Contact

Politique de Confidentialité du Système d’Alerte Interne

Préambule

La Politique de Confidentialité du Système d’Alerte Interne vise à garantir la confidentialité de la démarche d’un lanceur d’alerte au sein des sociétés suivantes (ci-après « la Société ») :

La société MV GROUP, Société par actions simplifiée, au capital social de 975 000 euros, dont le siège social se situe 801 Avenue des Champs Blancs 35510 CESSON-SEVIGNE, inscrite au Registre de Commerce et des sociétés de Rennes sous le numéro 519 020 325, représentée par APOLEA sa présidente, elle-même représentée par Olivier MÉRIL, son Gérant ;

Et ses filiales :

  • La société par actions simplifiée Yumens au capital social de 100 000 euros, dont le siège social se situe 801 Avenue des Champs Blancs 35510 CESSON-SEVIGNE, inscrite au Registre de Commerce et des Sociétés de Rennes sous le numéro 424 176 089, représentée par MV GROUP.
  • La société à responsabilité limitée Good Buy Media au capital social de 6 700 euros dont le siège social se situe 801 avenue des Champs Blancs 35510 CESSON-SEVIGNE, inscrite au Registre de Commerce et des sociétés de Rennes sous le numéro 827 930 264, représentée par MV GROUP
  • La société par actions simplifiée Avanci au capital social de 447 720 euros, dont le siège social se situe Batiment H, 12 allée Colette Duval 37100 TOURS, inscrite au Registre de Commerce et des Sociétés de Tours sous le numéro 432 388 718 représentée par MV GROUP
  • La société par actions simplifiée Euroleads au capital social de 60 000 euros dont le siège social se situe 9 rue Michelet, 37000 TOURS inscrite au registre du Commerce et des sociétés de Tours sous le numéro 320 179 922, représentée par Monsieur Arnaud LE LANN.
  • La société par actions simplifiée Trib-u au capital social de 220 583 euros dont le siège social se situe Batiment Le link, 75 Boulevard d’Armentiers, 59 100 ROUBAIX inscrite au registre du Commerce et des sociétés de Lille métropole sous le numéro 530 437 698 représentée par MV GROUP.
  • La société à responsabilité limitée Yes indeed au capital social de 9 990 euros dont le siège social se situe 32 rue de Paradis, 75010 Paris inscrite au registre du Commerce et des sociétés de Paris sous le numéro 794 104 497 représentée par Monsieur Olivier Méril.

Cette présente politique de confidentialité a pour but de vous informer sur la manière dont sont collectées vos données recueillies dans le cas où vous effectueriez un signalement.

La Société possédant plus de 50 salariés, la mise en place de ce dispositif d’alerte relevait d’une obligation légale lui incombant en vertu de la loi Sapin 2, modifiée par la loi Waserman en 2022.

1 – Champ d’application de cette politique

La Société a mis en place un dispositif d’alerte interne à la disposition de ses collaborateurs et de toutes ses parties prenantes. Ce dispositif permet à toute personne victime ou témoin des faits mentionnés ci-après de les rapporter au Comité d’Alerte Éthique.

Ainsi, vous sera attribuée la qualité de lanceur d’alerte si vous êtes une personne physique qui signale ou divulgue sans contrepartie financière directe et de bonne foi des informations portant sur :

  • Un crime ;
  • Un délit ;
  • Une menace ou un préjudice pour l’intérêt général ;
  • Une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement et plus spécifiquement des conduites ou des situations contraires à la Charte Anticorruption de la Société, concernant des faits de corruption ou de trafic d’influence.

Lorsque les informations n’ont pas été obtenues dans le cadre de vos activités professionnelles, vous devez en avoir eu personnellement connaissance.

2 – Responsable de traitement

Le responsable de traitement de vos données à caractère personnel sera la société concernée par l’alerte (parmi celles listées en préambule).

Vous pouvez nous contacter de la manière suivante :

Par courrier à cette adresse : 801 Avenue des Champs Blancs 35510 CESSON-SEVIGNE

Par téléphone au : 09.77.40.34.40

Par mail : dpo@mv-group.fr

3 – Données traitées

Les catégories de données personnelles que nous traitons sont différentes selon le stade de l’alerte :


3.1 – Le stade de recueil de l’alerte

La phase de recueil d’une alerte est entendue comme la période couvrant la réception de l’alerte par la Société et l’envoi du récépissé à son auteur.

Pendant cette période, seules les données nécessaires à la poursuite des finalités du traitement sont effectivement collectées et traitées, en l’occurrence pour la finalité de recueillir et traiter les alertes ou signalements visant à signaler un manquement à une règle spécifique.

Seront donc traitées uniquement les informations que le lanceur d’alerte aura voulu communiquer.

Les informations que le lanceur d’alerte communique doivent rester factuelles et présenter un lien direct avec l’objet de l’alerte, mais elles ne doivent pas relever du secret de la défense nationale, du secret médical, du secret des délibérations judiciaires, du secret de l’enquête, de l’instruction judiciaires ou du secret professionnel de l’avocat.

3.2 – Le stade d’instruction de l’alerte

La phase d’instruction d’une alerte est entendue comme la période qui débute par la réception de l’alerte par l’organisme, et qui se termine par la prise de décision quant aux suites réservées à l’alerte et par l’information de son auteur.

Pendant cette phase, la Société va vérifier l’exactitude des faits signalés. Les données recueillies vont donc pouvoir être utilisées en vue de documenter les diligences accomplies par l’organisme en ce sens visant à effectuer les vérifications, enquêtes et analyses nécessaires (analyse juridique et technique des faits, collecte des preuves, échanges avec différentes parties prenantes, audition des personnes susceptibles de fournir des informations pertinentes, réalisation d’actes d’expertise, prise de mesures conservatoires, etc.).

Seules les informations pertinentes et nécessaires au regard des finalités du traitement sont collectées et/ou conservées. Généralement, il s’agira des catégories de données suivantes :

  • Alerte (les faits signalés) ;
  • Identité, fonctions et coordonnées de :
    • l’émetteur de l’alerte ;
    • personnes faisant l’objet de l’alerte ;
    • personnes intervenant, consultées ou entendues dans le recueil ou dans le traitement de l’alerte ;
    • facilitateurs et personnes en lien avec l’émetteur de l’alerte ;
  • Eléments recueillis dans le cadre de la vérification des faits signalés ;
  • Comptes rendus des opérations de vérification ;

La société s’assure tout au long de la durée du traitement de la qualité des données qu’elle traite, cela se concrétise par des vérifications sur l’exactitude des données et des mises à jour si nécessaire.

3.3 – Les suites données à l’alerte

Lorsque la Société prend une décision sur les suites à donner à l’alerte, seules les données nécessaires aux finalités suivantes sont conservées :

  • Décider des suites à donner au signalement
  • Assurer la protection des personnes concernées (auteurs des signalements, facilitateurs, personnes mentionnées ou visées dans l’alerte) contre le risque de représailles ;
  • Permettre de constater, exercer et défendre ses droits en justice ;
  • Réaliser des audits internes ou externes de ses processus de conformité.

4 – Finalité de ces traitements

Le traitement des données recueillies lors de la gestion d’une alerte est mis en œuvre par la Société afin de :

  • Recueillir et traiter les alertes ou les signalements visant à signaler un manquement à une règle spécifique ;
  • Effectuer les vérifications, enquêtes et analyses nécessaires ;
  • Définir les suites à donner au signalement ;
  • Assurer la protection des personnes concernées ;
  • Exercer ou défendre des droits en justice.

Les informations recueillies dans le cadre du dispositif d’alerte ne seront pas réutilisées pour poursuivre un autre objectif incompatible avec les finalités mentionnées, et sont uniquement accessibles par le Comité d’Alerte Ethique de la Société et le cas échéant par les autorités judiciaires.

5 – Licéité du traitement

La Société s’engage à utiliser les données collectées dans le strict respect de la législation en vigueur, et notamment du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD.

La base légale des traitements réalisés dans le cadre de la gestion d’une alerte, est l’obligation légale prévue par la loi Sapin II.

6 – Conservation des données

Les données à caractère personnel relatives aux signalements ne sont conservées que le temps strictement nécessaire à la réalisation des finalités poursuivies, donc :

  • Conservation en base active jusqu’à la décision définitive sur les suites à donner à l’alerte.
  • Si une procédure disciplinaire ou contentieuse est engagée, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure ou de l’extinction de toute voie de recours à l’encontre de la décision intervenue.
  • Si l’alerte est classée sans suite, les informations sont archivées pendant 3 ans suite à la clôture du dossier, aux seules fin de preuve en cas de contrôle d’une autorité.

À l’issue de ces périodes, toutes les données seront supprimées.

NB : Si les informations sont anonymisées, elles peuvent être conservées de manière illimitée car elles ne sont plus considérées comme des données à caractère personnel.

 

7 – Droit des personnes

Conformément à la Loi informatique et libertés et au RGPD, toute personne concernée par le traitement d’une alerte peut exercer son droit d’accès, de rectification, de limitation des traitements, de suppression et de portabilité de ses données. En revanche, certains droits pourront être soumis à des limitations compte-tenu de la nature particulière des traitements liés à une alerte. Ainsi par exemple : conformément à l’article 21 du RGPD, le droit d’opposition ne peut pas être exercé pour les traitements nécessaires au respect d’une obligation légale à laquelle est soumis le responsable du traitement.

La personne concernée doit effectuer sa demande par courrier signé à l’adresse du siège social de MV GROUP : 801 Avenue des Champs-Blancs, 35510 CESSON-SEVIGNE.

Il est aussi possible de nous contacter via notre adresse mail : dpo@mv-group.fr.

A compter de la réception de cette demande, nous y répondrons au plus tard dans le mois qui suit sa réception.

Dans ce cadre, nous vous prions de bien vouloir accompagner votre demande des éléments nécessaires à votre identification (nom, prénom, e-mail, adresse postale, numéro de téléphone, etc.). Nous pourrons vous demander d’autres informations afin de confirmer votre identité si nécessaire. Cette demande d’information suspend le délai d’un mois pour vous apporter une réponse, comme le prévoit la réglementation. A compter de la réception des informations, nous répondrons à votre demande dans le reste du temps imparti.

Si vous estimez, après avoir contacté la Société, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation auprès de la CNIL.

8 – Sécurité des données et traitements

La Société s’engage à assurer la confidentialité des données collectées, et à mettre en œuvre toutes les mesures techniques et organisationnelles adaptées pour préserver leur sécurité et leur intégrité, notamment contre la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé.

9 – Atteinte aux données et communication

En cas de violation ou suspicion de violation de données à caractère personnel, la Société notifiera la CNIL, 72h au plus tard, après en avoir pris connaissance.

Si la violation de données personnelles pouvait créer un impact significatif à l’égard de vos droits ou vous causer un préjudice important, nous vous le notifierons le plus rapidement possible.

10 – Transfert de données hors UE

La Société n’opère pas de transferts de vos données hors Union européenne. A cet effet, les serveurs de la société sont hébergés en Union européenne.

Les prestataires de la Société qui peuvent être amenés à traiter vos données sont tous domiciliés en Union européenne.

Si des transferts de données hors Union européenne devaient être effectués, nous encadrerons ces transferts par des mécanismes juridiques appropriés, notamment la signature de clauses contractuelles supplémentaires, validées par la Commission Européenne, spécialement prévues pour ce type de transfert ainsi que la mise en place de garanties techniques et organisationnelles supplémentaires.

11 – Destinataires de vos données

Pour les données personnelles collectées lors de la procédure d’alerte, seul le Comité d’Alerte Ethique de la Société pourra en avoir connaissance et éventuellement l’avocat chargé d’assister la Société ou l’autorité judiciaire compétente en cas de contentieux à la suite du signalement.

12 – Nomination d’un DPO

La Société a nommé un DPO externe identifié comme suit :

Maître Benjamin GRAS

Cabinet Inside Avocats

dpo@mv-group.fr

13 – Garanties du lanceur d’alerte

En tant que lanceur d’alerte, vous avez le choix de rester anonyme ou de dévoiler votre identité auprès de la Société. Dans les deux cas, vous bénéficieriez du statut protecteur de lanceur d’alerte. https://www.service-public.fr/particuliers/vosdroits/F32031

13.1 – Confidentialité

La confidentialité de l’identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement est garantie.

Les éléments de nature à identifier le lanceur d’alerte ne peuvent pas être divulgués sans son accord. Ils peuvent cependant être transmis à l’autorité judiciaire, dans certains cas.

Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l’autorité judiciaire, les éléments de nature à identifier le lanceur d’alerte peuvent également lui être communiqués. Dans ce cas, le lanceur d’alerte en est informé.

 

13.2 – Irresponsabilité

13.2.1Irresponsabilité civile

Le lanceur d’alerte est irresponsable civilement lorsque la procédure de signalement a été respectée, cela implique qu’il ne pourra pas être condamné à verser des dommages et intérêts pour les dommages causés par ce signalement.

La seule condition c’est que le lanceur d’alerte ait eu des motifs raisonnables de croire que cette procédure était nécessaire à la sauvegarde des intérêts menacés.

13.2.2Irresponsabilité pénale

Lorsque la procédure de signalement a été respectée, le lanceur d’alerte est également irresponsable pénalement, cela signifie qu’il ne sera pas tenu responsable des éventuelles infractions commises pour obtenir les documents qui auront permis de prouver les informations signalées. Cependant, il ne doit pas y avoir eu d’infraction pour obtenir les informations proprement dites.

13.3 – Protection contre des mesures de représailles

Le lanceur d’alerte est protégé contre toute mesure de représailles, la Société s’assure que l’auteur d’un signalement n’encourt aucun risque de représailles à la suite de la mise en œuvre du dispositif d’alerte.

Les mesures de représailles dont pourrait être victime le lanceur d’alerte prennent notamment l’une des formes suivantes :

  • Suspension, mise à pied, licenciement ;
  • Rétrogradation ou refus de promotion ;
  • Transfert de fonctions, changement de lieu de travail, réduction de salaire ;
  • Suspension de la formation ;
  • Évaluation de performance négative ;
  • Mesures disciplinaires ;
  • Discrimination ;
  • Non-renouvellement ou résiliation du contrat liant le lanceur d’alerte à la Société.

La Société s’engage à ne pas prendre de mesures de représailles à l’encontre d’un lanceur d’alerte, dans le cas contraire ce dernier serait légitime à saisir le conseil des prud’hommes.

13.4 – Information

Quand le lanceur d’alerte remplit le formulaire, il déclare au stade n°14 de la procédure avoir eu connaissance des faits signalés, d’agir de bonne foi et sans contrepartie financière, ainsi que les faits révélés paraissent remplir des conditions de gravité au regard de la loi.

Lorsqu’une alerte est émise, un accusé de réception est fourni au lanceur d’alerte à l’adresse email qu’il a renseigné lors du dépôt du signalement.

Ce dernier est informé par écrit sur les mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, remédier à l’objet du signalement ainsi que sur les motifs de ces dernières.

14 – Information de la personne visée par l’alerte

Le Comité d’Alerte Ethique informera toute personne visée par une alerte dans un délai de maximum un mois.

Cette information pourra être différée si elle est susceptible de compromettre gravement la réalisation des objectifs du traitement, dans ce cas là l’information sera délivrée aussitôt le risque écarté.

Cette information ne contient pas l’identité de la personne à l’origine du signalement.

15 – Questions complémentaires

Pour toute question complémentaire relative à cette politique et à la manière dont la Société traite vos données personnelles, nous vous invitons à nous contacter à l’adresse suivante : dpo@mv-group.fr.

16 – Modification de la politique

MV GROUP pourra mettre à jour sa politique de confidentialité pour suivre l’évolution de la législation.