POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES CONFORMÉMENT AU RGPD

1. CHAMP D'APPLICATION, OBJECTIF ET DESTINATAIRES

L'entreprise s'engage à respecter les lois et réglementations applicables en matière de protection des données personnelles dans les pays où elle opère. Cette politique établit les principes de base selon lesquels l'entreprise traite les données personnelles des consommateurs, clients, fournisseurs, partenaires commerciaux, employés et autres personnes, et indique les responsabilités de ses départements et employés lors du traitement des données personnelles.
Cette politique s'applique à l'entreprise et aux entreprises qu'elle contrôle directement ou indirectement, exerçant des activités au sein de l'Espace économique européen (EEE) ou traitant les données personnelles des personnes concernées au sein de l'EEE.
Les destinataires de ce document sont tous les employés, permanents ou temporaires, et tous les collaborateurs travaillant pour le compte de l'entreprise.

2. DOCUMENTS DE RÉFÉRENCE

Le Règlement (UE) 2016/679 du 27 avril 2016 (ci-après RGPD), le décret législatif n° 196 du 30 juin 2003 (Code de la vie privée) et ses modifications ultérieures, la politique de conservation des données, les lignes directrices pour la liste des données et la cartographie des activités de traitement, la description du rôle du délégué à la protection des données, la procédure pour la demande d'accès aux données par la personne concernée, la méthodologie d'évaluation de l'impact sur la protection des données, la procédure de communication d'une violation de données, le manuel SGI.

3. OBJET ET FINALITÉS

Le RGPD établit les règles pour la protection des personnes physiques en ce qui concerne le traitement des données personnelles, ainsi que les règles pour la libre circulation de ces données (article 1).

4. CHAMP D'APPLICATION MATÉRIEL

Dans le champ d'application matériel du règlement, on trouve : les données personnelles soumises à un traitement entièrement ou partiellement automatisé, les données personnelles contenues dans un fichier ou destinées à y être introduites. Hors du champ d'application matériel, on trouve : les données personnelles utilisées dans le cadre d'activités qui ne relèvent pas du droit de l'UE, les données personnelles utilisées dans les contrôles douaniers et pour les procédures d'asile et d'immigration, les données personnelles utilisées en relation avec des activités purement personnelles, les données personnelles utilisées à des fins de prévention des crimes, etc.

5. CHAMP D'APPLICATION TERRITORIAL

Le règlement s'applique aux données personnelles utilisées dans le cadre d'activités qui ne relèvent pas du droit de l'UE, aux données personnelles utilisées dans les contrôles douaniers et pour les procédures d'asile et d'immigration, aux données personnelles utilisées en relation avec des activités purement personnelles, aux données personnelles utilisées à des fins de prévention des crimes, etc.

6. DÉFINITIONS

Par rapport au Code de la vie privée (Décret législatif n° 196 du 30/06/2003), la définition des données sensibles et des données judiciaires a été supprimée ; désormais, on parle de : Aux responsables du traitement et aux sous-traitants dans l'Union, quel que soit le lieu où le traitement a lieu.
Aux responsables du traitement et aux sous-traitants qui ne résident pas dans l'Union lorsque les activités de traitement concernent : - Des biens ou services, qu'un paiement soit requis ou non. - La surveillance du comportement des personnes concernées au sein de l'UE.
Aux responsables du traitement non établis dans l'Union, mais dans un lieu où s'applique la loi d'un État membre.
Catégories spéciales de données personnelles : données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance syndicale, données génétiques, données biométriques visant à identifier de manière unique une personne physique, données relatives à la santé ou à la vie sexuelle ou à l'orientation sexuelle de la personne. Données de santé : données personnelles relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, révélant des informations sur son état de santé.
Catégories spéciales de données personnelles : données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance syndicale, données génétiques, données biométriques visant à identifier de manière unique une personne physique, données relatives à la santé ou à la vie sexuelle ou à l'orientation sexuelle de la personne.
Données génétiques : données personnelles relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique fournissant des informations uniques sur la physiologie ou la santé de cette personne physique, résultant notamment de l'analyse d'un échantillon biologique de la personne physique en question ; Données biométriques : données personnelles obtenues par un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique permettant ou confirmant son identification unique, telles que l'image faciale ou les données dactyloscopiques.
Les définitions suivantes des termes utilisés dans ce document sont tirées du Règlement général sur la protection des données de l'Union européenne (RGPD) : Donnée personnelle : toute information concernant une personne physique identifiée ou identifiable ("la personne concernée") ; est considérée comme identifiable la personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel que le nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Responsable du traitement des données (responsable) : la personne physique ou morale, l'autorité publique, le service ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles.
Sous-traitant des données (Data Processor DP) : la personne physique ou morale, l'autorité publique, le service ou autre organisme qui traite des données personnelles pour le compte du responsable.
Délégué à la protection des données (Data Protection Officer DPO) : la personne physique, la société, l'entité publique ou privée, l'association ou l'organisme auquel le responsable confie, même en dehors de sa structure organisationnelle, des tâches spécifiques et définies de gestion et de contrôle du traitement des données. La désignation d'un DPO est obligatoire : - si le traitement est effectué par une autorité publique ou un organisme public ; - si les activités principales du responsable ou du sous-traitant consistent en des traitements nécessitant une surveillance régulière et systématique des personnes concernées à grande échelle ; ou - si les activités principales du responsable ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données personnelles relatives à des condamnations pénales et infractions.
La désignation obligatoire d'un DPO peut également être prévue dans d'autres cas en vertu de la législation nationale ou du droit de l'UE. Si la désignation d'un DPO est effectuée sur une base volontaire, les mêmes exigences s'appliquent - en termes de critères de désignation, de position et de tâches - que celles applicables aux DPO désignés obligatoirement (art. 37 RGPD).
Traitement : toute opération ou ensemble d'opérations, effectuées avec ou sans l'aide de processus automatisés et appliquées à des données personnelles ou ensembles de données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, la comparaison ou l'interconnexion, la limitation, la suppression ou la destruction.
Consentement de la personne concernée : toute manifestation de volonté libre, spécifique, éclairée et sans équivoque de la personne concernée, par laquelle elle donne son accord, par déclaration ou action positive indubitable, pour que les données personnelles la concernant fassent l'objet d'un traitement.
Violation des données personnelles : la violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles transmises, stockées ou traitées de toute autre manière.
Anonymisation : déidentification irréversible des données personnelles de manière à ce que la personne ne puisse être identifiée à l'aide de moyens raisonnables en termes de temps, de coûts et de technologies par le responsable ou toute autre personne pour identifier la personne concernée. Les principes de protection des données ne devraient donc pas s'appliquer aux informations anonymes, c'est-à-dire aux informations qui ne se rapportent pas à une personne physique identifiée ou identifiable.
Pseudonymisation : le traitement des données personnelles de manière à ce que les données personnelles ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles destinées à garantir que ces données personnelles ne soient pas attribuées à une personne physique identifiée ou identifiable. La pseudonymisation réduit, mais n'élimine pas complètement, la possibilité de lier les données personnelles à la personne concernée. Étant donné que les données pseudonymisées sont tout de même des données personnelles, le traitement des données pseudonymisées devrait être conforme aux principes du traitement des données personnelles.
Traitement transfrontalier : traitement de données personnelles ayant lieu dans le cadre des activités d'établissements dans plus d'un État membre d'un responsable ou DP des données dans l'Union où le responsable ou le DP sont établis dans plus d'un État membre ; ou le traitement de données personnelles ayant lieu dans le cadre des activités d'un seul établissement d'un responsable ou DP dans l'Union, mais qui a un impact ou est susceptible d'avoir un impact substantiel sur les personnes concernées dans plus d'un État membre ; Autorité de contrôle : l'autorité publique indépendante établie par un État membre en vertu de l'article 51 du RGPD de l'UE ; pour l'Italie, il s'agit du Garante per la protezione dei dati personali (GARANTE) ayant son siège à Piazza di Monte Citorio n. 121 - 00186 Roma - www.gpdp.it - www.garanteprivacy.it E-mail : [email protected] Fax : (+39) 06.69677.3785 Standard téléphonique : (+39) 06.69677.1

7. PRINCIPES APPLICABLES AU TRAITEMENT DES DONNÉES PERSONNELLES

Les principes applicables à la protection des données définissent les responsabilités des organisations dans la gestion des données personnelles. Le Responsable du traitement est responsable du respect de ces principes et doit être en mesure de le démontrer.

LICÉITÉ, LOYAUTÉ ET TRANSPARENCE

Les données personnelles doivent être traitées de manière licite, loyale et transparente à l'égard de la personne concernée. Le traitement est licite uniquement s'il repose sur AU MOINS l'une des conditions suivantes : L'intéressé a donné son consentement pour une ou plusieurs finalités spécifiques. Le traitement est nécessaire à l'exécution d'un contrat auquel l'intéressé est partie. Le traitement est nécessaire pour remplir une obligation légale du responsable du traitement. Le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée. Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.

LIMITATION DES FINALITÉS

Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, puis traitées de manière compatible avec ces finalités.

MINIMISATION DES DONNÉES

Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées. L'entreprise doit appliquer l'anonymisation ou la pseudonymisation des données personnelles, si possible, pour réduire le risque pour les personnes concernées.

EXACTITUDE

Les données personnelles doivent être exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour effacer ou rectifier rapidement les données inexactes par rapport aux finalités pour lesquelles elles sont traitées.

LIMITATION DE LA DURÉE DE CONSERVATION

Les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une période n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.

INTÉGRITÉ ET CONFIDENTIALITÉ

Compte tenu des technologies et des autres mesures de sécurité disponibles, des coûts de mise en œuvre et de la probabilité et de la gravité des risques pour les données personnelles, l'entreprise a mis en place des mesures techniques et organisationnelles pour garantir un niveau de sécurité approprié pour les données personnelles, y compris la protection contre la destruction, la perte, la modification, la divulgation ou l'accès non autorisés.

RESPONSABILISATION

Le Responsable du traitement des données est responsable du respect des principes décrits ci-dessus, et à travers l'application correcte et l'observation de la présente politique, il est en mesure de le démontrer.

8. PRINCIPES DE PROTECTION DES DONNÉES DANS LES ACTIVITÉS COMMERCIALES

L'entreprise a mis en œuvre les principes de protection des données dans son système de gestion de la confidentialité, assurant la conformité réglementaire des différentes phases opérationnelles, de la collecte au traitement. L'objectif de l'entreprise est d'adopter et d'améliorer constamment ses processus organisationnels et opérationnels pour collecter le moins de données personnelles possible. Si des données personnelles sont collectées par des tiers, le responsable du traitement doit garantir que ces données personnelles sont collectées légalement.

UTILISATION, CONSERVATION ET ÉLIMINATION

Les finalités, les méthodes, la durée d'enregistrement et la période de conservation des données personnelles doivent être cohérentes avec les informations contenues dans l'avis de confidentialité. L'entreprise doit maintenir l'exactitude, l'intégrité, la confidentialité et la pertinence des données personnelles en fonction de l'objectif du traitement. Des mécanismes de sécurité appropriés doivent être utilisés pour protéger les données personnelles contre le vol, un usage inapproprié ou abusif, et pour prévenir les violations des données personnelles. Le Responsable est responsable du respect des exigences énumérées dans cette section.

COMMUNICATION À DES TIERS

Chaque fois que l'entreprise utilise un fournisseur ou un partenaire commercial tiers pour le traitement des données personnelles en son nom, des garanties doivent être obtenues pour assurer que celui-ci fournisse des mesures de sécurité appropriées pour protéger les données personnelles conformément aux risques associés (par exemple, utilisation inappropriée des données personnelles, divulgation non autorisée, etc.). L'entreprise s'engage à exiger contractuellement du fournisseur ou du partenaire commercial de fournir un niveau adéquat de protection des données (Module GDPR-NRET Nomination du Responsable Externe du Traitement). Les fournisseurs ou partenaires commerciaux doivent traiter les données personnelles uniquement pour remplir leurs obligations contractuelles envers l'entreprise ou sur instruction de l'entreprise et non pour d'autres finalités. Lorsque l'entreprise traite conjointement des données personnelles avec un tiers indépendant, elle doit spécifier explicitement les responsabilités propres et celles du tiers dans le contrat ou tout autre document légalement contraignant.

TRANSFERT TRANSFRONTALIER DE DONNÉES PERSONNELLES

L'entreprise n'effectue pas de transferts de données personnelles à l'étranger. Cependant, avant de transférer des données personnelles de l'Espace économique européen (EEE), des mesures de protection appropriées doivent être utilisées, y compris la signature d'un accord de transfert de données, comme exigé par l'Union européenne, et, si nécessaire, l'autorisation de l'autorité de protection des données respective doit être obtenue.

DROIT D'ACCÈS PAR LES PERSONNES CONCERNÉES

L'entreprise est responsable de fournir aux personnes concernées un mécanisme raisonnable d'accès afin de leur permettre d'accéder à leurs données personnelles et doit leur permettre de mettre à jour, corriger, supprimer ou transmettre leurs données personnelles, le cas échéant ou si la loi l'exige. Le mécanisme d'accès sera détaillé dans la Procédure de demande d'accès aux données par la personne concernée.

PORTABILITÉ DES DONNÉES

Les personnes concernées ont le droit de recevoir, sur demande, une copie des données qu'elles nous ont fournies dans un format structuré et de transmettre ces données à un autre responsable, gratuitement. L'entreprise est responsable de garantir que de telles demandes soient traitées dans un délai d'un mois, ne soient pas excessives et n'affectent pas les droits relatifs aux données personnelles d'autres personnes.

DROIT À L'OUBLI

Sur demande, les personnes concernées ont le droit d'obtenir de l'entreprise la suppression de leurs données personnelles si l'une des raisons suivantes existe : les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou autrement traitées. La personne concernée révoque le consentement sur lequel repose le traitement et il n'existe pas d'autre fondement juridique pour le traitement. La personne concernée s'oppose au traitement et il n'existe aucun motif légitime prévalent pour poursuivre le traitement. Les données personnelles ont été traitées illégalement. Les données personnelles doivent être supprimées pour respecter une obligation légale.

9. DIRECTIVES SUR LE TRAITEMENT CORRECT

Les données personnelles ne doivent être traitées que si elles sont explicitement autorisées par le responsable du traitement. Le responsable décide s'il convient d'effectuer une évaluation d'impact sur la protection des données pour chaque activité de traitement des données, conformément aux lignes directrices sur l'évaluation d'impact sur la protection des données.

COMMUNICATIONS AUX PERSONNES CONCERNÉES

Au moment de la collecte ou avant la collecte de données personnelles pour tout type d'activité de traitement, mais sans s'y limiter à la vente de produits, services ou activités marketing, le responsable est chargé d'informer adéquatement les personnes concernées des éléments suivants : l'identité et les coordonnées du responsable du traitement ; le cas échéant, l'identité et les coordonnées du délégué à la protection des données (DPD) ; les modalités et finalités du traitement des données ; les bases légales du traitement des données ; les catégories de destinataires ; les éventuels transferts de données ; la durée de conservation ; les droits de la personne concernée concernant ses données personnelles ; si les données seront partagées avec des tiers et les mesures de sécurité mises en place par l'entreprise pour protéger les données personnelles ; les conséquences du refus de consentir au traitement. Ces informations sont fournies via l'Avis de confidentialité (Modèle RGPD-IC pour les clients ; RGPD-IF pour les fournisseurs). L'entreprise, en outre, en conformité avec le principe de responsabilité, devra obtenir la confirmation de la personne concernée selon laquelle elle a lu et compris le contenu de l'avis par une déclaration appropriée sur la copie de celui-ci.

OBTENIR LES CONSENTEMENTS

Chaque fois que le traitement des données personnelles est basé sur le consentement de la personne concernée ou sur d'autres motifs légitimes, le responsable est responsable : de conserver un enregistrement de ce consentement (en conservant le formulaire d'information signé par la personne concernée) ; de fournir aux personnes concernées des options pour donner leur consentement ; d'informer les personnes concernées et de leur garantir que le consentement donné (chaque fois que le consentement est utilisé comme base légale pour le traitement) peut être révoqué à tout moment. Lorsque la collecte de données personnelles concerne un mineur de moins de 16 ans, le responsable doit garantir que le consentement du titulaire de l'autorité parentale est obtenu avant la collecte en utilisant le formulaire spécifique. Lorsqu'il est demandé de corriger, modifier ou détruire des enregistrements de données personnelles, le responsable doit garantir que de telles demandes soient traitées dans un délai raisonnable et doit également enregistrer les demandes et tenir un registre de celles-ci. Les données personnelles ne doivent être traitées que dans le but pour lequel elles ont été initialement collectées. Si l'entreprise souhaite traiter les données personnelles collectées à des fins différentes, l'entreprise doit obtenir le consentement des personnes concernées par écrit de manière claire et concise. Toute demande de ce type devrait inclure le but initial pour lequel les données ont été collectées ainsi que les nouveaux ou supplémentaires. La demande doit également inclure la raison du changement de but. À l'avenir, le responsable doit garantir que les méthodes de collecte sont conformes à la loi, aux bonnes pratiques et aux normes industrielles pertinentes. Le responsable est responsable de la création et de la maintenance d'un registre des Avis de confidentialité.

TRAITEMENT DE CATÉGORIES PARTICULIÈRES DE DONNÉES PERSONNELLES

Il est interdit de traiter des données personnelles révélant : la race ; l'origine ethnique ; les opinions politiques ; les croyances religieuses ; les convictions philosophiques ; l'appartenance syndicale ; les données génétiques ; les données biométriques ; les données relatives à la santé ; la vie sexuelle d'une personne ; l'orientation sexuelle. Exceptions : la personne concernée a donné son consentement explicite ; le traitement est nécessaire pour respecter les obligations spécifiques du responsable du traitement ou de la personne concernée en matière de droit du travail et de sécurité sociale et de protection sociale, dans la mesure où il est autorisé par le droit de l'Union ou des États membres ou par une convention collective en vertu du droit des États membres, avec des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ; le traitement est nécessaire pour protéger un intérêt vital de la personne concernée ou d'une autre personne physique lorsque la personne concernée est dans l'incapacité physique ou juridique de donner son consentement ; le traitement est effectué, dans le cadre de ses activités légitimes et avec des garanties appropriées, par une fondation, une association ou un autre organisme à but non lucratif poursuivant des finalités politiques, philosophiques, religieuses ou syndicales, à condition que le traitement concerne uniquement les membres, les anciens membres ou les personnes en contact régulier avec la fondation, l'association ou l'organisme en raison de ses finalités et que les données personnelles ne soient pas communiquées à l'extérieur sans le consentement de la personne concernée ; les données personnelles sont rendues manifestement publiques par la personne concernée ; le traitement est nécessaire pour établir, exercer ou défendre un droit en justice ou chaque fois que les autorités judiciaires exercent leurs fonctions juridictionnelles ; le traitement est nécessaire pour des motifs d'intérêt public important sur la base du droit de l'Union ou des États membres, proportionné à la finalité poursuivie, respectant l'essence du droit à la protection des données et prévoyant des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts de la personne concernée ; le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail, d'évaluation de la capacité de travail de l'employé, de diagnostic, d'assistance ou de traitement médical ou social, ou de gestion des systèmes et services de santé ou sociaux sur la base du droit de l'Union ou des États membres ou conformément à un contrat avec un professionnel de la santé ; le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre de graves menaces pour la santé transfrontalière ou la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments et dispositifs médicaux, sur la base du droit de l'Union ou des États membres prévoyant des mesures appropriées et spécifiques pour protéger les droits et libertés de la personne concernée, en particulier le secret professionnel ; le traitement est nécessaire à des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique ou à des fins statistiques. La licéité du traitement est une condition préalable.

10. EXIGENCES CONCERNANT LE TRAITEMENT DES DONNÉES PERSONNELLES DES EMPLOYÉS

Tout traitement des données personnelles des employés par les départements et les individus au sein de l'entreprise doit avoir un but légitime et doit satisfaire aux exigences suivantes.

COMMUNICATION AUX EMPLOYÉS

Dans un souci de transparence dans le traitement des données personnelles des employés, lorsqu'un département ou un individu au sein de l'entreprise collecte des données personnelles d'un employé, l'employé doit être informé des types de données collectées, des finalités et des types de traitement, des droits de l'employé et des mesures de sécurité mises en place pour protéger les données personnelles. Ces informations sont fournies par une notice d'information sur le traitement des données personnelles (Modèle GDPR-ID).

COMMUNICATION AUX CANDIDATS

La même transparence garantie pour le traitement des données personnelles des employés est également assurée pour la collecte des données personnelles d'un candidat lors d'un entretien en vue d'un possible recrutement. Le candidat doit être informé des types de données collectées, des finalités et des types de traitement, de ses droits et des mesures de sécurité mises en place pour protéger les données personnelles. Ces informations sont fournies par une notice d'information sur le traitement des données personnelles (Modèle GDPR-ICL).

CHOIX ET CONSENTEMENT DES EMPLOYÉS

En principe, l'entreprise peut traiter les données personnelles des employés à des fins légitimes en tant qu'employeur et peut généralement le faire sans obtenir le consentement de l'employé, afin d'améliorer l'efficacité des opérations internes. Les activités de sécurité et de gestion des ressources humaines telles que les entretiens, les embauches, la cessation de l'emploi, la présence, la rémunération et les avantages, les services aux employés, la santé et la sécurité au travail peuvent impliquer le traitement de données personnelles sensibles.

COLLECTE

Les départements de l'entreprise et les individus doivent collecter les données personnelles des employés à des fins légitimes et doivent respecter le principe de la Minimisation des Données. Si les données personnelles d'un candidat ou d'un employé sont collectées par un tiers (par exemple, des agences de travail temporaire), l'entreprise doit s'efforcer de garantir que ce tiers obtienne les données personnelles de manière légitime. Aucun département de l'entreprise ou individu ne peut collecter les données personnelles de candidats ou d'employés de manière non conforme à la loi ou à l'éthique de l'entreprise.

UTILISATION, CONSERVATION ET ÉLIMINATION

Les départements de l'entreprise et les individus doivent utiliser, conserver et éliminer les données personnelles des employés de manière cohérente avec la communication faite à l'employé. Ils doivent également garantir leur exactitude, leur intégrité et leur pertinence. L'entreprise a mis en place des mesures de sécurité appropriées pour protéger les données personnelles des employés contre la destruction accidentelle ou illicite, la perte, la modification, l'accès non autorisé ou la divulgation, conformément à la politique de sécurité de l'information et à d'autres documents décrivant la sécurité des données. Les départements de l'entreprise et les individus ne doivent pas détruire ou modifier illicitement les données personnelles des employés. Ils ne doivent pas accéder, vendre ou fournir illicitement ou sans autorisation les données personnelles des employés à des tiers. Dans le cadre des opérations commerciales, le Responsable décidera si les données personnelles des employés seront traitées de manière à minimiser les risques pour la protection des données : les données personnelles des employés peuvent être anonymisées aux fins de déidentification irréversible ; ou les données peuvent être agrégées sous forme de résultats statistiques ou de recherche. (Les principes de traitement des données personnelles ne s'appliquent pas aux données rendues anonymes et aux données agrégées car elles ne sont pas des données personnelles).

COMMUNICATION À DES TIERS

Lorsque les départements de l'entreprise et les individus doivent communiquer les données personnelles des employés à un fournisseur, un partenaire commercial ou à des tiers, ils doivent veiller à ce que le fournisseur, le partenaire commercial ou tout autre tiers mette en place des mesures de sécurité appropriées pour protéger les données personnelles des employés, adaptées aux risques associés. Ils devraient également demander au tiers de fournir le même niveau de protection des données qu'ils fournissent à l'entreprise par contrat ou autre accord (Modèle GDPR-NRET). De plus, lorsque les départements de l'entreprise et les individus divulguent les données personnelles des employés en réponse à une demande des forces de l'ordre ou d'une autorité judiciaire, ils doivent d'abord informer le Responsable de la protection des données (DPO) autorisé par l'entreprise à coordonner les efforts pour traiter la demande.

TRANSFERT TRANSFRONTALIER DES DONNÉES PERSONNELLES DES EMPLOYÉS

L'entreprise n'effectue pas de transferts transfrontaliers de données, cependant, dans le cas où cela serait nécessaire, avant de transférer les données personnelles, les départements de l'entreprise et les individus doivent consulter le Responsable de la Protection des données (DPO) ou le Responsable du traitement pour déterminer si le transfert transfrontalier est nécessaire et légitime.

ACCÈS DES EMPLOYÉS

Les départements de l'entreprise doivent fournir des moyens raisonnables aux employés pour accéder aux données personnelles les concernant et leur permettre de mettre à jour, corriger, supprimer ou transmettre leurs données personnelles si nécessaire ou exigé par la loi. Lors de la réponse à une demande d'accès d'un employé, les départements de l'entreprise peuvent ne pas fournir de données personnelles tant qu'ils n'ont pas vérifié l'identité de l'employé. L'entreprise doit s'assurer de connaître l'identité de la personne faisant la demande avant de pouvoir transmettre les données personnelles à cette personne.

RESPONSABILITÉ

Le Département des Ressources Humaines est compétent pour la gestion de la protection des données personnelles des employés.

ORGANISATION DE L'ENTREPRISE

Le RGPD introduit de nouvelles obligations organisationnelles. La responsabilité de garantir un traitement adéquat des données personnelles incombe à toute personne travaillant pour ou avec l'entreprise et ayant accès aux données personnelles traitées par l'entreprise ; à cet effet, l'entreprise a mis en place son propre organigramme de confidentialité. Les principales zones de responsabilité sont identifiées dans les rôles organisationnels suivants : Le Responsable du traitement des données, prend des décisions et approuve les stratégies générales de l'entreprise en matière de protection des données personnelles. Ce rôle est occupé par le représentant légal pro tempore. Le Responsable de la Protection des Données (RPD/DPO) est responsable de la gestion du programme de protection des données personnelles et est chargé du développement et de la promotion des politiques de protection des données personnelles de bout en bout, comme défini dans la Description du rôle du Responsable de la Protection des Données. L'Administrateur Système est responsable de : s'assurer que tous les systèmes, services et équipements utilisés pour l'enregistrement des données respectent des normes de sécurité acceptables. Effectuer des contrôles et des analyses régulières pour garantir que le matériel et les logiciels de sécurité fonctionnent correctement. L'Audit Interne est responsable des vérifications internes visant à assurer le respect des procédures et des politiques de protection des données personnelles. Les Personnes Autorisées sont des employés formellement autorisés à effectuer des opérations de traitement par le titulaire.

12. OBLIGATIONS GÉNÉRALES

REGISTRES DES ACTIVITÉS DE TRAITEMENT

Le responsable du traitement doit tenir un registre des activités de traitement contenant les informations suivantes : coordonnées du responsable du traitement et, le cas échéant, du co-responsable du traitement et du délégué à la protection des données ; finalités du traitement ; catégories de personnes concernées ; catégories de données personnelles traitées ; catégories de destinataires auxquels les données personnelles ont été ou seront communiquées ; le cas échéant, les transferts de données personnelles vers un pays tiers ou une organisation internationale ; dans la mesure du possible, les délais prévus pour la suppression des différentes catégories de données ; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

RÉPONSE AUX INCIDENTS DE VIOLATION DE DONNÉES PERSONNELLES

Lorsque l'entreprise prend connaissance d'une violation présumée ou avérée de données personnelles, le responsable du traitement, assisté par le DPD, doit mener une enquête interne et prendre des mesures correctives appropriées en temps opportun, conformément à la procédure de réponse et de communication en cas de violation des données.

AUDIT ET RESPONSABILISATION

L'audit interne est responsable de vérifier comment les départements de l'entreprise mettent en œuvre cette politique. Tout employé en violation de cette politique sera soumis à des mesures disciplinaires et pourrait également être tenu responsable civilement ou pénalement si son comportement enfreint des lois ou des règlements.

CONFLITS AVEC LA LOI

Cette politique vise à respecter les lois et règlements du lieu d'établissement et des pays dans lesquels l'entreprise opère.