Politique de protection des données à caractère personnel
1. Objectif, portée et utilisateurs
Ralawise, ci-après dénommé la « Société », s’efforce de se conformer aux lois et règles applicables relatives à la Protection des données à caractère personnel dans les pays où la Société opère. La présente Politique fixe les principes de base selon lesquels la Société traite les données à caractère personnel des consommateurs, clients, fournisseurs, partenaires commerciaux, employés et des autres personnes et décrit les responsabilités de ses services commerciaux et employés lors du traitement des données à caractère personnel.
La présente Politique s’applique à la Société et ses filiales en propriété exclusive, directement ou indirectement contrôlées, exerçant une activité professionnelle au sein de l’Espace économique européen (EEE) ou traitant les données à caractère personnel de personnes au sein de l’EEE.
Les utilisateurs du présent document sont tous des employés, en CDI ou en CDD, et des entrepreneurs travaillant au nom de la Société.
2. Définitions
Les définitions suivantes des termes utilisés dans ce document sont issues de l’Article 4 du Règlement général européen sur la protection des données :
Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée ») pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Données personnelles sensibles : Les données à caractère personnel qui sont, du fait de leur nature, particulièrement sensibles à l’égard des droits fondamentaux et des libertés méritent une protection spécifique puisque le contexte de leur traitement pourrait créer des risques susceptibles de peser sur les droits fondamentaux et les libertés. Ces données à caractère personnel incluent les données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Responsable du traitement : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitant : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement
Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données.
Anonymisation : anonymiser de manière irréversible les données à caractère personnel de manière à ce que la personne ne puisse plus être identifiée en temps utiles et à l’aide des coûts et des technologies nécessaires soit par le responsable du traitement ou par toute autre personne susceptible identifier cette personne. Les principes de traitement des données à caractère personnel ne s’appliquent pas aux données anonymisées puisqu’elles ne sont plus des données à caractère personnel.
Pseudonymisation : Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. La pseudonymisation réduit, mais n’élimine pas complètement, la possibilité de lier des données à caractère personnel à une personne concernée. Étant donné que les données pseudonymisées restent des données à caractère personnel, le traitement des données pseudonymisées doit être conforme aux principes de traitement des données à caractère personnel.
Traitement transfrontalier des données: un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres.
Autorité de contrôle : Une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51 du Règlement général européen sur la protection des données.
Autorité principale de contrôle : L’autorité de contrôle dont la responsabilité principale est de s’occuper du traitement transfrontalier des données, par exemple lorsqu’une personne concernée porte une réclamation à l’égard du traitement de ses données à caractère personnel, elle est chargée, entre autres, de recevoir les notifications de violation des données, d’être notifiée des activités de traitements risquées et sera pleinement responsable du respect des dispositions du Règlement général européen sur la protection des données.
Chaque “autorité locale de contrôle” devrait être compétente sur le territoire de l'État membre dont elle relève et elle contrôlera les traitements des données locales affectant les personnes concernées ou qui sont menés par un établissement au sein de l’UE ou en dehors de l’UE du responsable du traitement ou du sous-traitant lors du traitement affectant des personnes concernées sur le territoire. Les missions et les pouvoirs devraient comprendre la conduite d’enquête et l’application de mesures et d’amendes administratives, la sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à caractère personnel ainsi que l’accès aux établissements du responsable du traitement et du sous-traitant, y compris les équipements et moyens de traitement des données.
« Établissement principal en qui concerne un responsable du traitement » établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal ;
« Établissement principal en qui concerne un sous-traitant » établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement ;
Groupe d’entreprise : une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle.
3. Principes de base relatifs au traitement des données à caractère personnel
Les principes de protection des données présentent les responsabilités de base des organismes en matière de gestion des données à caractère personnel. L’article 5(2) du Règlement général européen sur la protection des données stipule que « Le responsable du traitement est responsable de, et est en mesure de démontrer que ces principes sont respectés ».
3.1. Légalité, équité et transparence
Les données à caractère personnel doivent être traitées en toute légalité et en toute équité et de manière transparente à l’égard de la personne concernée.
3.2. Limitation de la finalité
Les données à caractère personnel doivent être collectées à des fins déterminées, explicites et légitimes mais elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
3.3. Minimisation des données
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. La Société doit, si possible, appliquer l’anonymisation ainsi que la pseudonymisation sur les données à caractère personnel afin de réduire les risques à l’égard des personnes concernées.
3.4. Exactitude
Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises afin de garantir que les données à caractère personnel inexactes, en ce qui concerne les finalités pour lesquelles elles sont traitées, sont rectifiées ou supprimées dans un délai convenable.
3.5. Durée de conservation des données
Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont traitées.
3.6. Intégrité et confidentialité
En tenant compte de la capacité technologique et des autres mesures de sécurité disponibles, des coûts de mise en œuvre et de la probabilité et de la sévérité des risques relatifs aux données à caractère personnel, la Société doit utiliser les mesures techniques et organisationnelles appropriées pour procéder au traitement des données à caractère personnel d’une manière garantissant des mesures de sécurité appropriées à l’égard des données à caractère personnel, y compris la protection contre la destruction accidentelle ou illicite, la perte, l’altération, l’accès non autorisé et la divulgation.
3.7. Responsabilité
Les responsables du traitement doivent être responsable de, et être en mesure de démontrer que les principes énoncés ci-dessus sont respectés.
4. Renforcer la Protection des données des activités commerciales
Afin de démontrer le respect des principes de protection des données, un organisme doit renforcer la protection des données de ses activités commerciales.
4.1. Notification aux personnes concernées
(Cf. article intitulé Garantir un traitement équitable.)
4.2. Choix et consentement des personnes concernées
(Cf. article intitulé Garantir un traitement équitable.)
4.3. Collecte
La Société doit s’efforcer de collecter le moins de données à caractère personnel possible. Si les données à caractère personnel sont collectées d’une tierce partie, le Gestionnaire de la sécurité informatique doit s’assurer que les données à caractère personnel sont collectées licitement.
4.4. Utilisation, conservation et destruction
Les finalités, les méthodes, les limites et les périodes de conservation des données à caractère personnel doivent être conformes aux informations contenues dans la Politique de confidentialité. La Société doit garantir l’exactitude, l’intégrité, la confidentialité et la pertinence des données à caractère personnel basées sur les finalités du traitement. Les mécanismes de sécurité appropriés conçus pour protéger les données à caractère personnel doivent être utilisés afin d’empêcher le vol, le détournement ou l’utilisation abusive des données à caractère personnel et d’empêcher la violation de données. [Fonction] est responsable du respect des exigences listées dans le présent article.
4.5. Divulgation aux tiers
Lorsque la Société fait appel à fournisseur ou à un partenaire commercial tiers pour procéder au traitement des données à caractère personnel en son nom, le Gestionnaire de la sécurité informatique doit s’assurer que ce sous-traitant fournira des mesures de sécurité, ayant pour but de protéger les données à caractère personnel, appropriées aux risques associés tels que le détournement des données à caractère personnel, la divulgation non autorisée des données à caractère personnel, la violation de données, etc. À cette fin, le Questionnaire de conformité du sous-traitant selon le Règlement général sur la protection des données doit être utilisé.
La Société doit, contractuellement, demander au fournisseur ou au partenaire commercial de fournir le même niveau de protection des données. Le fournisseur ou le partenaire commercial doit seulement traiter les données à caractère personnel pour remplir ses obligations contractuelles envers la Société ou selon les instructions de la Société et non pour une quelconque autre fin. Lorsque la Société procède au traitement des données à caractère personnel conjointement avec une tierce partie indépendante, la Société doit indiquer explicitement ses responsabilités ainsi que celles de la tierce partie au contrat en question ou liée à tout autre document juridiquement contraignant, tel que le Contrat de traitement des données fournisseur.
4.6. Transfert transfrontalier des données à caractère personnel
Avant de transférer des données à caractère personnel en dehors de l’Espace économique européen (EEE), les garanties adéquates doivent être utilisées dont l’Accord de transfert de données tel que l’exige l’Union européenne et, si nécessaire, l’obtention d’une autorisation de l’Autorité compétente en matière de protection des données. L’entité recevant les données à caractère personnel doit respecter les principes de traitement des données à caractère personnel indiqués dans la Procédure de transfert transfrontalier de données.
.
4.7. Droits d’accès des personnes concernées
Lorsqu’il agit en qualité de responsable du traitement, le Gestionnaire de la sécurité informatique est chargé de fournir aux personnes concernées un mécanisme d’accès raisonnable leur permettant d’accéder à leurs données à caractère personnel, de les mettre à jour, les modifier, les supprimer ou de transmettre leurs données à caractère personnel si cela est nécessaire ou si la loi l’exige. Le mécanisme d’accès sera détaillé en profondeur dans le Procédure de demande d’accès des personnes concernées.
4.8. Portabilité des données
Les personnes concernées ont le droit de recevoir, sur demande, une copie des données communiquées dans un format structuré et de transmettre, gratuitement, ces données à un autre responsable du traitement. Le Gestionnaire de la sécurité informatique est chargé de s’assurer que ces demandes sont traitées dans un délai d’un mois, qu’elles ne sont pas abusives (par exemple si la personne concernée envoie des demandes tous les jours) et qu’elles n’affectent pas les droits de protection des données à caractère personnel d’autres individus.
4.9. Droit d’être oublié
Sur demande, les personnes concernées ont le droit d’obtenir de la Société l’effacement de ses données à caractère personnel. Lorsque la Société agit en qualité de responsable du traitement, le Gestionnaire de la sécurité informatique doit prendre les mesures nécessaires (y compris les mesures techniques) pour informer les tierces parties qui utilisent ou traitent ces données de respecter ladite demande.
5. Garantir un traitement équitable
Les données à caractère personnel doivent uniquement être traitées avec l’accord expresse du Gestionnaire de la sécurité informatique. La Société doit décider si elle doit procéder à une analyse d’impact sur la protection des données pour chaque activité de traitement des données conformément aux Principes d’analyse d’impact sur la protection des données.
5.1. Avis aux personnes concernées
Au moment, ou préalablement à la collecte de données à caractère personnel à l’égard de toutes sortes d’activités de traitement incluant, notamment la vente de produits, de services, d’activités marketing, le Gestionnaire de la sécurité informatique est chargé de dûment informer les personnes concernées de ce qui suit : le type de données à caractère personnel collectées, la finalité du traitement, les méthodes de traitement, les droits des personnes concernées à l’égard de leurs données à caractère personnel, la période de conservation, les potentiels transferts internationaux de données, si les données seront communiquées à des tierces parties ainsi que les mesures de sécurité de la Société visant à protéger les données à caractère personnel. Ces informations sont fournies dans la Politique de confidentialité. Si votre société exerce de multiples activités de traitement des données, il vous faudra rédiger différents avis qui différeront selon l’activité de traitement et les catégories de données à caractère personnel collectées ; par exemple, un Avis peut être rédigé à des fins d’envoi postal, et un avis différent sera rédigé aux fins d’expédition. Lorsque les données à caractère personnel sont communiquées à une tierce partie, le Gestionnaire de la sécurité informatique doit s’assurer que les personnes concernées aient été notifiées au moyen d’un avis privé. Lorsque les données à caractère personnel sont transférées à un pays tiers selon la Politique de transfert transfrontalier de données, l’Avis privé doit refléter ce transfert et indiquer clairement où et à quelle entité elles ont été transférées. Lorsque les données personnelles sensibles sont collectées, la personne compétente pour les questions relevant de la Protection des données doit s’assurer que l’Avis privé indique explicitement la raison pour laquelle ces données personnelles sensibles ont été collectées.
5.2. Obtenir les consentements
Dès que le traitement des données à caractère personnel est basé sur le consentement de la personne concernée, ou sur d’autres motifs d’ordre juridique, le Gestionnaire de la sécurité informatique est chargé de tenir un registre desdits consentements. [Fonction] est chargé de fournir aux personnes concernées des options de consentement et doit les tenir informer et s’assurer que leur consentement (lorsque le consentement en question est utilisé comme motif d’ordre juridique lors du traitement) peut être retiré à tout moment. Lorsque les demandes relatives à la correction, la modification ou à la destruction des registres des données à caractère personnel, le Gestionnaire de la sécurité informatique doit s’assurer que ces demandes sont prises en charge dans un délai raisonnable. La personne compétente pour les questions relevant de la protection des données est également tenue d’enregistrer ces demandes et de les conserver dans un registre. Les données à caractère personnel doivent uniquement être traitées pour les finalités pour lesquelles elles ont été initialement collectées. Si la Société souhaite procéder au traitement des données à caractère personnel collectées à d’autres fins, la Société doit obtenir le consentement des personnes concernées par écrit, de façon claire et concise. Ces demandes doivent faire mention de la finalité initiale pour laquelle les données ont été collectées ainsi que de la/des nouvelle(s), ou de l’/des autre(s) finalité(s). La demande doit comprendre la raison du changement de finalité(s). La personne compétente pour les questions relevant de la Protection des données est responsable du respect des règles du présent paragraphe. Aujourd’hui et à l’avenir, [Fonction] doit s’assurer que les méthodes de conservation sont conformes aux lois, bonnes conduites et aux normes industrielles applicables. Le Gestionnaire de la sécurité informatique est chargé de créer et de tenir un registre des Politiques de confidentialité.
6. Organisation et responsabilités
La responsabilité de garantie d’un traitement de données à caractère personnel approprié incombe à toutes les personnes travaillant pour ou avec la Société et ayant accès aux données à caractère personnel traitées par la Société. Les domaines clés de responsabilités à l’égard du traitement des données à caractère personnel sont assurés par les fonctions organisationnelles suivantes : Le Conseil d’administration prend des décisions sur et approuve les stratégies générales de la Société sur la protection des données à caractère personnel. Le Gestionnaire de la sécurité informatique, la personne nominée et compétente pour les questions relevant de la protection des données est chargée de la gestion du programme de protection des données à caractère personnel et est chargée de l’intégralité du développement et de la promotion des politiques de protection des données à caractère personnel ; Le Gestionnaire de la sécurité informatique contrôle et analyse les lois sur les données à caractère personnel ainsi que les modifications apportées aux règlements, développe les exigences de conformité et aide les services commerciaux à atteindre leurs objectifs en matière de Données à caractère personnel. Il peut également demander des conseils juridiques ou un conseiller extérieur.
Le Responsable technique est chargé de :
• S’assurer que tous les systèmes, services et équipements utilisés pour le stockage des données sont conformes aux normes de sécurité.
• De procéder à des vérifications et des analyses régulières afin de s’assurer que le matériel informatique et le logiciel de sécurité fonctionnement convenablement.
Le Responsable marketing est chargé de :
• Approuver les déclarations sur la protection des données jointes aux communications telles que les emails et les lettres.
• Adresser toute question relative à la protection des données provenant de journalistes ou des médias tels que les journaux.
• Si nécessaire, collaborer avec la personne compétente pour les questions relevant de la protection des données afin de s’assurer que les initiatives marketing sont conformes aux principes de protection des données.
Le Directeur des ressources humaines est chargé de :
• Améliorer la sensibilisation de tous les employés à l’égard de la protection des données à caractère personnel des utilisateurs.
• Organiser l’expertise en matière de protection des Données à caractère personnel ainsi que des formations de sensibilisation pour les employés travaillant avec des données à caractère personnel.
• Protection complète des données à caractère personnel des employés. Elle doit faire en sorte que les données à caractère personnel des employés soient traitées selon les objectifs commerciaux légitimes et la nécessité des employeurs.
Le Gestionnaire de la sécurité informatique est chargé de transférer les responsabilités en matière de protection des données à caractère personnel aux fournisseurs et d’améliorer les niveaux de sensibilisation des fournisseurs à l’égard de la protection de données à caractère personnel ainsi que de transférer les exigences en matière de données à caractère personnel aux fournisseurs auxquels ils font appel.
Le Service des achats doit s’assurer que la Société se réserve le droit d’effectuer des vérifications vis-à-vis des fournisseurs.
7. Directives relatives à l’établissement de l’Autorité principale de contrôle
7.1. Nécessité d’établir l’Autorité principale de contrôle
Identifier une Autorité principale de contrôle n’est significatif que si la Société procède au traitement transfrontalier des données à caractère personnel. Le traitement transfrontalier des données à caractère personnel est réalisé si :
a) le traitement des données à caractère personnel est réalisé par les filiales de la Société qui sont basées dans des autres États membres ;
ou
b) le traitement des données à caractère personnel qui a lieu dans un établissement unique de la Société au sein de l’Union européenne, mais qui affecte substantiellement ou est susceptible d’affecter substantiellement les personnes concernées dans plus d’un État membre.
Si la Société possède uniquement des établissements au sein d’un État membre et que ses activités de traitement affectent uniquement des personnes concernées au sein dudit État, il n’est pas nécessaire d’établir une Autorité principale de contrôle. La seule autorité compétente sera l’Autorité de contrôle du pays au sein duquel la Société est légalement établie.
7.2. Établissement principal et Autorité principale de contrôle
7.2.1. Établissement principal du Responsable du traitement
L’établissement principal/le siège social de Ralawise est sis Unit 112, Tenth Avenue, Deeside Industrial Estate, Deeside CH5 2UA.
Si la Société est basée au sein d’un État membre de l’UE et qu’elle prend des décisions relatives aux activités de traitement frontalier au sein de son administration centrale (siège social), il n’y aura qu’une seule Autorité principale de contrôle en ce qui concerne les activités de traitement de données réalisées par la Société.
Si la Société possède plusieurs établissements agissant indépendamment et qu’ils prennent des décisions relatives aux finalités et aux moyens de traitement des données à caractère personnel, [l’Administrateur/ la direction générale de la Société] doit reconnaître qu’il existe plus d’une Autorité principale de contrôle.
7.2.2. Établissement principal du sous-traitant
Lorsque la Société agit en qualité de sous-traitant, l’établissement principal sera alors l’administration centrale. Si l’administration centrale n’est pas située dans l’UE, l’établissement principal sera l’établissement situé dans l’UE où les activités de traitement principales ont lieu.
7.2.3. Établissement principal des Sociétés, des Responsables du traitement et des Sous-traitants en dehors de l’UE
Si la Société ne possède pas d’établissement principal au sein de l’UE et qu’elle possède une/des filiale(s) au sein de l’UE, l’Autorité principale de contrôle sera alors l’autorité de contrôle locale.
Si la Société ainsi que ses filiales ne possèdent pas d’établissement principal au sein de l’UE, il sera nécessaire de nommer un représentant au sein de l’UE et l’Autorité principale de contrôle sera l’autorité de contrôle locale du lieu d’exercice du représentant.
8. Réponse aux incidents de violation des données à caractère personnel
Lorsque la Société est informée d’une violation présumée ou effective des données à caractère personnel, le Gestionnaire de la sécurité informatique doit mener une enquête interne et prendre les mesures correctives appropriées dans un délai convenable. Lorsqu’il y a un quelconque risque de violation des droits ou des libertés des personnes concernées, la Société doit notifier, sans délai et dans la mesure du possible, dans les 72 heures, les autorités compétentes en matière de protection des données à caractère personnel.
9. Vérifications et responsabilité
Le Gestionnaire de la sécurité informatique et l’Équipe technique sont chargés d’effectuer des vérifications quant à la façon dont les services commerciaux mettent en œuvre la présente Politique.
Tout employé enfreignant la présente Politique fera l’objet de mesures disciplinaires et l’employé pourra également engager sa responsabilité civile ou pénale si sa conduite enfreint les lois ou les règlements.
10. Conflits de lois
La présente Politique vise à respecter les lois et les règles du lieu de l’établissement et des pays au sein desquels Ralawise Ltd. opère. En cas de conflit entre la présente
Politique et les lois et règles applicables, ces dernières prévalent.