POLITIQUE DE PROTECTION DES DONNÉES GÉNÉRALES (RGPD)
1. Déclaration de politique
Chaque jour, notre entreprise reçoit, utilise et stocke des informations personnelles concernant nos clients, fournisseurs, candidats à un entretien et collègues. Il est important que ces informations soient traitées légalement et de manière appropriée, conformément aux exigences de la Loi de 2018 sur la protection des données et du Règlement général sur la protection des données (collectivement désignés par le terme « Exigences de protection des données »).
Nous prenons nos responsabilités en matière de protection des données au sérieux, car nous respectons la confiance qui nous est accordée pour utiliser les informations personnelles de manière appropriée et responsable.
2. À propos de cette politique
Cette politique, ainsi que tout autre document auquel elle fait référence, définit les principes sur lesquels nous traiterons les données personnelles que nous recueillons ou traitons.
Cette politique ne fait pas partie du contrat de travail de tout employé et peut être modifiée à tout moment.
Alex Smit est notre délégué à la protection des données (DPO) et est responsable de s'assurer que l'entreprise est conforme aux exigences en matière de protection des données et à cette politique. Toute question sur l'application de cette politique ou toute préoccupation selon laquelle la politique n'a pas été suivie doit être adressée en premier lieu au DPO ou signalée conformément à notre politique de réclamation de l'entreprise (se référer au Manuel de l'employé).
3. Qu'est-ce que les données personnelles?
Les données personnelles désignent des données (qu'elles soient stockées électroniquement ou sur support papier) se rapportant à une personne physique identifiée ou identifiable directement ou indirectement à partir de ces données (ou de ces données et d'autres informations en notre possession).
Le traitement désigne toute activité impliquant l'utilisation de données personnelles. Il inclut l'obtention, l'enregistrement ou le stockage des données, l'organisation, la modification, la récupération, l'utilisation, la divulgation, l'effacement ou la destruction de celles-ci. Le traitement inclut également le transfert de données personnelles à des tiers.
Les données personnelles sensibles comprennent des données personnelles concernant l'origine raciale ou ethnique d'une personne, ses opinions politiques, ses croyances religieuses ou philosophiques, son appartenance à un syndicat, ses données génétiques, biométriques, son état de santé physique ou mentale, son orientation sexuelle ou sa vie sexuelle. Elles peuvent également inclure des données sur des infractions ou condamnations pénales. Les données personnelles sensibles ne peuvent être traitées que sous des conditions strictes, notamment avec le consentement de la personne concernée.
4. Principes de protection des données
Toute personne traitant des données personnelles doit veiller à ce que les données soient :
a. Traitées de manière juste, licite et transparente.
b. Collectées à des fins spécifiques, explicites et légitimes, et tout traitement ultérieur est effectué pour une finalité compatible.
c. Suffisantes, pertinentes et limitées à ce qui est nécessaire aux fins prévues.
d. Précises et, si nécessaire, maintenues à jour.
e. Conservées sous une forme permettant l'identification pour une durée n'excédant pas celle nécessaire aux fins prévues.
f. Traitées conformément aux droits des individus et de manière garantissant une sécurité appropriée des données personnelles, notamment une protection contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou dommage accidentels, en utilisant des mesures techniques ou organisationnelles appropriées.
g. Non transférées à des personnes ou organisations situées dans des pays sans protection adéquate et sans avoir au préalable informé l'individu.
5. Traitement Équitable et Légal
Les exigences en matière de protection des données ne visent pas à empêcher le traitement des données personnelles, mais à garantir qu'il est effectué de manière équitable et sans porter atteinte aux droits de l'individu.
Conformément aux exigences en matière de protection des données, nous ne traiterons les données personnelles que si cela est nécessaire à des fins légales. Les finalités légales incluent (entre autres) : si l'individu a donné son consentement, si le traitement est nécessaire pour l'exécution d'un contrat avec l'individu, pour se conformer à une obligation légale, ou pour l'intérêt légitime de l'entreprise. Lorsque des données personnelles sensibles sont traitées, des conditions supplémentaires doivent être remplies.
6. Traitement à des Fins Limitées
Pendant le cours de nos activités, nous pouvons collecter et traiter des données personnelles. Cela peut inclure des données que nous recevons directement d'un sujet de données (par exemple, en remplissant des formulaires ou en correspondant avec nous par courrier, téléphone, e-mail ou autre), ainsi que des données que nous recevons d'autres sources (y compris, par exemple, des données de localisation, des partenaires commerciaux, des sous-traitants de services techniques, de paiement et de livraison, des agences de référence en matière de crédit et d'autres).
Nous ne traiterons les données personnelles que dans le cadre des finalités spécifiques énoncées dans l'Annexe 1 ou pour toute autre finalité spécifiquement permise par les Exigences de protection des données. Nous informerons les sujets de données de ces finalités lors de la première collecte des données ou dès que possible par la suite.
7. Notification aux individus
Si nous collectons des données personnelles directement auprès d'un individu, nous l'informerons sur :
a. Les finalités pour lesquelles nous avons l'intention de traiter ces données personnelles, ainsi que le fondement légal du traitement.
b. Lorsque nous nous appuyons sur les intérêts légitimes de l'entreprise pour traiter des données personnelles, les intérêts légitimes poursuivis.
c. Les types de tiers, le cas échéant, avec lesquels nous partagerons ou divulguerons ces données personnelles.
d. Comment les individus peuvent limiter notre utilisation et divulgation de leurs données personnelles.
e. Des informations sur la durée pendant laquelle leurs informations seront stockées, ou les critères utilisés pour déterminer cette durée.
f. Leur droit de demander de notre part en tant que responsable du traitement l'accès à leurs données personnelles, ainsi que la rectification ou l'effacement de celles-ci ou la limitation du traitement.
g. Leur droit de s'opposer au traitement et leur droit à la portabilité des données.
h. Leur droit de retirer leur consentement à tout moment (si le consentement a été donné) sans affecter la licéité du traitement effectué avant le retrait du consentement.
i. Le droit de déposer une plainte auprès du Commissariat à l'information.
j. Les autres sources d'où proviennent les données personnelles concernant l'individu et si elles proviennent de sources accessibles au public.
k. Si la fourniture des données personnelles est une obligation légale ou contractuelle, ou une exigence nécessaire pour conclure un contrat, ainsi que si l'individu est tenu de fournir les données personnelles et les conséquences en cas de non-fourniture des données.
Si nous recevons des données personnelles concernant un individu de sources externes, nous leur fournirons ces informations dès que possible (en plus de leur parler des catégories de données personnelles concernées), mais au plus tard dans un délai d'un mois.
Nous informerons également les personnes concernées dont nous traitons les données personnelles que nous sommes le responsable du traitement de ces données, nos coordonnées de contact et qui est le DPO.
8. Traitement adéquat, pertinent et non excessif
Nous ne collecterons des données personnelles que dans la mesure où elles sont nécessaires pour le but spécifique notifié au sujet des données.
9. Données exactes
Nous veillerons à ce que les données personnelles que nous détenons soient exactes et régulièrement mises à jour. Nous vérifierons l'exactitude de toutes les données personnelles au moment de la collecte et à intervalles réguliers par la suite. Nous prendrons toutes les mesures raisonnables pour détruire ou corriger les données inexactes ou périmées.
10. Traitement en temps voulu
Nous ne conserverons pas les données personnelles plus longtemps que nécessaire pour la ou les finalités pour lesquelles elles ont été collectées. Nous prendrons toutes les mesures raisonnables pour détruire ou effacer de nos systèmes toutes les données qui ne sont plus nécessaires.
11. Traitement conforme aux droits des sujets de données
Nous traiterons toutes les données personnelles conformément aux droits des sujets de données, en particulier leur droit :
a. à la confirmation que des données personnelles les concernant sont ou ne sont pas en cours de traitement.
b. à demander l'accès à toutes les données les concernant détenues par un responsable de traitement.
c. à demander la rectification, l'effacement ou la limitation du traitement de leurs données personnelles.
d. à déposer une plainte auprès d'une autorité de contrôle.
e. à s'opposer au traitement, y compris pour le marketing direct.
12. Sécurité des données
Nous prendrons les mesures de sécurité appropriées contre le traitement illégal ou non autorisé des données personnelles, et contre la destruction, les dommages, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles transmises, stockées ou autrement traitées de manière accidentelle ou illégale. En cas de transfert illégal de données, cela sera enquêté par l'officier compétent et les procédures disciplinaires de l'entreprise seront appliquées.
Nous mettrons en place des procédures et des technologies pour maintenir la sécurité de toutes les données personnelles depuis le point de détermination des moyens de traitement et du point de collecte de données jusqu'au point de destruction. Les données personnelles ne seront transférées à un sous-traitant que s'il accepte de se conformer à ces procédures et politiques, ou s'il met lui-même en place des mesures adéquates.
Nous maintiendrons la sécurité des données en protégeant la confidentialité, l'intégrité et la disponibilité des données personnelles, définies comme suit :
a. La confidentialité signifie que seules les personnes autorisées peuvent accéder aux données.
b. L'intégrité signifie que les données personnelles doivent être précises et adaptées à la fin pour laquelle elles sont traitées.
c. La disponibilité signifie que les utilisateurs autorisés doivent pouvoir accéder aux données s'ils en ont besoin à des fins autorisées. Les données personnelles doivent donc être stockées sur le système informatique central de notre entreprise plutôt que sur des PC individuels.
Les procédures de sécurité comprennent :
a. Contrôles d'entrée. Toute personne étrangère vue dans les zones d'accès contrôlé doit être signalée.
b. Bureaux et armoires verrouillables sécurisés. Les bureaux et armoires doivent être conservés verrouillés s'ils contiennent des informations confidentielles de toute nature. (Les informations personnelles sont toujours considérées comme confidentielles.)
c. Minimisation des données.
d. Méthodes de destruction. Les documents papier doivent être déchiquetés. Les dispositifs de stockage numérique doivent être physiquement détruits lorsqu'ils ne sont plus nécessaires.
e. Équipement. Le personnel doit s'assurer que les moniteurs individuels ne montrent pas d'informations confidentielles aux passants et qu'ils se déconnectent de leur PC lorsqu'il est laissé sans surveillance.
13. Demandes d'accès par les sujets
Les individus doivent faire une demande formelle pour obtenir les informations que nous détenons à leur sujet. Les employés qui reçoivent une demande doivent la transmettre immédiatement au DPO ou à un membre des Ressources Humaines.
Lors de la réception d'appels téléphoniques, nous ne divulguerons des données personnelles que si les conditions suivantes sont remplies :
a. Nous vérifierons l'identité de l'appelant pour nous assurer que les informations ne sont données qu'à une personne qui y a droit.
b. Nous suggérerons à l'appelant de soumettre sa demande par écrit si nous ne sommes pas sûrs de l'identité de l'appelant et lorsque leur identité ne peut pas être vérifiée.
Lorsqu'une demande est faite électroniquement, les données seront fournies électroniquement dans la mesure du possible.
Nos employés référeront une demande à leur supérieur hiérarchique en cas de situations difficiles.
14. Modifications de cette politique
Nous nous réservons le droit de modifier cette politique à tout moment. Si nécessaire, nous notifierons les changements par une bannière de cookie sur le site web.