de signalements éthiques internes ainsi que le présent dispositif peuvent être utilisés pour des faits dont un collaborateur ou un associé estimeraient qu’ils sont constitutifs de représailles.

La ligne Deloitte « alerte-ethique » est un système externe de remontée des alertes permettant notamment le recueil de signalements de manière confidentielle et sécurisée. Nous encourageons vivement chaque lanceur d’alerte à s’identifier. Si l’anonymat reste possible vis-à-vis du Cabinet d’avocat et de Deloitte en cochant la case prévue à cet effet , (et ce même si vous avez complété votre nom, prénom et adresse mail, ces informations n'étant pas accessibles par l'administrateur du système), il doit demeurer exceptionnel dès lors notamment qu’il rend difficile le traitement du signalement et peut priver son auteur du régime de protection défini à l’article 7 de la loi 2016-1691.

L’utilisation de la ligne externe Deloitte « alerte-éthique » implique la collecte de données personnelles, ayant pour finalité le signalement et le traitement des alertes que vous avez émises, et ce, conformément aux exigences légales telles que décrites à la section « Qu’est-ce que la ligne Deloitte « alerte-éthique » ? »

Le traitement des données personnelles réalisé par Deloitte France et Afrique Francophone & Deloitte Société d’Avocats (ci-après désigné ensemble « Deloitte ») est fondé sur (i) le respect des obligations légales imposées à Deloitte et (ii) l’intérêt légitime pour Deloitte de soutenir ses valeurs et favoriser la mise en œuvre sa culture éthique dans un environnement professionnel sécurisé, ouvert au dialogue et à la transparence.

Les données personnelles recueillies par Deloitte en tant que responsable de traitement dans le cadre du dispositif d’alerte éthique seront utilisées conformément à :

• Notre code d’éthique et de comportement professionnel,
• La loi dite « Sapin II »,
• La loi sur le devoir de vigilance,
• La réglementation française et européenne sur la protection des données personnelles
• Pour notre filiale à Monaco, la loi monégasque n°1.362 du 3 aout 2009, modifié, relative à la lutte contre le blanchiment de capitaux, le financement du terrorisme et la corruption, ainsi que la loi monégasque n°1.457 du 12 décembre 2017 relative au harcèlement et à la violence au travail.

Deloitte a recours à un ensemble de mesures techniques et organisationnelles visant à protéger les données personnelles recueillies, les traiter de manière licite, loyale et transparente, et garantir un niveau de sécurité et de confidentialité adapté au risque.

Catégories de données personnelles pouvant être collectées

En soumettant une alerte, les données personnelles suivantes peuvent être collectées et traitées :

• Votre nom et prénom, si vous divulguez votre identité ;
• Votre adresse email ;
• Votre qualité de salarié ou associé au sein de Deloitte, votre qualité d’intervenant externe, ou d’intervenant occasionnel en lien avec Deloitte, si vous le divulguez ;
• Le cas échéant, la nature de votre relation avec un tiers, si vous le divulguez ;
• Les agissements que vous portez à la connaissance de Deloitte à travers l’alerte ;
• Le cas échéant, les noms, prénoms, fonctions des personnes et d’autres données personnelles des personnes physiques que vous mentionnez dans votre alerte ;
• Les données personnelles recueillis dans le cadre de la vérification des faits que vous avez signalés ;
• Les données personnelles qui figurent dans les comptes rendus des opérations d’investigation ;
• Les suites données à votre alerte.

Aussi, des données relatives aux infractions, condamnations et mesures de sûreté peuvent être traitées dans le cadre du présent dispositif, et ce, dans la limite des nécessités liées à la constatation, à l’exercice ou à la défense d’un droit en justice.

Point d’attention concernant le contenu de votre alerte

Votre alerte doit se limiter aux faits, informations ou documents de nature à l’étayer. A ce titre, seules les données personnelles pertinentes et nécessaires seront traitées et conservées.

Il est important de vous préciser que Deloitte ne collecte pas de données dites « sensibles »* de manière intentionnelle et que vous n’avez aucune obligation de nous communiquer ce type de données.

Il est donc de votre responsabilité de vous assurer que les éventuelles données « sensibles » contenu dans votre alerte, soient directement rattachées à un agissement entrant dans le périmètre du présent dispositif.

Si vous décidez de nous communiquer des données « sensibles » via le présent dispositif, vous consentez à cette collecte et au traitement de ces données

(*Au sens du RGPD, une « donnée sensible » est une information qui fait apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données de santé ou l’orientation sexuelle d’une personne physique).

Durée de conservation des données personnelles

Si votre alerte n’entre pas dans le champ du dispositif d’alerte éthique, les données relatives à l’alerte sont, à l’issue de la procédure de vérification de l’alerte, détruites sans délai ou anonymisées.

Si votre alerte entre dans le champ du dispositif d’alerte éthique :

• Lorsqu’aucune suite n’est donnée à votre alerte, les données relatives à l'alerte sont détruites ou anonymisées dans un délai de deux (2) mois à compter de la clôture des opérations d’investigation ;
• Lorsqu’une suite est donnée à votre alerte mais qu’aucune procédure disciplinaire ou contentieuse n'est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte sont conservées pendant une durée de dix (10) ans, aux fins d’assurer la protection du lanceur de l’alerte et/ou de permettre la constatation d’éventuels manquements ou infractions continues ou ne pouvant être qualifiés au stade d’une première alerte ;
• Lorsqu’une suite est donnée à votre alerte et qu’une procédure disciplinaire ou contentieuse est engagée à l'encontre d’une personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte sont conservées jusqu’au terme de la procédure ou de la prescription, ou jusqu’à l’épuisement des voies de recours à l’encontre de la décision.

Destinataires des données personnelles

Pour les besoins de vérification, traitement ou suivi des faits signalés dans votre alerte, Deloitte communiquera les données personnelles recueillies aux seuls destinataires habilités, dans la stricte limite de leur besoin à en connaître, en tout ou en partie, au titre de leurs missions ou de leurs fonctions.

A cet effet, les destinataires de votre alerte sont les suivants:

• Le cabinet d’avocat August Debouzy qui en qualité de sous-traitant, n’agit que sur instruction de Deloitte et est tenu aux mêmes obligations de sécurité et de confidentialité que Deloitte.
• l’Ethics officer de Deloitte France et Afrique Francophone et l’Ethics officer de Deloitte Société d’Avocats.
• Si votre alerte entre dans le champ du dispositif d’alerte éthique, une partie ou l’ensemble des données personnelles recueillies pourront être communiquées dans le cadre de l’instruction aux personnes ayant un intérêt légitime à recevoir celle-ci.
• Le cas échéant, les autres entités membres du réseau Deloitte.

Veuillez noter que certains des destinataires de vos données personnelles mentionnés ci-dessus peuvent être basés dans des pays en dehors de l’Espace économique européen ou de l’Union Européenne dont les lois peuvent ne pas fournir le même niveau de protection des données. Dans de tels cas, nous veillerons à ce que des garanties adéquates soient en place pour protéger vos données personnelles conformément à nos obligations légales.

Droit des personnes mentionnées à l’alerte

Toute personne mentionnée dans une alerte sera informée de la collecte et du traitement des données personnelles la concernant et figurant dans la plateforme. Si des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves ou pour les nécessités de l’enquête, l’information de cette personne pourra intervenir après l’adoption de ces mesures, conformément aux dispositions légales applicables.

En revanche, elle ne reçoit aucune information lui permettant d’identifier le lanceur d’alerte.

Par ailleurs et dans les limites prévues par la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’au RGPD, toute personne mentionnée dans une alerte peut exercer son droit d’accès, de suppression, de limitation et d’opposition au traitement. En revanche, l’exercice de ces droits ne permet pas de modifier de manière rétroactive les éléments contenus dans une alerte ou collectées lors de son instruction.

Vos droits

Conformément à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’au règlement européen sur la protection des données personnelles 2016/679 (RGPD), vous pouvez exercer votre droit d’accès, de rectification, de suppression, de limitation et d’opposition au traitement de données personnelles en adressant votre demande à frethique@deloitte.fr ou à alerteethique@avocats.deloitte.fr.

Lorsque le droit de suppression est demandé, Deloitte examinera dans quelle mesure les données personnelles sauvegardées sont encore nécessaires au regard du traitement de l’alerte. Les données qui ne sont plus nécessaires seront supprimées.

Par ailleurs, Deloitte en tant que responsable de traitement, s’engage à vous informer dans les meilleurs délais de toute violation de vos données personnelles pouvant exposer à un risque élevé quant à vos droits et libertés.

Nous vous informons que pour satisfaire aux obligations légales et réglementaires, nous pourrions être tenus de communiquer vos données personnelles à des autorités judiciaires ou administratives légalement habilitées.

Pour toutes demandes d’informations complémentaires concernant la politique de protection des données personnelles mises en œuvre par Deloitte, vous pouvez contacter le Data Protection Officer de Deloitte à l’adresse suivante : dpo@deloitte.fr

Vous pouvez, quand cela est rendu nécessaire, introduire une réclamation auprès d’une autorité de contrôle concernant le traitement de vos données personnelles.