Politique de confidentialité
1. Interprétation
1.1 Définitions :
Automated Decision-Making (ADM): when a decision is made which is based solely on Automated Processing (including profiling) which produces legal effects or significantly affects an individual. The GDPR prohibits Automated Decision-Making (unless certain conditions are met) but not Automated Processing.
Automated Processing: any form of automated processing of Personal Data consisting of the use of Personal Data to evaluate certain personal aspects relating to an individual, in particular to analyse or predict aspects concerning that individual’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements. Profiling is an example of Automated Processing.
Company name: Project Everyone
Company Personnel: all employees, workers, contractors, agency workers, consultants, directors, members and others.
Consent: agreement which must be freely given, specific, informed and be an unambiguous indication of the Data Subject’s wishes by which they, by a statement or by a clear positive action, signifies agreement to the Processing of Personal Data relating to them.
Data Controller: the person or organisation that determines when, why and how to process Personal Data. It is responsible for establishing practices and policies in line with the GDPR. We are the Data Controller of all Personal Data relating to our Company Personnel and Personal Data used in our business for our own commercial purposes.
Data Subject: a living, identified or identifiable individual about whom we hold Personal Data. Data Subjects may be nationals or residents of any country and may have legal rights regarding their Personal Data.
Data Privacy Impact Assessment (DPIA): tools and assessments used to identify and reduce risks of a data processing activity. DPIA can be carried out as part of Privacy by Design and should be conducted for all major system or business change programs involving the Processing of Personal Data.
Data Protection Officer (DPO): the person required to be appointed in specific circumstances under the GDPR. Where a mandatory DPO has not been appointed, this term means a data protection manager or other voluntary appointment of a DPO or refers to the Company data privacy team with responsibility for data protection compliance.
EEA: the 28 countries in the EU, and Iceland, Liechtenstein and Norway.
Explicit Consent: consent which requires a very clear and specific statement (that is, not just action).
General Data Protection Regulation (GDPR): the General Data Protection Regulation ((EU) 2016/679). Personal Data is subject to the legal safeguards specified in the GDPR.
Personal Data: any information identifying a Data Subject or information relating to a Data Subject that we can identify (directly or indirectly) from that data alone or in combination with other identifiers we possess or can reasonably access. Personal Data includes Sensitive Personal Data and Pseudonymised Personal Data but excludes anonymous data or data that has had the identity of an individual permanently removed. Personal data can be factual (for example, a name, email address, location or date of birth) or an opinion about that person’s actions or behaviour.
Personal Data Breach: any act or omission that compromises the security, confidentiality, integrity or availability of Personal Data or the physical, technical, administrative or organisational safeguards that we or our third-party service providers put in place to protect it. The loss, or unauthorised access, disclosure or acquisition, of Personal Data is a Personal Data Breach.
Privacy by Design: implementing appropriate technical and organisational measures in an effective manner to ensure compliance with the GDPR.
Privacy Notices (also referred to as Fair Processing Notices) or Privacy Policies: separate notices setting out information that may be provided to Data Subjects when the Company collects information about them. These notices may take the form of general privacy statements applicable to a specific group of individuals (for example, employee privacy notices or the website privacy policy) or they may be stand-alone, one time privacy statements covering Processing related to a specific purpose.
Processing or Process: any activity that involves the use of Personal Data. It includes obtaining, recording or holding the data, or carrying out any operation or set of operations on the data including organising, amending, retrieving, using, disclosing, erasing or destroying it. Processing also includes transmitting or transferring Personal Data to third parties.
Pseudonymisation or Pseudonymised: replacing information that directly or indirectly identifies an individual with one or more artificial identifiers or pseudonyms so that the person, to whom the data relates, cannot be identified without the use of additional information which is meant to be kept separately and secure.
Related Policies: the Company’s policies, operating procedures or processes related to this Privacy Standard and designed to protect Personal Data.
Sensitive Personal Data: information revealing racial or ethnic origin, political opinions, religious or similar beliefs, trade union membership, physical or mental health conditions, sexual life, sexual orientation, biometric or genetic data, and Personal Data relating to criminal offences and convictions.
2. Introduction
Cette norme de confidentialité définit la manière dont Project Everyone ("nous", "notre", "nos", "la société") traite les données personnelles de ses clients, fournisseurs, employés, travailleurs et autres tiers.
Cette norme de confidentialité s'applique à toutes les données personnelles que nous traitons, quel que soit le support sur lequel ces données sont stockées ou qu'elles concernent des employés, travailleurs, clients ou contacts fournisseurs, actionnaires, utilisateurs de sites web ou toute autre personne concernée, passés ou présents.
Cette norme de confidentialité s'applique à tout le personnel de la société ("vous", "votre"). Vous devez lire, comprendre et respecter cette norme de confidentialité lorsque vous traitez des données à caractère personnel en notre nom et suivre une formation sur ses exigences. La présente norme de confidentialité définit ce que nous attendons de vous pour que la société se conforme à la législation en vigueur. Votre respect de la présente norme de confidentialité est obligatoire. Les politiques et les lignes directrices relatives à la protection de la vie privée sont disponibles pour vous aider à interpréter et à agir conformément à cette norme de protection de la vie privée. Vous devez également vous conformer à toutes ces politiques et lignes directrices sur la protection de la vie privée. Toute violation de la présente norme de protection des données personnelles peut entraîner des mesures disciplinaires.
La présente norme de confidentialité (ainsi que les politiques et les lignes directrices connexes en matière de confidentialité) est un document interne et ne peut être partagée avec des tiers, des clients ou des organismes de réglementation sans l'autorisation préalable du DPD.
3. Champ d'application
Nous reconnaissons que le traitement correct et licite des données à caractère personnel permettra de maintenir la confiance dans l'organisation et d'assurer le succès des opérations commerciales. La protection de la confidentialité et de l'intégrité des données à caractère personnel est une responsabilité essentielle que nous prenons toujours au sérieux. La société est exposée à des amendes potentielles pouvant atteindre 20 millions d'euros (environ 18 millions de livres sterling) ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu et en fonction de l'infraction, pour non-respect des dispositions de la GDPR.
Tous les secteurs d'activité sont chargés de veiller à ce que l'ensemble du personnel de l'entreprise se conforme à cette norme de confidentialité et doivent mettre en œuvre des pratiques, des processus, des contrôles et des formations appropriés pour assurer cette conformité.
4. Principes de protection des données personnelles
Nous adhérons aux principes relatifs au traitement des données personnelles énoncés dans le GDPR, qui exigent que les données personnelles soient
(a) traitées légalement, équitablement et de manière transparente (Légalité, équité et transparence).
(b) Recueillies uniquement à des fins spécifiques, explicites et légitimes (Limitation de la finalité).
(c) Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (limitation des données).
(d) Exactes et, le cas échéant, mises à jour (Exactitude).
(e) Non conservées sous une forme permettant l'identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (limitation de la conservation).
(f) traitées de manière à en assurer la sécurité par des mesures techniques et organisationnelles appropriées afin de les protéger contre un traitement non autorisé ou illicite et contre la perte, la destruction ou la détérioration accidentelles (Sécurité, intégrité et confidentialité).
(g) Non transféré vers un autre pays sans que les garanties appropriées soient en place (Limitation du transfert).
(h) Mis à la disposition des personnes concernées et des personnes autorisées à exercer certains droits en relation avec leurs données à caractère personnel (Droits et demandes des personnes concernées).
Nous sommes responsables du respect des principes de protection des données énumérés ci-dessus et devons être en mesure de le démontrer (Responsabilité).
5. Légalité, équité, transparence
5.1 Légalité et équité
Les données à caractère personnel doivent être traitées de manière légale, loyale et transparente par rapport à la personne concernée.
Vous ne pouvez collecter, traiter et partager des données à caractère personnel que de manière équitable et légale et à des fins spécifiques. La GDPR limite nos actions concernant les données personnelles à des fins légales spécifiées. Ces restrictions n'ont pas pour but d'empêcher le traitement, mais de garantir que nous traitons les données personnelles de manière équitable et sans porter préjudice à la personne concernée.
La GDPR autorise le traitement à des fins spécifiques, dont certaines sont exposées ci-dessous :
a) la personne concernée a donné son consentement ;
(b) le Traitement est nécessaire à l'exécution d'un contrat avec la Personne concernée ;
(c) pour répondre à nos obligations légales de conformité. ;
d) la protection des intérêts vitaux de la personne concernée ;
e) à la poursuite de nos intérêts légitimes pour des finalités pour lesquelles il n'est pas dérogé au traitement parce que celui-ci porte atteinte aux intérêts ou aux droits et libertés fondamentaux des personnes concernées. Les finalités pour lesquelles nous traitons des données à caractère personnel pour des intérêts légitimes doivent être énoncées dans les avis de confidentialité ou les avis de traitement équitable applicables ; ou
Vous devez identifier et documenter le motif juridique invoqué pour chaque activité de traitement.
5.2 Consentement
Un contrôleur de données ne doit traiter des données personnelles que sur la base d'une ou plusieurs des bases légales énoncées dans le GDPR, qui comprennent le consentement.
Une personne concernée consent au traitement de ses données à caractère personnel si elle indique clairement son accord, soit par une déclaration, soit par une action positive. Le consentement nécessite une action positive, de sorte que le silence, les cases cochées au préalable ou l'inactivité ne sont probablement pas suffisants. Si le consentement est donné dans un document qui traite d'autres questions, il doit être séparé de ces autres questions.
Les personnes concernées doivent pouvoir facilement retirer leur consentement au traitement à tout moment et le retrait doit être rapidement honoré. Le consentement peut devoir être renouvelé si vous avez l'intention de traiter des données à caractère personnel pour une finalité différente et incompatible qui n'a pas été divulguée lorsque la personne concernée a donné son consentement pour la première fois.
À moins que nous ne puissions nous appuyer sur une autre base juridique du traitement, le consentement explicite est généralement requis pour le traitement de données à caractère personnel sensibles, pour la prise de décision automatisée et pour les transferts de données transfrontaliers. En général, nous nous appuierons sur une autre base juridique (et n'exigerons pas de consentement explicite) pour traiter la plupart des types de données sensibles. Lorsque le consentement explicite est requis, vous devez délivrer une notification de traitement équitable à la personne concernée pour recueillir son consentement explicite.
Vous devrez prouver que le consentement a été saisi et conserver les dossiers de tous les consentements afin que l'entreprise puisse démontrer qu'elle respecte les exigences en matière de consentement.
5.3 Transparence (notification aux personnes concernées)
Le GDPR exige que les contrôleurs de données fournissent des informations détaillées et spécifiques aux personnes concernées selon que les informations ont été collectées directement auprès des personnes concernées ou ailleurs. Ces informations doivent être fournies par le biais d'avis de confidentialité ou d'avis de traitement équitable appropriés, qui doivent être concis, transparents, intelligibles, facilement accessibles et rédigés dans un langage clair et simple afin que la personne concernée puisse les comprendre facilement.
Chaque fois que nous recueillons des données personnelles directement auprès des personnes concernées, y compris à des fins de ressources humaines ou d'emploi, nous devons fournir à la personne concernée toutes les informations requises par la GDPR, y compris l'identité du contrôleur des données, comment et pourquoi nous allons utiliser, traiter, divulguer, protéger et conserver ces données personnelles par le biais d'une notification de traitement équitable qui doit être présentée lorsque la personne concernée fournit les données personnelles pour la première fois.
Lorsque des données personnelles sont collectées indirectement (par exemple, auprès d'un tiers ou d'une source accessible au public), vous devez fournir à la personne concernée toutes les informations requises par la GDPR dès que possible après la collecte/réception des données. Vous devez également vérifier que les données personnelles ont été collectées par le tiers conformément à la GDPR et sur une base qui envisage notre proposition de traitement de ces données personnelles.
6. Limitation de l'objet
Les données personnelles ne doivent être collectées qu'à des fins spécifiques, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
Vous ne pouvez pas utiliser les données à caractère personnel à des fins nouvelles, différentes ou incompatibles avec celles qui ont été communiquées lors de leur première obtention, sauf si vous avez informé la personne concernée des nouvelles fins et si elle a donné son consentement le cas échéant.
7. Minimisation des données
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Vous ne pouvez traiter des données à caractère personnel que lorsque l'exercice de vos fonctions l'exige. Vous ne pouvez pas traiter de données à caractère personnel pour une raison qui n'est pas liée à vos fonctions.
Vous ne pouvez collecter que les données personnelles dont vous avez besoin dans le cadre de vos fonctions : ne collectez pas de données excessives. Assurez-vous que les données à caractère personnel collectées sont adéquates et pertinentes pour les objectifs visés.
Vous devez vous assurer que lorsque les données personnelles ne sont plus nécessaires à des fins spécifiques, elles sont supprimées ou rendues anonymes conformément aux directives de conservation des données de la société.
8. Précision
Les données à caractère personnel doivent être exactes et, le cas échéant, mises à jour. Elles doivent être corrigées ou supprimées sans délai lorsqu'elles sont inexactes.
Vous vous assurerez que les données à caractère personnel que nous utilisons et détenons sont exactes, complètes, mises à jour et pertinentes par rapport à l'objectif pour lequel nous les avons recueillies. Vous devez vérifier l'exactitude de toute donnée à caractère personnel au point de collecte et à intervalles réguliers par la suite. Vous devez prendre toutes les mesures raisonnables pour détruire ou modifier les données à caractère personnel inexactes ou obsolètes.
9. Limitation du stockage
Les données à caractère personnel ne doivent pas être conservées sous une forme identifiable pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
Vous ne devez pas conserver les données personnelles sous une forme permettant l'identification de la personne concernée plus longtemps que ne l'exigent la ou les fins commerciales légitimes pour lesquelles nous les avons initialement recueillies, y compris pour satisfaire à toute exigence juridique, comptable ou de rapport.
La société maintiendra des politiques et des procédures de conservation pour s'assurer que les données personnelles sont supprimées après un délai raisonnable pour les raisons pour lesquelles elles étaient détenues, à moins qu'une loi n'exige que ces données soient conservées pendant une durée minimale.
Vous prendrez toutes les mesures raisonnables pour détruire ou effacer de nos systèmes toutes les données personnelles dont nous n'avons plus besoin, conformément aux calendriers et politiques de conservation des dossiers applicables de la société. Cela inclut l'obligation pour les tiers de supprimer ces données, le cas échéant.
Vous veillerez à ce que les personnes concernées soient informées de la période de conservation des données et de la manière dont cette période est déterminée dans tout avis de confidentialité ou avis de traitement équitable applicable.
10. Intégrité de la sécurité et confidentialité
10.1 Protection des données à caractère personnel
Les données à caractère personnel doivent être protégées par des mesures techniques et organisationnelles appropriées contre tout traitement non autorisé ou illégal et contre toute perte, destruction ou détérioration accidentelle.
Nous élaborerons, mettrons en œuvre et maintiendrons des mesures de protection adaptées à notre taille, à notre champ d'action et à notre activité, à nos ressources disponibles, à la quantité de données à caractère personnel que nous possédons ou conservons pour le compte de tiers et aux risques identifiés (y compris l'utilisation du cryptage et de la pseudonymisation, le cas échéant). Nous évaluerons et testerons régulièrement l'efficacité de ces mesures de protection afin de garantir la sécurité de notre traitement des données à caractère personnel. Vous êtes responsable de la protection des données à caractère personnel que nous détenons. Vous devez mettre en œuvre des mesures de sécurité raisonnables et appropriées contre le traitement illégal ou non autorisé des données à caractère personnel et contre la perte accidentelle ou la détérioration de ces données. Vous devez faire preuve d'un soin particulier dans la protection des données à caractère personnel sensibles contre la perte et l'accès, l'utilisation ou la divulgation non autorisés.
Vous devez suivre toutes les procédures et technologies que nous mettons en place pour maintenir la sécurité de toutes les données personnelles du point de collecte au point de destruction. Vous ne pouvez transférer des données à caractère personnel qu'à des prestataires de services tiers qui acceptent de se conformer aux politiques et procédures requises et qui acceptent de mettre en place des mesures adéquates, comme demandé.
Vous devez maintenir la sécurité des données en protégeant la confidentialité, l'intégrité et la disponibilité des données à caractère personnel, définies comme suit :
(a) La confidentialité signifie que seules les personnes qui ont besoin de savoir et qui sont autorisées à utiliser les données à caractère personnel peuvent y accéder.
(b) L'intégrité signifie que les données à caractère personnel sont exactes et adaptées à la finalité pour laquelle elles sont traitées.
(c) La disponibilité signifie que les utilisateurs autorisés sont en mesure d'accéder aux données à caractère personnel lorsqu'ils en ont besoin à des fins autorisées.
Vous devez vous conformer et ne pas tenter de contourner les mesures de protection administratives, physiques et techniques que nous mettons en œuvre et maintenons conformément à la GDPR et aux normes pertinentes pour protéger les données personnelles.
10.2 Signaler une violation de données à caractère personnel
La GDPR exige que les contrôleurs de données notifient toute violation des données personnelles à l'autorité de régulation compétente et, dans certains cas, à la personne concernée.
Nous avons mis en place des procédures pour traiter toute suspicion de violation de données personnelles et nous informerons les personnes concernées ou tout régulateur applicable lorsque nous sommes légalement tenus de le faire.
Si vous savez ou soupçonnez qu'une violation de données à caractère personnel a eu lieu, n'essayez pas d'enquêter vous-même sur la question. Contactez immédiatement un directeur. Vous devez conserver toutes les preuves relatives à la violation potentielle des données à caractère personnel.
11. Limitation des transferts
Le GDPR limite les transferts de données vers des pays en dehors de l'EEE afin de garantir que le niveau de protection des données offert aux individus par le GDPR ne soit pas compromis. Vous transférez des données personnelles provenant d'un pays à travers les frontières lorsque vous transmettez, envoyez, consultez ou accédez à ces données dans ou vers un autre pays.
Vous ne pouvez transférer des données personnelles en dehors de l'EEE que si l'une des conditions suivantes s'applique :
(a) la Commission européenne a publié une décision confirmant que le pays vers lequel nous transférons les données à caractère personnel assure un niveau de protection adéquat des droits et libertés des personnes concernées ;
b) des garanties appropriées sont en place, telles que des règles d'entreprise contraignantes (RAC), des clauses contractuelles types approuvées par la Commission européenne, un code de conduite approuvé ou un mécanisme de certification, dont une copie peut être obtenue auprès du DPD (le cas échéant) ;
c) la personne concernée a donné son consentement explicite au transfert proposé après avoir été informée de tout risque potentiel ; ou
d) le transfert est nécessaire pour l'une des autres raisons énoncées dans le RDPD, notamment l'exécution d'un contrat entre nous et la personne concernée, des raisons d'intérêt public, la constatation, l'exercice ou la défense d'un droit en justice ou la protection des intérêts vitaux de la personne concernée lorsque celle-ci est physiquement ou juridiquement incapable de donner son consentement et, dans certains cas limités, pour notre intérêt légitime.
12. Droits et demandes de la personne concernée
Les personnes concernées ont des droits quant à la manière dont nous traitons leurs données personnelles. Il s'agit notamment des droits suivants :
(a) retirer à tout moment leur consentement au traitement ;
(b) recevoir certaines informations sur les activités de traitement du responsable du traitement des données ;
(c) demander l'accès à leurs données à caractère personnel que nous détenons ;
(d) d'empêcher l'utilisation de leurs données personnelles à des fins de marketing direct ;
(e) nous demander d'effacer les Données Personnelles si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, ou de rectifier des données inexactes ou de compléter des données incomplètes ;
(f) limiter le traitement dans des circonstances spécifiques ;
(g) contester le traitement qui a été justifié sur la base de nos intérêts légitimes ou dans l'intérêt public ;
(h) demander une copie d'un accord en vertu duquel des données à caractère personnel sont transférées en dehors de l'EEE ;
(i) s'opposer à des décisions fondées uniquement sur le traitement automatisé, y compris le profilage (ADM) ;
(j) empêcher un traitement susceptible de causer un préjudice ou une détresse à la personne concernée ou à toute autre personne ;
(k) être informé d'une violation de données à caractère personnel susceptible d'entraîner un risque élevé pour leurs droits et libertés ;
(l) déposer une plainte auprès de l'autorité de contrôle ; et
(m) dans des circonstances limitées, recevoir ou demander que leurs données à caractère personnel soient transférées à un tiers dans un format structuré, couramment utilisé et lisible par machine.
Vous devez vérifier l'identité d'une personne qui demande des données en vertu de l'un des droits énumérés ci-dessus (ne permettez pas à des tiers de vous persuader de divulguer des données à caractère personnel sans autorisation appropriée).
Vous devez immédiatement transmettre toute demande de la personne concernée que vous recevez à un directeur.
13. Responsabilité
13.1 Le responsable du traitement doit mettre en œuvre de manière efficace les mesures techniques et organisationnelles appropriées, afin de garantir le respect des principes de protection des données. Le contrôleur des données est responsable du respect des principes de protection des données et doit être en mesure de le démontrer.
Il doit disposer de ressources et de contrôles adéquats pour assurer et documenter la conformité aux principes de protection des données, notamment
(a) la nomination d'un DPD dûment qualifié (si nécessaire) et d'un cadre responsable de la protection des données ;
(b) la mise en œuvre du principe de respect de la vie privée dès la conception lors du traitement des données à caractère personnel et la réalisation des DPIA lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées ;
(c) intégrer la protection des données dans les documents internes, y compris la présente norme de protection de la vie privée, les politiques connexes, les lignes directrices en matière de protection de la vie privée, les avis de confidentialité ou les avis de traitement équitable ;
(d) former régulièrement le personnel de l'entreprise sur la GDPR, la présente norme de protection de la vie privée, les politiques connexes et les lignes directrices sur la protection de la vie privée, ainsi que sur les questions de protection des données, y compris, par exemple, les droits de la personne concernée, le consentement, la base juridique, la DPIA et les violations des données personnelles. L'entreprise doit tenir un registre des formations suivies par le personnel de l'entreprise ; et
e) tester régulièrement les mesures de protection de la vie privée mises en œuvre et procéder à des examens et audits périodiques pour évaluer la conformité, y compris en utilisant les résultats des tests pour démontrer les efforts d'amélioration de la conformité.
13.2 Tenue de registres
Le GDPR exige que nous tenions des registres complets et précis de toutes nos activités de traitement des données.
Vous devez tenir et conserver des registres d'entreprise précis reflétant notre traitement, y compris les registres des consentements des personnes concernées et les procédures d'obtention des consentements.
Ces dossiers doivent inclure, au minimum, le nom et les coordonnées du contrôleur des données et du DPD (le cas échéant), des descriptions claires des types de données personnelles, des types de personnes concernées, des activités de traitement, des objectifs du traitement, des tiers destinataires des données personnelles, des lieux de stockage des données personnelles, des transferts de données personnelles, de la période de conservation des données personnelles et une description des mesures de sécurité en place. Afin de créer de tels enregistrements, il convient de créer des cartes de données qui doivent comprendre les détails indiqués ci-dessus ainsi que les flux de données appropriés.
13.3 Formation et audit
Nous sommes tenus de nous assurer que tout le personnel de la société a suivi une formation adéquate pour lui permettre de se conformer aux lois sur la protection des données. Nous devons également tester régulièrement nos systèmes et processus pour évaluer leur conformité.
Vous devez suivre toutes les formations obligatoires relatives à la protection des données et vous assurer que votre équipe suit une formation obligatoire similaire.
Vous devez examiner régulièrement tous les systèmes et processus sous votre contrôle pour vous assurer qu'ils sont conformes à la présente norme de confidentialité et vérifier que des contrôles de gouvernance et des ressources adéquates sont en place pour garantir une utilisation et une protection adéquates des données personnelles.
13.4 Évaluation de l'impact de la protection des données et du respect de la vie privée dès la conception (DPIA)
Nous sommes tenus de mettre en œuvre des mesures de "Privacy by Design" lors du traitement des données à caractère personnel en appliquant des mesures techniques et organisationnelles appropriées (comme la pseudonymisation) de manière efficace, afin de garantir le respect des principes de confidentialité des données.
Vous devez évaluer quelles mesures de protection de la vie privée peuvent être mises en œuvre sur tous les programmes/systèmes/processus qui traitent des données à caractère personnel en tenant compte de ce qui suit :
(a) l'état de l'art ;
(b) le coût de la mise en œuvre ;
(c) la nature, la portée, le contexte et les objectifs du traitement ; et
d) les risques de probabilité et de gravité variables pour les droits et les libertés des personnes concernées que présente le traitement.
Les responsables du traitement doivent également effectuer des AIPD en ce qui concerne les Traitements à haut risque.
Vous devez effectuer une analyse d'impact sur les données personnelles lorsque vous mettez en œuvre des programmes de changement majeur de système ou d'activité impliquant le traitement de données à caractère personnel, notamment
(e) l'utilisation de nouvelles technologies (programmes, systèmes ou processus) ou de technologies changeantes (programmes, systèmes ou processus) ;
(f) le traitement automatisé, y compris le profilage et l'ADM ;
(g) le traitement à grande échelle de données sensibles ; et
h) la surveillance systématique et à grande échelle d'une zone accessible au public.
Un DPIA doit comprendre :
(i) une description du traitement, de ses finalités et des intérêts légitimes du responsable du traitement, le cas échéant ;
(j) une évaluation de la nécessité et de la proportionnalité du traitement par rapport à sa finalité ;
(k) une évaluation du risque pour les personnes ; et
l) les mesures d'atténuation des risques mises en place et la démonstration de la conformité.
13.5 Traitement automatisé (y compris le profilage) et prise de décision automatisée
En général, l'ADM est interdite lorsqu'une décision a un effet juridique ou un effet significatif similaire sur un individu, sauf si :
(a) une personne concernée a donné son consentement explicite ;
b) le traitement est autorisé par la loi ; ou
c) le traitement est nécessaire à l'exécution ou à la conclusion d'un contrat.
Si certains types de données sensibles sont traités, les motifs (b) ou (c) ne seront pas autorisés, mais ces données sensibles peuvent être traitées lorsque cela est nécessaire (à moins que des moyens moins intrusifs puissent être utilisés) pour un intérêt public important comme la prévention de la fraude.
Si une décision doit être fondée uniquement sur un traitement automatisé (y compris le profilage), les personnes concernées doivent être informées de leur droit d'opposition lors de la première communication. Ce droit doit être explicitement porté à leur connaissance et présenté de manière claire et distincte des autres informations. En outre, des mesures appropriées doivent être mises en place pour sauvegarder les droits, les libertés et les intérêts légitimes de la personne concernée.
Nous devons également informer la personne concernée de la logique qui sous-tend la prise de décision ou le profilage, de la signification et des conséquences envisagées et lui donner le droit de demander une intervention humaine, d'exprimer son point de vue ou de contester la décision.
Un DPIA doit être réalisé avant d'entreprendre tout traitement automatisé (y compris le profilage) ou toute activité de SMA.
13.6 Marketing direct
Nous sommes soumis à certaines règles et lois sur la protection de la vie privée lorsque nous faisons du marketing auprès de nos clients.
Par exemple, le consentement préalable d'une personne concernée est nécessaire pour le marketing direct électronique (par exemple, par courrier électronique, par texte ou par appels automatisés). L'exception limitée pour les clients existants, appelée "soft opt in", permet aux organisations d'envoyer des textes ou des courriers électroniques de marketing si elles ont obtenu les coordonnées d'une personne dans le cadre d'une vente à cette personne, si elles commercialisent des produits ou des services similaires et si elles ont donné à la personne la possibilité de refuser le marketing lors de la première collecte des coordonnées et dans chaque message ultérieur.
Le droit d'opposition au marketing direct doit être explicitement proposé à la personne concernée de manière intelligible afin de le distinguer clairement des autres informations.
L'objection d'une personne concernée à la commercialisation directe doit être rapidement honorée. Si un client se désiste à tout moment, ses coordonnées doivent être supprimées dès que possible. La suppression consiste à conserver juste assez d'informations pour garantir le respect des préférences commerciales à l'avenir.
13.7 Partage des données personnelles
En général, nous ne sommes pas autorisés à partager des données à caractère personnel avec des tiers, sauf si certaines garanties et dispositions contractuelles ont été mises en place.
Vous ne pouvez partager les données personnelles que nous détenons avec un autre employé, agent ou représentant de notre groupe (qui comprend nos filiales et notre holding ultime ainsi que ses filiales) que si le destinataire a un besoin professionnel de connaître les informations et si le transfert respecte les restrictions applicables aux transferts transfrontaliers.
Vous ne pouvez partager les données à caractère personnel que nous détenons avec des tiers, tels que nos prestataires de services, que si :
(a) ils ont besoin de connaître ces informations pour fournir les services contractuels ;
(b) le partage des données à caractère personnel est conforme à l'avis de confidentialité fourni à la personne concernée et, si nécessaire, le consentement de la personne concernée a été obtenu ;
(c) le tiers a accepté de se conformer aux normes, politiques et procédures requises en matière de sécurité des données et a mis en place des mesures de sécurité adéquates ;
(d) le transfert respecte toutes les restrictions applicables aux transferts transfrontaliers ; et
(e) un contrat écrit entièrement exécuté qui contient des clauses de tiers approuvées par GDPR a été obtenu.
14. Modifications apportées à la présente norme en matière de protection de la vie privée
Nous nous réservons le droit de modifier cette norme de confidentialité à tout moment et sans préavis, aussi nous vous invitons à la consulter régulièrement pour obtenir la dernière copie de cette norme.
Cette norme de confidentialité ne prévaut pas sur les lois et réglementations nationales applicables en matière de confidentialité des données dans les pays où la société opère.