Politique de protection des données
I. Introduction
Ce document détermine les obligations de RMR (« la Société »), dont le siège est situé au 315 Boulevard Sud 62138 Billy Berclau, France, en ce qui concerne la protection des données et les droits de ses clients, fournisseurs ou autres contacts professionnels potentiels ou existants ainsi que de ses employés (« la (les) personne(s) concernée(s) »), quant à leurs données personnelles selon la réglementation Européenne 2016/679 du Règlement Général sur la Protection des Données (« RGPD » ).
Ce document détermine les obligations de la Société envers la collecte, le traitement, le transfert, le stockage et la destruction des données personnelles. Les procédures et principes ci-nommés doivent être suivis à tout moment par la Société, ses employés, agents, contractuels ou autres parties travaillant au nom de la Société.
La Société doit non seulement se conformer à la lettre de la loi mais également à l’esprit de la loi, et placer une grande importance dans la manipulation correcte, licite et loyale de toute donnée personnelle, dans le respect des droits, de la vie privée, et de la confiance de toute personne avec qui elle traite.
II. Principes de la protection des données
Le RGPD détermine les principes suivants, que doit suivre tout individu traitant des données personnelles. Ces dernières doivent être :
Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
collectées pour des finalités déterminées, explicites et légitimes, et elles ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités initiales ;
Adéquates, pertinentes et limitées au strict nécessaire dans le cadre de la finalité à laquelle elles sont destinées ;
Exactes et tenues à jour lorsque cela est nécessaire. Toutes les mesures raisonnables doivent être mises en œuvre afin de garantir que l’intégralité des données personnelles inexactes, au regard de la finalité pour laquelle elles sont utilisées, soient effacées ou rectifiées sans délai ;
Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées ;
Traitées de façon à en garantir la sécurité, et elles doivent être protégées contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
III. Droits des personnes concernées
Le RGPD définit ci-dessous les droits applicables aux personnes concernées (se référer aux articles indiqués pour de plus amples détails) :
le droit à l’information (section 11) ;
le droit d’accès aux données (section 12) ;
le droit de rectification des données (section 13) ;
le droit d’effacement des données (également appelé « droit à l’oubli ») (section14) ;
le droit à la limitation du traitement (section 15) ;
le droit d’opposition (section 16).
IV. Un traitement des données loyal, licite et transparent
Le RGDP vise à garantir que les données personnelles soient traitées de manière loyale, licite et transparente, et stipule que ce traitement est licite dans la mesure où au moins l’une des conditions suivantes est remplie :
la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
le traitement est nécessaire à l’exécution d’un contrat duquel la personne concernée est partie ou à l’exécution de mesures pré contractuelles prises à la demande de celle-ci ;
le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
le traitement est nécessaire aux fins d’intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent des intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
V. Des finalités déterminées, explicites et légitimes
La Société collecte et traite les données personnelles définies dans la section 17 de ce document. Elles incluent :
5.1.1 les données personnelles collectées directement auprès de la personne concernée ;
5.1.2 les données personnelles collectées obtenues d’une autre source.
La Société ne collecte, traite et conserve que les données personnelles nécessaires aux finalités spécifiques définies dans la section 17 de ce document (ou pour d’autres finalités expressément permises par le RGPD).
Les personnes concernées sont tenues informées de la (des) finalité(s) pour la(les)quelle(s) la Société utilise leurs données personnelles. Se référer à la section 11 pour de plus amples détails sur le droit à l’information des personnes concernées.
VI. Un traitement des données adéquat, pertinent et limité au strict nécessaire
La Société collecte et traite les données à caractère personnel uniquement pour (et pour l’étendue de) la (des) finalité(s) pour la(les)quelle(s) les personnes concernées ont été ou seront informées, comme déterminé dans la section 17 de ce document.
VII. Exactitude et mise à jour des données
La Société doit garantir que toute donnée personnelle collectée, traitée et conservée soit exacte et tenue à jour. Cela inclut, mais ne limite pas à, la rectification de données à caractère personnel sur demande de la personne concernée, comme déterminé dans la section 13 de ce document.
L’exactitude des données personnelles doit être vérifiée lors de la collecte, puis à intervalles réguliers par la suite. En cas d’inexactitude ou d’obsolescence de données, toutes les mesures raisonnables doivent être mises en œuvre sans délai pour, le cas échéant, les effacer ou les rectifier.
VIII. Sécurité du traitement et de la conservation des données
La Société doit garantir une sécurité appropriée pour toute donnée personnelle collectée, conservée et traitée, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle. De plus amples détails sur les mesures techniques ou organisationnelles appropriées sont fournis dans les sections 19 à 22 de ce document.
La Société ne doit pas conserver des données personnelles plus longtemps que nécessaire, au regard de la (les) finalité(s) pour la(les)quelle(s) les données ont été initialement collectées, conservées et traitées (se référer à la section 18 de ce document pour de plus amples détails sur notre politique de conservation des données).
Lorsque des données personnelles ne sont plus requises, toutes les mesures nécessaires doivent être mises en œuvre afin de les effacer ou les supprimer sans délai. (Se référer à la section 20 du document).
IX. Responsabilité et tenue du registre
Le délégué à la protection des données de la Société est Philippe FAUCOEUR, Président
Le délégué à la protection des données est responsable de la mise en œuvre de cette politique, de contrôler la conformité avec celle-ci, ainsi qu’avec les autres politiques de la Société relatives à la protection des données, avec le RGPD et d’autres législations applicables de protection des données.
La Société doit conserver des registres internes écrits de toute collecte, conservation et traitement de données personnelles, et ils doivent inclure les informations suivantes :
9.3.1 les noms et coordonnées de la Société, de son délégué à la protection des données et, le cas échéant, de toute tierce personne traitant des données personnelles ;
9.3.2 les finalités pour lesquelles la Société collecte, conserve et traite les données personnelles ;
9.3.3 le détail des catégories de données personnelles collectées, conservées et traitées par la Société, ainsi que les catégories de personnes concernées auxquelles ces données se réfèrent ;
9.3.4 les détails de tout transfert de données à des pays hors EEE, y compris tous les mécanismes et les garanties de sécurité ;
9.3.5 Les détails concernant la durée pendant laquelle les données seront conservées par la Société ;
9.3.6 les descriptions détaillées de toutes les mesures techniques et organisationnelles mises en œuvre par la Société afin de garantir la sécurité des données personnelles.
X. Analyses de l’impact de la protection des données
La Société doit entreprendre des analyses de l’impact de la protection des données pour tout nouveau projet et/ou nouvel usage des données personnelles.
Les analyses de l’impact de la protection des données doivent être supervisées par le délégué à la protection des données, et doivent comprendre les éléments suivants :
10.2.1 le(s) type(s) de données personnelles qui seront collectées, conservées et traitées ;
10.2.2 la (les) finalité(s) du traitement des données ;
10.2.3 les objectifs de la Société ;
10.2.4 la façon dont seront utilisées les données personnelles ;
10.2.5 les parties (internes ou externes) qui devront être consultées ;
10.2.6 la nécessité et la proportionnalité du traitement des données, au regard de la (des) finalité(s) du traitement des données ;
10.2.7 les risques pour les personnes concernées ;
10.2.8 les risques pour la Société et au sein de la Société ;
10.2.9 les mesures proposées afin de réduire et maîtriser les risques identifiés.
XI. Droit à l’information des personnes concernées
La Société doit fournir les informations décrites dans la section 11.2 à toute personne concernée :
11.1.1 lorsque les données personnelles sont collectées directement depuis les personnes concernées, ces dernières seront informées de la finalité au moment de la collecte, et*
11.1.2 lorsque les données personnelles sont obtenues d’une autre source, les personnes concernées seront informées de la finalité :
lors du premier contact avec la personne concernée si les données à caractère personnel sont utilisées afin de communiquer avec elle, ou
avant le transfert de données, si les données personnelles doivent être transférées à un autre destinataire, ou aussi rapidement qu’il est raisonnablement possible, et dans un délai maximum d’un mois après l’obtention des données.
Les informations suivantes doivent être fournies :
11.2.1 les coordonnées de la Société, y compris mais non limité à l’identité de son délégué à la protection des données ;
11.2.2 la (les) finalité(s) de la collecte et du traitement ultérieur des données (tel que détaillé dans la section 17 de ce document), et la base légale justifiant cette collecte et ce traitement ;
11.2.3 le cas échéant, les intérêts légitimes de la Société justifiant la collecte et le traitement des données ;
11.2.4 les catégories de données personnelles collectées et traitées, lorsque les données ne sont pas obtenues directement depuis les personnes concernées ;
11.2.5 si les données personnelles doivent être transférées à un ou plusieurs autres destinataires, les coordonnées de ceux-ci ;
11.2.6 lorsque les données personnelles doivent être transférées à des destinataires situés dans des pays hors de l’Espace Économique Européen (l’ « EEE »), les détails de ce transfert, y compris mais non limité à l’ensemble des garanties de sécurité mises en place ;
11.2.7 le détail de la conservation des données ;
11.2.8 le détail des droits de la personne concernée selon le RGPD ;
11.2.9 le détail des droits de la personne concernée de retirer à tout moment son consentement au traitement de ses données à caractère personnel par la Société ;
11.2.10 le détail des droits de la personne concernée de déposer plainte auprès de la CNIL, l’ « autorité de contrôle » selon le RGPD ;
11.2.11 le cas échéant, le détail de toute exigence légale ou contractuelle nécessitant la collecte et le traitement de données personnelles, et le détail de toute conséquence entraînée par un défaut à les fournir.
XII. Droit d’accès aux données
Les personnes concernées peuvent effectuer des demandes d’accès aux données personnelles à tout moment afin de connaître les données personnelles les concernant dont dispose la Société, la manière dont elle en fait usage et pourquoi.
Les réponses aux demandes d’accès aux données personnelles doivent normalement être faites dans un délai d’un mois suivant la réception de la demande. Elles peuvent cependant être repoussées à deux mois si les demandes sont complexes et/ou nombreuses. La personne concernée doit dans ce cas en être informée.
Toute demande d’accès aux données personnelles doit être traitée par le délégué à la protection des données de la Société.
La Société ne facture pas de frais pour le traitement de demandes d’accès classiques. La Société se réserve le droit de facturer des frais d’un montant raisonnable pour des copies supplémentaires d’informations déjà communiquées à la personne concernée, ou pour des demandes d’accès manifestement infondées ou excessives, particulièrement lorsque ces demandes sont répétées.
XIII. Droit de rectification des données
Les personnes concernées ont le droit d’exiger de la Société qu’elle rectifie toute donnée personnelle inexacte ou incomplète les concernant.
La Société doit rectifier les données personnelles en question et en informer la personne concernée dans un délai d’un mois suivant sa demande. Cette période peut être prolongée d’un mois dans le cas de demandes complexes. Si un tel délai est nécessaire, la personne concernée doit en être informée.
Tout autre destinataire des données personnelles affectées doit être informé du besoin d’effectuer la rectification demandée.
XIV. Droit d’effacement des données ou droit à l’oubli
Les personnes concernées ont le droit d’exiger de la Société qu’elle efface les données à caractère personnel les concernant, dans les circonstances suivantes :
14.1.1 il n’est plus nécessaire pour la Société de conserver ces données personnelles au regard de(s) finalité(s) pour lesquelles elles avaient été initialement collectées ou traitées ;
14.1.2 la personne concernée souhaite retirer son consentement à la conservation et au traitement de ses données par la Société ;
14.1.3 la personne concernée s’oppose à la conservation et au traitement de ses données personnelles, et il n’existe pas pour la Société d’intérêt légitime prenant le dessus (se référer à la section 16 de ce règlement pour de plus amples détails sur le droit d’opposition) ;
14.1.4 les données personnelles ont fait l’objet d’un traitement illicite ;
14.1.5 les données personnelles doivent être effacées afin que la Société se mette en conformité avec une obligation légale particulière.
Toute demande d’effacement des données doit être exécutée, et la personne concernée informée, dans un délai d’un mois suivant sa requête, sauf motifs valables invoqués par la Société pour refuser de supprimer ces données. La période peut être étendue à deux mois dans le cas de demandes complexes. Si un tel délai est nécessaire, la personne concernée doit en être informée.
Dans la situation où des données à caractère personnel, devant être effacées en réponse à la demande de la personne concernée, ont été communiquées à un (d’) autre(s) destinataire(s), ce(s)dernier(s) doit(doivent) être informé(s) de la suppression en question (sauf impossibilité ou nécessité d’efforts disproportionnés pour y parvenir).
XV. Droit à la limitation du traitement des données personnelles
Les personnes concernées peuvent exiger de la Société qu’elle cesse le traitement de données personnelles dont elle dispose leur appartenant. Si une telle demande est effectuée, la Société ne doit conserver que le nombre de données nécessaires appartenant aux personnes concernées, permettant de garantir que les données en question ne soient pas traitées plus avant.
Dans la situation où des données à caractère personnel ont été communiquées à un (d’) autre(s) destinataire(s), ce(s) dernier(s) doivent être informé(s) des limitations en vigueur du traitement (sauf impossibilité ou nécessité d’efforts disproportionnés pour y parvenir).
XVI. Droit d’opposition au traitement des données personnelles
Les personnes concernées ont le droit de s’opposer au traitement par la Société au titre d’intérêts légitimes et/ou de marketing direct de leurs données personnelles.
Lorsque les personnes concernées s’opposent au traitement de leurs données personnelles par la Société au titre de ses intérêts légitimes, la Société doit cesser immédiatement tout traitement, sauf si le motif valable donné par la Société pour un tel traitement prend le dessus sur les intérêts, les droits et libertés de la personne concernée, ou que le traitement est nécessaire à la conduite d’actions judiciaires.
Lorsque les personnes concernées s’opposent au traitement de leurs données personnelles par la Société pour des finalités marketing, la Société doit cesser immédiatement tout traitement.
XVIII. Politique de conservation des données
La Société ne doit pas conserver des données personnelles plus longtemps que nécessaire, au regard de la (les) finalité(s) pour la(les)quelle(s) les données ont été collectées, conservées et traitées.
Différents types de données personnelles, utilisées à des fins distinctes, peuvent être conservées pendant des périodes d’une durée variable (et leur durée de conservation revue ponctuellement), comme déterminé plus bas.
Lors de l’établissement et/ou la revue des périodes de conservation des données, les éléments ci-dessous doivent être pris en compte :
18.3.1 les objectifs et contraintes de la Société ;
18.3.2 le type de données concernées ;
18.3.3 la(les) finalité(s) pour la(les)quelle(s) les données concernées sont collectées, conservées et traitées ;
18.3.4 la base légale sur laquelle la Société s’appuie pour collecter, conserver et traiter ces données ;
18.3.5 la (les) catégorie(s) à laquelle (auxquelles) ces données se réfèrent ;
Si une période de conservation précise ne peut pas être déterminée pour un type de données particulier, des critères sur lesquels la conservation des données sera basée doivent être établis, garantissant que les données concernées, et leur conservation, pourront être régulièrement revues selon ces critères.
Nonobstant les périodes de conservation définies ci-dessous, certaines données personnelles pourront être effacées ‒ ou écartées d’une autre façon ‒ antérieurement à l’expiration de sa période de conservation lorsqu’il en est décidé ainsi au sein de la Société (que cela soit en réponse à une demande initiée par la personne concernée ou non).
XIX. Sécurité des données
La Société doit garantir que les plus grandes précautions soient prises en ce qui concerne toutes les communications et autres transferts de données à caractère personnel. De plus, la Société doit attester que les mesures suivantes sont prises en ce qui concerne le stockage de données personnelles :
toutes les copies électroniques de données personnelles doivent être stockées en sécurité sur nos serveurs internes, et ne sont accessibles qu’aux employés autorisés à les consulter, grâce à un accès via un mot de passe individuel ;
toutes les copies papier de données personnelles ainsi que les copies électroniques stockées sur des dispositifs physiques amovibles, sont stockées en sécurité dans nos locaux ;
en aucun cas des données personnelles ne doivent être transférées sur le dispositif personnel d’un employé, et ces données ne peuvent être déplacées que sur des outils appartenant à des agents, contractuels ou autres parties travaillant au nom de la Société, lorsque ces parties ont expressément accepté de se plier à la lettre et à l’esprit de cette politique et du RGPD (cela peut inclure le fait de démontrer à la Société que toutes les mesures techniques et organisationnelles ont été mises en œuvre).
XX. Sécurité des données : destruction
Dès l’expiration de la période de conservation des données tel qu’indiqué dans la section 18 de cette politique, ou lorsque qu’une personne concernée exerce son droit d’effacement de ses données personnelles, ces dernières doivent être effacées, détruites, ou supprimées tel que détaillé ci-dessous :
les données personnelles stockées électroniquement (y compris toutes les sauvegardes de celles-ci) doivent être effacées ;
les copies papier des données personnelles stockées doivent être broyées.
XXI. Sécurité des données : utilisation des données personnelles
La Société garantit que les mesures suivantes concernant l’usage des données personnelles sont mises en œuvre :
aucune donnée personnelle ne doit être partagée de façon informelle, et si un employé, agent, contractuel ou autre partie travaillant au nom de la Société demande à accéder à une donnée personnelle à laquelle il n’avait pas accès précédemment, une requête formelle doit être adressée par un membre de l’équipe encadrante ;
aucune donnée personnelle ne doit être transférée à des employés, agents, contractuels ou autres parties, que ces dernières travaillent au nom de la Société ou non, sans l’autorisation d’un membre de l’équipe encadrante ;
les données personnelles doivent être maniées avec les plus grandes précautions en tout temps, et ne doivent en aucun cas être laissées sans surveillance ou à la vue d’employés, agents, contractuels ou autres parties non autorisés à les manipuler ;
si des données personnelles sont visualisées sur un écran d’ordinateur, et que ce dernier doit être laissé sans surveillance pour quelque durée que ce soit, l’utilisateur doit verrouiller son équipement avant de se lever de son poste ;
lorsque les données personnelles détenues par la Société sont utilisées à des fins marketing, il est de la responsabilité de l’équipe encadrante de garantir que le consentement approprié est obtenu, et que les personnes concernées n’ont pas exercé leur droit à l’opposition.
XXII. Mesures organisationnelles
La Société doit garantir que les mesures suivantes sont prises en ce qui concerne la collecte, conservation et le traitement des données personnelles :
tous les employés, agents, contractuels ou autres parties travaillant au nom de la Société doivent être expressément informés de leur responsabilité propre ainsi que de celle de la Société envers le RGPD et envers cette politique, et doivent recevoir une copie de ce document ;
parmi les employés, agents, contractuels ou autres parties travaillant au nom de la Société, seuls ceux requérant d’accéder à des données personnelles et de les utiliser pour mener à bien les tâches qui leurs sont confiées, doivent avoir accès aux données détenues par la Société ;
tous les employés, agents, contractuels ou autres parties manipulant des données personnelles travaillant au nom de la Société :
22.3.1 recevront une formation adéquate pour ces opérations ;
22.3.2 seront supervisés de façon appropriée ;
22.3.3 seront encouragés à ― et tenus de ― discuter de sujets en relation avec des données personnelles avec discrétion, précaution et prudence, que cela soit sur leur lieu de travail ou à l’extérieur ;
22.3.4 seront tenus de respecter ces règles, en accord avec le RGPD et cette politique, par contrat ;
22.3.5 doivent garantir que l’intégralité des employés impliqués dans le traitement de données personnelles est tenue aux mêmes conditions, relevées dans cette politique et dans le RGPD, que les employés concernés au sein de la Société ;
22.3.6 seront régulièrement testés et examinés sur leurs méthodes.
Les méthodes de collecte, conservation et traitement des données personnelles seront régulièrement testées et examinées ;
toute donnée personnelle détenue par la Société doit être examinée régulièrement, tel qu’indiqué dans la politique de conservation des données de la Société
dans le cas où tout employé, agent, contractuel ou autre partie travaillant au nom de la Société et manipulant des données personnelles ferait défaut à ses obligations tel que stipulé par cette politique, cette partie devra indemniser et exonérer la Société de tout coût, responsabilité, dégâts, perte, requête ou poursuite judiciaire pouvant résulter de cette défaillance.
XXIII. Notification de violation de données personnelles
Toute violation de données personnelles doit être immédiatement rapportée au délégué à la protection des données de la Société.
23.1.1 Si une violation de données personnelles se produit, et qu’elle est susceptible de mener à un risque pour les droits et libertés des personnes concernées (perte financière, rupture de confidentialité, discrimination, atteinte à la réputation ou autre dommage social ou économique significatif), le délégué à la protection des données doit garantir que la CNIL est informée sans délai de la défaillance, et dans tous les cas dans les 72 heures après avoir eu connaissance de la violation.
23.1.2 Dans le cas où une violation de données personnelles est susceptible de mener à un risque élevé (plus important que ceux stipulés dans la section 23.2) pour les droits et libertés des personnes concernées, le délégué à la protection des données doit s’assurer de ce que toute personne concernée affectée soit informée de la défaillance directement et sans délai injustifié.
Les notifications de violation de données personnelles doivent contenir les informations suivantes :
23.2.1 les catégories et le nombre approximatif de personnes concernées affectées ;
23.2.2 les catégories et le nombre approximatif de registres de données concernés ;
23.2.3 Les noms et coordonnées du délégué à la protection des données (ou tout autre point de contact auprès duquel obtenir de plus amples informations) ;
23.2.4 les conséquences probables de la défaillance ;
23.2.5 Les détails des mesures mises en œuvre ou proposées par la Société pour remédier à la violation, y compris, le cas échéant, les précautions prises afin d’en minimiser les éventuels effets négatifs.
XXIV. Mise en œuvre de la politique
Cette politique est rendue effective au 25 mai 2018. Aucune section de cette politique n’a d’effet rétroactif, elle s’applique par conséquent uniquement aux situations advenant à cette date ou ultérieurement.