19/06/ 2025

Dans le cadre du dispositif « SpeakUp&BeHeard », la société CHIESI SAS (ci-après, « CHIESI », « nous », « notre » ou le « Responsable de traitement »), dont le siège social est situé 17, avenue de l’Europe, 92270 Bois-Colombes, est responsable de son propre traitement relatif à la protection des lanceurs d’alerte, conformément au Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « Règlement général sur la protection des données » ou le « RGPD »).

La présente notice vise à informer les personnes concernées par un signalement adressé à CHIESI, qu’il s’agisse de son auteur ou de personnes mentionnées dans ce signalement, des conditions dans lesquelles leurs données à caractère personnel sont traitées.

On entend par « Données à caractère personnel » toutes les informations se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « Personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité.

« Le Traitement des Données à caractère personnel » couvre toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

On entend par « Utilisateur » toute personne physique soumettant un signalement par le biais de la plateforme (ci-après dénommée « SpeakUp&BeHeard » ou « Plateforme »).

• INFORMATIONS GÉNÉRALES

FINALITÉS :

La plateforme SpeakUp&BeHeard permet à toute personne (salarié, ancien salarié, candidat en processus de recrutement ; salarié en période d’essai ; associé ; membre d’un comité stratégique ; indépendant ; collaborateur d’un fournisseur ; consultant; stagiaire ; bénévole ; directeur ; sous-traitants ; membre du personnel ou de l'organe d'administration, de direction ou de surveillance des cocontractants) de signaler toute violation présumée ou toute inquiétude concernant la violation des lois, des règlements et des politiques internes. Ces signalements peuvent porter sur des comportements susceptibles d’enfreindre le Code de conduite du Groupe Chiesi, sa politique anticorruption, les lois concernant la lutte contre la corruption ou les lois pénales, et toute autre violation susceptible d’affecter l’intégrité commerciale et financière de la société (corruption, conflit d’intérêts, comportements déloyaux, fraudes, délits d’initiés, problèmes comptables, etc.), la sécurité environnementale ou le bien-être animal.

CHIESI traitera vos Données à caractère personnel uniquement aux fins suivantes :

• mettre à disposition et gérer la Plateforme et les signalements qui y sont associés ;
• gérer le suivi du signalement, mener des enquêtes (ex : avec les parties prenantes concernées, y compris les pouvoirs publics) ;
• prévenir et agir contre les comportements illicites, en appliquant si nécessaire des mesures disciplinaires ;
• sauvegarder les intérêts de l’entreprise, ainsi que les droits de ses salariés et des tiers concernés.

CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL :

Les Données à caractère personnel susceptibles d’être traitées par CHIESI sont :

• les données d’identification : nom, prénom et adresse e-mail ;
• les données de la personne signalée et des autres personnes mentionnées lors du signalement ou les données personnelles obtenues par le Responsable du traitement au cours de l’enquête ;
• les informations relatives au comportement signalé.

Sachez que les informations incluses dans certains signalements peuvent contenir des données sensibles. Ces données forment une catégorie particulière de Données à caractère personnel. Il s’agit notamment, des données susceptibles de révéler l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques, l’appartenance syndicale, les données concernant la santé et la vie sexuelle, conformément à l’article 9 du RGPD.

BASE JURIDIQUE DU TRAITEMENT :

Obligation légale : se conformer aux lois et règlements applicables concernant la protection des lanceurs d’alerte et répondre aux demandes émanant des autorités compétentes.

Intérêt légitime : nous conservons vos Données à caractère personnel sur la base de l’intérêt légitime de CHIESI dans le cadre de toute procédure judiciaire découlant des signalements et afin de prévenir et d’enquêter sur les violations potentielles aux politiques internes de CHIESI ou au Code de conduite du Groupe Chiesi.

• TRAITEMENT DE VOS DONNÉES À CARACTÈRE PERSONNEL

Votre signalement sera exclusivement traité par une personne désignée parmi le personnel du Responsable de traitement, sur la base du principe du « besoin d’en connaître ».

Les Données à caractère personnel peuvent également être partagées avec d’autres sociétés ou personnes, y compris le prestataire de services de la Plateforme, ou être consultées par ces derniers. Le prestataire n’accédera aux données qu’à des fins de maintenance de la Plateforme, ou pour fournir une assistance technique.

Le Responsable de traitement assure la protection de vos Données à caractère personnel et la légitimité de ce traitement en signant un accord sur le traitement de vos données avec ses sous-traitants et veille à ce que ces derniers respectent les lois applicables en matière de protection des Données à caractère personnel en mettant en œuvre notamment, des mesures de sécurité appropriées.

Dans certaines circonstances, CHIESI pourra être amenée à partager les informations issues de votre signalement, y compris vos Données à caractère personnel, avec les pouvoirs publics et les tribunaux si elle l’estime nécessaire pour enquêter ou statuer sur l’affaire, ainsi qu’avec ses conseils juridiques.

Votre identité ne sera divulguée qu’en cas d’obligation légale, de demande de divulgation par les autorités compétentes ou pour garantir le droit de défense de la personne dénoncée dans le cadre de SpeakUp&BeHeard.

MESURES MISES EN PLACE PAR CHIESI POUR PROTÉGER VOS DONNÉES :

CHIESI met en œuvre des mesures de sécurité appropriées pour protéger vos Données à caractère personnel contre tout accès non autorisé, toute divulgation ou toute perte, y compris :

• des mesures raisonnables pour s’assurer que les Données à caractère personnel sont collectées conformément aux principes de minimisation et de limitation des finalités. Vos Données à caractère personnel sont conservées pour une durée limitée, comme indiqué dans la section suivante (3), à moins qu’il soit nécessaire de prolonger la durée de conservation notamment, en raison des textes législatifs et règlementaires ou en cas de contentieux ;
• de nombreuses technologies visent à assurer la protection des Données à caractère personnel, allant du cryptage, des mots de passe forts et de l’authentification à deux facteurs, aux pares-feux et aux logiciels dédiés pour protéger les serveurs en cas d’attaque externe ;
• les partenaires commerciaux et prestataires de services sont choisis sur la base de critères de qualification stricts et sont obligés, au travers de clauses contractuelles spécifiques, de se conformer aux normes de protection des données. En outre, des audits et autres évaluations sont effectués par CHIESI pour vérifier leur conformité aux exigences susmentionnées ;
• les salariés et sous-traitants de CHIESI bénéficient de formations sur la confidentialité et la protection des données, ainsi que d’autres formations visant à les sensibiliser davantage à la confidentialité et la protection des données.

TRANSFERTS INTERNATIONAUX DE DONNÉES :

Vos Données à caractère personnel visées à la section (1) sont stockées sur le serveur du prestataire de la Plateforme (spécifiquement désigné comme sous-traitant) situé en Italie ou, de manière générale, au sein de l’Union européenne. Sur la base des caractéristiques et du contenu de votre signalement, vos Données à caractère personnel peuvent être transférées vers d’autres pays, y compris hors de l’Union européenne. CHIESI évalue l’impact des transferts internationaux concernant les signalements et ont mis en œuvre les garanties appropriées, notamment en signant les clauses contractuelles avec les parties prenantes concernées.

• DURÉE DE CONSERVATION DE VOS DONNÉES À CARACTÈRE PERSONNEL

Les Données à caractère personnel relatives au signalement sont conservées pendant la durée strictement nécessaire à la réalisation des objectifs susmentionnés dans la section (1).

Lorsqu’aucune suite n’est donnée à un signalement et/ou qu’il est clôturé, les Données à caractère personnel relatives au signalement concerné pourront être conservées sous forme d’archives intermédiaires notamment, en ayant recours à des techniques de pseudonymisation et/ou en limitant l’accès aux données concernées, pendant une période de dix ans afin d’assurer la protection du lanceur de l’alerte ou de permettre la constatation des infractions continues.

Les Données à caractère personnel seront traitées selon les conditions énoncées ci-dessus, ou pour une période plus courte si vous décidez d’exercer l’un des droits énumérés dans la section suivante (4).

Lorsqu’une procédure disciplinaire ou contentieuse est engagée à l’encontre d’une personne mise en cause, les données relatives au signalement peuvent être conservées par CHIESI jusqu’au terme de la procédure ou de la prescription des recours à l’encontre de la décision.

Sachez que si vous demandez la suppression de vos Données à caractère personnel, il se peut que nous ne soyons pas en mesure de traiter votre signalement ou de conclure l’enquête.

• DROITS DES PERSONNES CONCERNÉES

Conformément au RGPD et à la loi n°78 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés) et eu égard, conformément au point c) de l’article 6 du RGPD, vous disposez d’un droit d’accès et de rectification de vos Données à caractère personnel traitées avant la clôture de votre signalement. Vous pouvez également demander la limitation du traitement de vos données.

A l’issue de la clôture de votre signalement et, eu égard au point f) de l’article 6 du RGPD, vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation et d’un droit d’opposition au traitement de vos données.

Pour exercer vos droits ou pour toute question sur le traitement de vos données, vous pouvez envoyer un courrier au service juridique : CHIESI SAS – service juridique, 17 avenue de l’Europe, 92 277 Bois-Colombes Cedex ; ou contacter le Délégué à la protection des données à l’adresse courriel suivant : dpo.fr@chiesi.com ;

En tout état de cause, vous disposez du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) :

• par courrier postal en écrivant à : CNIL - 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 ;
• par voie électronique en utilisant le téléservice proposé accessible à l’adresse suivante : https://www.cnil.fr/adresser-une-plainte ;
• par téléphone : au 01 53 73 22 22 (les communications ne sont pas enregistrées).

• DROITS DES PERSONNES CONCERNÉES – PERSONNES FAISANT L’OBJET DU SIGNALEMENT

Si vous êtes visé par un signalement, veuillez noter que l’exercice de certains des droits mentionnés ci-dessus peut être limité, conformément à la réglementation applicable, afin de garantir la confidentialité de l’auteur du signalement et de prévenir tout acte susceptible de compromettre le bon déroulement de l’enquête.

Nous vous invitons à prendre connaissance des informations suivantes concernant vos droits :

• Droit à l’information

Le droit à l’information, prévu aux articles 12 à 14 du RGPD, peut être limité en vertu de l’article 14, paragraphe 5, points b) et d), en raison de l’obligation de confidentialité imposée par la réglementation applicable et du risque que l’exercice de ce droit ne compromette gravement la réalisation des finalités du traitement, notamment la protection des lanceurs d’alerte.

• Droits des autres personnes concernées

Les droits des personnes concernées énoncés par le RGPD aux articles 15 à 22 pourraient être limités, même en ce qui concerne la source des informations contenues dans le signalement, en cas de préjudice important à la confidentialité de l’identité de l’auteur du signalement et/ou au respect de la réglementation applicable (art. 23 du RGPD).

En particulier, toute personne faisant l’objet d’un signalement est informée que l’exercice de ces droits :

- est réalisé dans le respect des dispositions légales et réglementaires applicables ;

- le cas échéant, la personne concernée peut introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).

• INFORMATIONS CONCERNANT LA PRISE DE DÉCISION AUTOMATISÉE

Vos Données à caractère personnel ne sont pas soumises au processus de décision automatisé (y compris le profilage).