Règlement général sur la protection des données - Borello Isoclair

I. Introduction

Tout au long de ses activités quotidiennes, Borello Isoclair traite les données personnelles relatives aux employés, clients, fournisseurs et autres partenaires commerciaux. Les données personnelles sont transférées entre les membres de la société Borello Isoclair dans le cadre des activités commerciales, comptables, juridique légitimes de l’entreprise. Borello Isoclair est liées par les règles de la loi européenne sur la protection des données applicable qui contient des exigences strictes en matière de traitement et de transfert des données personnelles. En règle générale, la législation européenne sur la protection des données en vigueur ne permet pas le transfert de données à caractère personnel vers des pays tiers qui n’assurent pas un niveau adéquat de protection des données à caractère personnel. Par conséquent, Borello Isoclair s’est engagée sur le principe général de la protection des données personnelles dans le code de conduite de la société. Cette procédure de protection des données définit comment une telle protection doit être mise en œuvre pour garantir des principes uniformes pour le traitement de toutes les données personnelles et pour établir la base juridique nécessaire pour le transfert des données personnelles des entités juridiques établie en dehors de l’EEE conformément à la législation de l’UE applicable en matière de protection des données.

II. Portée et applicabilité

II.I Portée

Cette procédure de protection des données est une procédure sous la responsabilité des co-gérants et tous les employés de l’entreprise. Cette procédure de protection des données constitue les règles d’entreprise contraignantes en matière. Cette procédure de protection des données concerne tous les traitements de données à caractère personnel de Borello Isoclair protégés par la législation européenne en vigueur sur la protection des données. Les routines et les exigences décrites ici s’ajoutent aux mesures de sécurité de l’information et aux exigences énoncées dans les documents de direction.

II.II Applicabilité

Cette procédure de protection des données s’applique l’entité juridique de Borello Isoclair telles que définies à la section 7 et à tous les employés de la société Borello Isoclair, y compris les entrepreneurs et les autres membres du personnel représentant Borello Isoclair. En outre, les sujets de données tiers bénéficieront des droits qui leur sont accordés aux présentes.

II.III Mise en oeuvre

Cette procédure de protection des données doit faire partie des documents de pilotage de Borello Isoclair dès l’adoption par les responsables. Le responsable de la protection des données à le rôle de superviser la mise en œuvre et du respect de cette procédure de confidentialité des données dans la société

II.IV Responsabilité

Conformément à la propriété désignée des systèmes et des applications informatiques, la fonction d’entreprise concernée ou la direction du domaine d’activité doit s’assurer que les opérations et les procédures sont conformes à cette procédure de protection des données, le cas échéant. Cela inclut la responsabilité d’assurer l’établissement et le maintien d’une documentation de contrôle interne adéquate tel que décrit dans cette procédure de protection des données.

III. Traitement et transfert couverts par cette procédure

III.I Registres informatiques et flux de données

Cette procédure de protection des données couvre le traitement et le transfert de données personnelles par l’utilisation de systèmes informatiques et d’applications

III.II Catégories de données personnelles et objectifs du traitement

Cette section fournit un aperçu des catégories de données personnelles et des finalités de traitement couvertes par cette procédure de protection des données.
_Données de gestion des ressources humaines
_Administrer et gérer la relation avec les employés (y compris les candidats, les anciens employés, les entrepreneurs et les personnes à charge)
_Données d’administration informatique
_Soutenir et gérer la gestion de la technologie de l’information (TI) et du système d’information (SI) ainsi que la sécurité de l’information.
_Données HSE
_Soutenir et gérer les services de santé au travail et l’enregistrement, la gestion et la communication des informations relatives à la santé, au service et à l’environnement (incidents, problèmes, etc.)
_Alarme / portes fermées
_Soutenir et gérer la protection contre l’entrée illégale ou non autorisée dans des zones, bâtiments ou pièces ou pour soutenir le contrôle des équipements et / ou des processus de production
_Données sur les relations d’affaires
_Soutenir et gérer les relations avec les clients, les fournisseurs ou les partenaires (internes / externes) ainsi que la gestion des informations dans les processus de recrutement

IV. Les rôles de Borello Isoclair

IV.I Borello Isoclair dans le rôle de contrôleur

Généralement, chaque entité légale est considérée comme un contrôleur individuel qui détermine les finalités et les moyens du traitement des données personnelles. Un accord de traitement des données conformément au règlement général sur la protection des données est exécuté lorsqu’une entité juridique agissant en tant que contrôleur contracte avec un prestataire tiers pour la fourniture de services impliquant le traitement de données à caractère personnel protégées par la protection des données. Loi au nom du contrôleur. Les bases légales requises pour le transfert de données à caractère personnel concernées doivent être établies. section 6, dans le cas où une entité juridique établie dans l’EEE passe un contrat avec un tiers traitant établi dans un pays tiers pour la fourniture de services impliquant le traitement de données à caractère personnel protégées par la législation européenne applicable en matière de protection des données.

IV.II Borello Isoclair dans le rôle de processeur

Une entité juridique peut fournir des services impliquant le traitement de données personnelles pour le compte d’une autre entité juridique considérée comme le contrôleur de ces données personnelles. Au cours de ce traitement, l’entité légale fournissant les services pertinents sera considérée comme un processeur qui traite les données personnelles au nom de l’entité juridique destinataire, qui a la responsabilité en tant que contrôleur. Dans ce cas, l’entité juridique agissant en qualité de soustraitant agit uniquement au nom du contrôleur et agit à la demande du contrôleur et conformément aux exigences et principes énoncés dans les présentes procédures de protection des données, cf. section 6. Dans la mesure requise par la législation locale applicable en matière de protection des données, le contrôleur doit donner des instructions au transformateur par accord écrit conformément aux exigences locales.

V. Principes clés de cette protection des données

Cette section donne un aperçu des principes clés à observer par Borello Isoclair et son personnel en ce qui concerne le traitement des données à caractère personnel dans le cadre de cette procédure de protection des données.

V.I Obligation de respecter la procédure

Tout le personnel de Borello Isoclair doit être tenu de respecter les règles de cette procédure de protection des données dans le cadre du code de conduite de Borello Isoclair et conformément aux conditions d’emploi pertinentes. Le personnel de Borello Isoclair signalant des violations de données personnelles ne doit en subir aucune conséquence négative. Le cas échéant, une formation supplémentaire sur la protection des données doit être fournie de cette procédure de protection des données.

V.II Droits sur les sujets de données

Tous les sujets de données dont les données personnelles sont traitées dans le cadre de cette procédure de protection des données bénéficieront des droits énoncés dans le présent document. Les droits du sujet de données comprennent le droit d’appliquer les principes généraux de confidentialité. Traitement juste et légal Limitation de l’objet Qualité des données et proportionnalité Traitement légitime Transparence et information Droits d’accès, de rectification, d’effacement et de blocage des données Droit de s’opposer au traitement Sécurité et confidentialité Restrictions pour le transfert ultérieur à l’extérieur de la société Borello Isoclair Vous êtes en droit d’être informé sur demande des données personnelles traitées, le cas échéant, par Borello Isoclair à votre sujet. Vous pouvez également demander que toute donnée personnelle excessive que nous pouvons traiter soit supprimée ou bloquée, et demander la rectification de toute donnée personnelle illicite que nous pourrions traiter. Vous pouvez également contacter votre autorité nationale de protection des données pour déposer une plainte. Les sujets de données sont encouragés à suivre d’abord la procédure de plainte énoncée à la section 5.7 de la présente procédure de protection des données avant de déposer une plainte auprès des autorités compétentes en matière de protection des données ou des tribunaux. Si vous souhaitez davantage d’informations que celles fournies dans cette politique sur la manière dont vos informations sont utilisées, comment nous maintenons la sécurité de vos informations et vos droits d’accès aux informations que nous détenons, veuillez nous contacter au 04.74.97.21.43 ou par e-mail à bjulie@borello-isoclair.com

V.III Informations aux sujets de données

Tous les sujets de données qui bénéficient de cette procédure de protection des données doivent pouvoir accéder facilement aux informations décrivant leurs droits en matière de confidentialité des données. Les informations doivent figurer dans les documents suivants: Code de Conduite (Registre des activités de traitement) Borello Isoclair. Déclaration de confidentialité (interne). L’objectif de la déclaration de confidentialité interne est de fournir des informations à tout le personnel de Borello Isoclair sur le traitement des données personnelles effectuées par Borello Isoclair. La déclaration est disponible sur simple demande auprès des co-gérants. Déclaration de confidentialité de Borello Isoclair (externe) L’objectif de la déclaration de confidentialité externe est de fournir des informations à des personnes externes de la société Borello Isoclair. Version publique de la procédure de protection des données Cette version publique de la procédure de protection des données, qui extrait les informations non confidentielles, est disponible sur simple demande et sur notre site internet www.borello-isoclair.com. Cette version publique explique les règles d’entreprise contraignantes pour le traitement des données personnelles, la base juridique pour le transfert de données personnelles vers des pays tiers et les droits des personnes concernées en vertu de ces règles. Pour protéger vos informations, Borello Isoclair exploite des mesures de sécurité techniques et organisationnelles destinées à la protection des données personnelles.

V.IV Formation et sensibilisation

Des programmes appropriés et de sensibilisation à la confidentialité des données dans Borello Isoclair doivent garantir la mise en œuvre et le respect de cette norme de protection des données dans toutes les fonctions de la société. L’objectif d’une formation appropriée est de faire connaître, comprendre et appliquer efficacement cette procédure de protection.

V.V Supervision et conformité

Borello Isoclair a établi des rôles internes supervisant la supervision et le respect de cette procédure de protection des données. Les coordonnées du responsable de la confidentialité des données sont disponibles dans la section 8.

V.VI Traitement des réclamations

Si un sujet de données est d’avis que le traitement des données personnelles au sein de Borello Isoclair n’est pas conforme à la présente procédure de protection des données ou aux lois ou règlements locaux applicables, la personne concernée peut déposer une plainte auprès de Borello Isoclair. ! Une plainte peut être anonyme ou sous le nom complet en s’adressant au responsable de la confidentialité des données, ou à la gestion hiérarchique. Dans les quatre (4) semaines suivant la réception d’une plainte, Borello Isoclair doit retourner par écrit au sujet des données le résultat du traitement de la plainte. Si, en raison de la complexité de la plainte, une réponse ne peut être donnée dans les quatre (4) semaines, Borello informera le sujet de données en conséquence et fournira une estimation raisonnable du délai dans lequel une réponse sera fournie. Le délai ne doit pas dépasser trois (3) mois à compter de la réception de la plainte. La procédure mentionnée ci-dessus est sans préjudice du droit de la personne concernée de porter une affaire devant les autorités ou les tribunaux compétents en matière de protection des données, cf. sections ci-dessous.

V.VII Responsabilité

Borello Isoclair assume la responsabilité de tout dommage causé par une entité légale établie en dehors de l’EEE résultant d’une violation des garanties, droits ou recours supplémentaires accordés dans le cadre de cette procédure de protection des données pour le traitement des données personnelles protégées par la loi européenne sur la protection des données. Conformément à la portée de cette procédure de protection des données. En outre, Borello Isoclair prendra les mesures nécessaires pour remédier aux actes d’une personne morale établie en dehors de l’EEE et, le cas échéant, indemnisera les dommages résultant de la violation. Le fardeau de la preuve incombe à Borello Isoclair et non à la personne concernée. Par conséquent, lorsque Borello Isoclair peut prouver qu’elle n’est pas responsable d’une violation de la garantie supplémentaire résultant de cette procédure de protection des données entraînant le dommage réclamé par une personne concernée, elle peut se décharger de toute responsabilité.

V.VIII Coopération avec les autorités de protection des données

Borello Isoclair s’engage à coopérer avec les autorités compétentes en matière de protection des données, notamment en appliquant les recommandations et les conseils des autorités et en répondant aux demandes de l’autorité concernant cette procédure de protection des données. Les autorités compétentes en matière de protection des données peuvent effectuer des audits afin de vérifier la conformité avec cette procédure de protection des données. Le responsable de la confidentialité des données sera le point de contact de l’autorité de protection des données sur toute question relative à cette procédure de protection des données ou au traitement des données personnelles dans la société.

V.IX Loi applicable et juridiction

Cette procédure de protection des données sera régie et interprétée conformément à la législation de l’UE en matière de protection des données et à la législation Française pertinente en matière de protection des données. Les sujets de données doivent conserver leurs droits et recours disponibles dans leurs juridictions locales lorsque la législation locale applicable fournit plus de protection que la présente procédure de protection des données. Lorsque cette procédure de protection des données offre plus de protection que la législation locale applicable, ou fournit des garanties supplémentaires, des droits ou des recours pour les sujets de données, cette procédure de protection des données doit précéder. Sans préjudice de la compétence de l’autorité compétente en matière de protection des données ou d’autres autorités gouvernementales conformément à la législation locale applicable, le respect de cette procédure de protection des données est supervisé par l’autorité Française de protection des données désignée comme autorité principale dans le processus d’approbation Règles en vertu de la loi sur la protection des données de l’UE applicable. L’autorité Française de protection des données est autorisée à informer Borello Isoclair de l’application de cette procédure de protection des données à tout moment et dispose de pouvoirs d’enquête basés sur la loi Française sur la protection des données. Dans la mesure où l’autorité Française de protection des données dispose de pouvoirs discrétionnaires liés à l’application de la loi Française sur la protection des données, elle dispose de pouvoirs discrétionnaires similaires pour l’application de cette procédure de protection des données. Toute réclamation d’un sujet de données concernant tout droit additionnel aux droits en vertu de la législation européenne applicable en matière de protection des données, et que la personne concernée pourrait avoir sous cette procédure de protection des données, doit être adressée à Borello Isoclair. Les plaintes ou les réclamations peuvent, au choix de la personne concernée, être portées devant l’autorité compétente en matière de protection des données sur le lieu de résidence habituelle, le lieu de travail ou le lieu de l’infraction alléguée ou devant les tribunaux compétents du ou Le transformateur a un établissement ou au lieu de résidence habituelle du sujet de données. Les personnes concernées sont encouragées à suivre la procédure de plainte énoncée à la section 5.7 de la présente procédure de protection des données avant de déposer des plaintes ou des réclamations en vertu de ces droits supplémentaires auprès des autorités compétentes en matière de protection des données ou des tribunaux.

V.X Mise à jour de cette procédure de protection des données

Borello Isoclair peut modifier cette procédure de protection des données, par ex. en raison de changements à la législation pertinente ou de changements à la structure juridique de Borello Isoclair. Borello Isoclair doit communiquer toute modification substantielle de cette procédure de protection des données aux personnes concernées en apportant les modifications nécessaires aux documents pertinents, y compris le registre des activités de traitement, et la présente procédure de protection des données. La version actuelle de cette procédure de protection des données doit toujours être disponible pour toutes les entités légales, le personnel de Borello Isoclair et les tiers bénéficiaires.

VI. Principes généraux de confidentialité des données pour le traitement des données personnelles

Les principes généraux de confidentialité des données suivants s’appliquent à Borello Isoclair conformément à la législation de l’UE sur la protection des données. En mettant en œuvre cette procédure de protection des données, y compris les règles d’entreprise contraignantes pour le transfert de données personnelles, la société s’engage à établir un contrôle interne et des routines pertinentes lors du traitement et du transfert de données personnelles pour garantir le respect de ces principes. La société Borello Isoclair ne vendra pas les données personnelles. La société Borello Isoclair pourra partager certaines données personnelles avec ces fournisseurs. Nous pouvons également partager vos informations si nous estimons en toute bonne foi qu’il est nécessaire de protéger nos droits ou nos biens ou notre sécurité, de nous conformer à une requête judiciaire ou à une autre procédure légale, de répondre à des exigences gouvernementales ou réglementaires, ou en cas d’une fusion, un transfert d’actifs ou une autre restructuration d’entreprise. Notre Site internet www.borello-isoclair.com n’est pas destiné à être utilisé par des enfants de moins de 13 ans. Si nous découvrons qu’un enfant de moins de 13 ans nous a fourni des données personnelles, nous prendrons les mesures appropriées pour rapidement les supprimer.

VI.I Traitement équitable, légal et transparent

Les données personnelles doivent être traitées de manière loyale, légale et transparente et conformément aux principes stipulés dans la présente procédure de protection des données. Cela signifie que les données personnelles doivent être traitées conformément à la loi, et que les intérêts légitimes de la personne concernée doivent être pris en compte lors du traitement des données personnelles.

VI.II Spécification et limitation du but

Les données personnelles ne seront collectées qu’à des fins précises, explicites et légitimes et ne seront pas traitées de manière incompatible avec ces finalités.

VI.III Qualité des données et proportionnalité

Les données personnelles doivent être:

– Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont collectées et/ou traitées ultérieurement (« minimisation des données »);

– Précis et, si nécessaire, mis à jour; toute mesure raisonnable doit être prise pour s’assurer que les données qui sont inexactes, compte tenu des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont traitées ultérieurement, sont effacées ou rectifiées sans délai (« exactitude »);

– Conservés sous une forme permettant l’identification des sujets de données pendant une durée ne dépassant pas celle nécessaire pour les finalités pour lesquelles les données personnelles ont été collectées ou pour lesquelles elles sont traitées ultérieurement (« limitation de stockage »).

– Nous vous enverrons des informations marketing par e-mail.

Vous pouvez à tout moment retirer votre consentement et refuser de recevoir des informations de notre part, le nécessaire sera fait immédiatement à la réception de votre refus.

VI.IV Critères pour le traitement légal des données personnelles

Les Données Personnelles ne peuvent légalement être traitées que si au moins l’une des bases légales suivantes s’applique: Le sujet de données a mis son consentement pour un ou plusieurs buts spécifiques. Afin de se fier au consentement, les conditions de la section doivent être remplies;

– Le traitement est nécessaire pour l’exécution d’un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat;

– Le traitement est nécessaire pour se conformer à une obligation légale à laquelle le contrôleur est soumis;

– Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique;

– Le traitement est nécessaire pour l’accomplissement d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dévolue au contrôleur

– Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Contrôleur ou par le Tiers, sauf si ces intérêts sont outrepassés par les intérêts ou les libertés et droits fondamentaux de la Personne concernée qui requièrent la protection des Données à caractère personnel en vertu de la Loi européenne sur la protection des données. 

– Borello Isoclair ne stockent pas les données plus longtemps que nécessaire pour remplir les objectifs pour lesquels les données personnelles ont été collectées.

VI.V Critères de traitement légitime des données personnelles sensibles

Hormis les circonstances ci-dessous, il est interdit de traiter les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, et le traitement des données génétiques, les données biométriques pour l’identification unique d’une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique (données personnelles sensibles). Le traitement des données personnelles sensibles est légal si au moins l’une des bases juridiques suivantes s’applique:

1. la personne concernée a donné son consentement explicite au traitement de ces données personnelles sensibles, sauf si la loi applicable prévoit que l’interdiction ci-dessus ne peut être levée par le donneur de données qui donne son consentement. Afin de se fier au consentement, les conditions de la section 6.12 doivent être remplies;

2. Le traitement est nécessaire pour remplir les obligations et exercer des droits spécifiques du contrôleur ou de la personne concernée dans le domaine du droit de l’emploi et de la sécurité sociale dans la mesure où il est autorisé par la loi applicable ou une convention collective conformément à la loi applicable prévoyant des garanties adéquates pour les droits fondamentaux et les intérêts de la personne concernée;

3. Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement;

4. Le traitement concerne des données qui sont manifestement rendues publiques par la personne concernée ou qui sont nécessaires à l’établissement, à l’exercice ou à la défense de créances légales.

5. le Traitement est autorisé selon des règles autres que a) -d) ci-dessus qui ont été établies conformément à la Loi sur la protection des données de l’UE applicable.

Le traitement des données relatives aux infractions, aux condamnations pénales ou aux mesures de sécurité ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties spécifiques appropriées sont prévues par la loi pour les droits et libertés des personnes concernées, sous réserve des dérogations loi applicable.

VI.VI Prise de décision automatisée

La personne concernée a le droit de ne pas être soumise à une décision fondée uniquement sur un traitement automatisé, y compris un profilage produisant des effets juridiques le concernant ou affectant de manière significative celle-ci, à moins que la décision:

a) est nécessaire pour conclure ou exécuter un contrat entre le particulier et une personne morale;

b) est autorisé par la loi locale applicable à laquelle la personne morale est soumise et qui prévoit également des mesures appropriées pour sauvegarder les droits, libertés et intérêts légitimes de la personne concernée; ou

c) est basé sur le consentement explicite du sujet de données.

Dans les cas visés aux points a) et c) ci-dessus, la personne morale met en œuvre des mesures appropriées pour sauvegarder les droits, libertés et intérêts légitimes de la personne concernée, et au moins le droit d’obtenir une intervention humaine de la part de la personne morale. Exprimer son point de vue et contester les décisions. Les décisions automatisées mentionnées dans la présente section ne doivent pas être basées sur des données personnelles sensibles à moins que l’article 6.5 a s’applique et que des mesures appropriées soient prises pour sauvegarder les droits, libertés et intérêts légitimes de la personne concernée.

VI.VII Devoir d’information

En cas de collecte de données personnelles à partir d’un sujet de données, et à condition que la personne concernée ne dispose pas déjà des informations, les informations suivantes doivent être fournies

1.: l’identité et les coordonnées du Contrôleur et de son représentant, le cas échéant;

2. les coordonnées du responsable de la protection des données, le cas échéant;

3. les finalités du traitement et la base juridique de ce traitement;

4. quels sont les buts légitimes poursuivis lorsque le traitement est basé sur l’article 6) f;

5. les destinataires ou catégories de destinataires des Données Personnelles, le cas échéant;

6. le cas échéant, le fait que le contrôleur a l’intention de transférer les données à caractère personnel vers un pays tiers et la base légale pour effectuer un tel transfert est licite.En outre, lorsque cela est requis par la législation de l’UE applicable en matière de protection des données et, si nécessaire, pour assurer un traitement équitable et transparent, l’intéressé doit recevoir les informations supplémentaires suivantes

1.: la période pour laquelle les données personnelles seront stockées, ou les critères utilisés pour déterminer cette période;

2. l’existence du droit de demander l’accès, la correction, la suppression ou la restriction du traitement ou de s’opposer au traitement, ainsi que le droit à la portabilité des données;

3. lorsque le traitement est basé sur le consentement du sujet de données, l’existence du droit de retirer le consentement à tout moment, sans affecter la légalité du traitement fondé sur le consentement avant son retrait;

4. le droit de déposer une plainte auprès d’une autorité de protection des données;

5. si la fourniture de données personnelles est une exigence statutaire ou contractuelle, ou une exigence nécessaire pour conclure un contrat, et si la personne concernée est obligée de fournir les données personnelles et des conséquences possibles du défaut de fournir ces données;

6. l’existence de la prise de décision automatisée, y compris le profilage, visée à la section 6.6 et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que l’importance et les conséquences envisagées de ce traitement pour la personne concernée.

Lorsque les données personnelles n’ont pas été collectées auprès de la personne concernée, les données suivantes sont fournies à l’intéressé:

1. l’identité et les coordonnées du contrôleur et de son représentant, le cas échéant;

2. les coordonnées du responsable de la protection des données, le cas échéant;

3. les finalités du traitement et la base juridique de ce traitement;

4. les catégories de données personnelles concernées;

5. les destinataires ou catégories de destinataires des Données Personnelles, le cas échéant;

6. le cas échéant, le fait que le contrôleur a l’intention de transférer les données à caractère personnel vers un pays tiers et la base légale pour effectuer un tel transfert est licite.

Les informations mentionnées aux paragraphes 3 et 4 ci-dessus doivent être fournies dans un délai raisonnable, au plus tard un mois après l’obtention des données personnelles ou, le cas échéant, au plus tard au moment de la première communication avec la personne concernée. Données ou au moment de divulguer les données la première fois. Des dérogations peuvent s’appliquer si la personne concernée dispose déjà des informations pertinentes ou si la fourniture de ces informations s’avère impossible ou impliquerait un effort disproportionné ou risquerait de compromettre gravement la réalisation des objectifs ou la loi applicable.

VI.VIII Droits du sujet de données
VI.VIII.1 Droit d’accès du sujet de données

Chaque sujet de données a le droit d’obtenir du contrôleur:

a) la confirmation du traitement ou non des données le concernant et, le cas échéant, l’accès aux Données personnelles traitées par le Contrôleur;

b) des informations sur les finalités du traitement, les catégories de données à caractère personnel concernées et les destinataires ou catégories de destinataires auxquels les données sont divulguées, en particulier les destinataires situés dans un pays tiers. Si le pays tiers n’est pas reconnu par la Commission européenne comme garantissant un niveau de protection adéquat, la personne concernée a le droit d’être informée des garanties appropriées visées à la section 6.10.

c) si possible, des informations sur la période prévue pour le stockage des données personnelles ou, si ce n’est pas possible, les critères utilisés pour déterminer cette période;

d) des informations sur l’existence du droit de demander au Contrôleur la rectification ou l’effacement des Données Personnelles ou la restriction du Traitement des Données Personnelles concernant la Personne concernée ou de s’opposer à ce Traitement;

e) des informations sur le droit de porter plainte auprès d’une autorité de protection des données;

f) lorsque les données personnelles n’ont pas été collectées auprès de la personne concernée, toutes les informations disponibles concernant leur source;

g) l’existence d’une prise de décision automatisée, y compris le profilage, mentionnée dans la section 6.6 et, au moins dans ces cas, des informations significatives sur la logique impliquée dans tout traitement automatique ainsi que l’importance et les conséquences envisagées de le sujet de données.

VI.VIII.2 Droit de rectification du sujet de données

La personne concernée a le droit d’obtenir du responsable du traitement, sans retard injustifié, la rectification des données personnelles inexactes la concernant. Compte tenu des finalités du traitement, la personne concernée a en outre le droit de compléter des données personnelles incomplètes, y compris au moyen d’une déclaration complémentaire.

VI.VIII.3 Droit d’effacement du sujet de données

Lorsque la loi applicable l’exige, la personne concernée a le droit d’obtenir du contrôleur l’effacement des données personnelles le concernant sans retard excessif. Le contrôleur a l’obligation de répondre à une telle demande en effaçant les données à caractère personnel sans retard injustifié lorsque l’un des motifs suivants s’applique:

a) les données personnelles ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées ou traitées;

b) la personne concernée retire son consentement au traitement et lorsqu’il n’existe aucune autre base légale pour le traitement;

c) le sujet de données s’oppose au traitement conformément à la section 6.8.7 (a) et il n’y a aucun motif légitime impérieux justifiant le traitement, ou les objets du sujet de données au traitement conformément à la section 6.8.7 (b);

d) les données personnelles ont été illégalement traitées; e) les Données Personnelles doivent être effacées pour le respect d’une obligation légale dans la législation de l’UE applicable à laquelle le Contrôleur est soumis.

Le droit d’effacement du sujet de données ne s’applique pas dans la mesure où le traitement est nécessaire pour:

a) exercer le droit à la liberté d’expression et d’information;

b) le respect d’une obligation légale qui nécessite un traitement par la législation de l’UE / EEE applicable à laquelle le contrôleur est soumis ou pour l’exécution d’une tâche réalisée dans l’intérêt public ou dans l’exercice de l’autorité publique conférée au contrôleur; c) l’établissement, l’exercice ou la défense de réclamations légales.

VI.VIII.4 Droit de restriction du traitement du sujet de données

Lorsque la loi applicable l’exige, la personne concernée a le droit d’obtenir du contrôleur une restriction de traitement lorsque l’une des conditions suivantes s’applique:

a) l’exactitude des données personnelles est contestée par la personne concernée pendant une période permettant au responsable du traitement de vérifier l’exactitude des données personnelles;

b) le traitement est illégal et la personne concernée s’oppose à l’effacement des données personnelles et demande à la place la restriction de leur utilisation;

c) le responsable du traitement n’a plus besoin des données personnelles aux fins du traitement, mais elles sont requises par la personne concernée pour l’établissement, l’exercice ou la défense des réclamations légales;

d) la personne concernée s’est opposée au traitement en vertu de la section 6.8.7 en attendant de vérifier si les motifs légitimes du contrôleur l’emportent sur ceux de la personne concernée.

Lorsque le traitement a été restreint en vertu du paragraphe 1, ces données personnelles, à l’exception du stockage, ne peuvent être traitées qu’avec le consentement du sujet ou pour l’établissement, l’exercice ou la défense de droits ou pour la protection des droits d’un tiers. Personne morale ou pour des raisons d’intérêt public important de l’UE / EEE ou d’un pays de l’UE / EEE où le contrôleur est établi. Le contrôleur informe la personne concernée qui a obtenu une restriction de traitement, avant la levée de la restriction.

VI.VIII.5 Obligation de notification concernant la rectification ou l’effacement des données personnelles ou la restriction du traitement

Lorsque cela est requis par la loi applicable, le Contrôleur communique à chaque destinataire auquel les Données Personnelles ont été divulguées, toute rectification ou effacement de Données Personnelles ou toute restriction de Traitement effectuée conformément aux Section 6.8.2 à 6.8.4 ci-dessus, à moins que cela ne prouve impossible ou implique un effort disproportionné. Lorsque cela est requis par la loi applicable, le Contrôleur informe la Personne concernée de ces destinataires si la Personne concernée le demande.

VI.VIII.6 Droit de la personne à la portabilité des données

Lorsque cela est requis par la loi applicable, la personne concernée a le droit à la portabilité des données, c’est-à-dire le droit de recevoir les données personnelles la concernant, qu’elle a fournies au contrôleur, de manière structurée, couramment utilisée et lisible par machine former et avoir le droit de transmettre ces données à un autre contrôleur sans entrave.

VI.VIII.7 Droit de la personne concernée de s’opposer au traitement

La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données la concernant dans les cas visés aux points 6.4 e) et f), sauf disposition contraire de loi applicable. Cela comprend le profilage basé sur ces dispositions. Si un sujet de données s’oppose au traitement, le contrôleur ne doit plus traiter les données personnelles à moins que:

a) Le responsable du traitement démontre des raisons impérieuses et légitimes pour le traitement qui outrepassent les intérêts, les droits et les libertés de la personne concernée;

ou b) Le traitement est nécessaire pour l’établissement, l’exercice ou la défense d’une réclamation légale.

Le sujet de données doit, lorsque les données personnelles sont traitées à des fins de marketing direct, avoir le droit de s’opposer à tout moment au traitement des données personnelles le concernant pour un tel marketing. Cela inclut le profilage dans la mesure où il est lié à un tel marketing direct. Lorsque le sujet de données s’oppose au traitement à des fins de marketing direct, les données personnelles ne seront plus traitées à de telles fins. Le droit d’opposition doit être explicitement porté à l’attention du sujet de données de manière claire et distincte de toute autre information, au plus tard au moment de la première communication avec la personne concernée.

VI.IX Sécurité et confidentialité

Des mesures techniques et organisationnelles appropriées, y compris ces mesures par conception et par défaut, doivent être mises en œuvre et protéger les Données Personnelles contre toute destruction accidentelle ou illicite ou perte accidentelle, altération, divulgation ou accès non autorisés, notamment lorsque le Traitement implique la transmission des données sur un réseau, et contre toutes les autres formes illégales de traitement. Compte tenu du type particulier et du coût de leur mise en œuvre, ces mesures doivent assurer un niveau de sécurité approprié aux risques représentés par le traitement et la nature des données à protéger.

VI.X Transfert de données personnelles à des tiers

 

Le transfert de données personnelles à des tiers comprend les situations dans lesquelles Borello Isoclair communique des données personnelles à une personne physique ou morale ou à un autre organisme ou institution, y compris le transfert ultérieur de données personnelles à ces tiers. Il existe deux catégories de tiers:

a) Contrôleurs tiers qui traitent et déterminent les finalités et les moyens du traitement des données personnelles (par exemple les autorités gouvernementales telles que les autorités fiscales ou les prestataires de services qui fournissent des services directement à la personne concernée).

b) Tiers processeurs, qui traitent les données personnelles uniquement au nom de Borello Isoclair et sur sa direction (par exemple, un fournisseur de services qui traite la maintenance informatique au nom de Borello Isoclair).

Vous trouverez ci-dessous un aperçu des exigences relatives au transfert de données à caractère personnel protégées par la loi européenne sur la protection des données.

Transfert à un contrôleur tiers établi dans l’EEE Le transfert à un tiers contrôleur établi dans l’EEE peut avoir lieu, à condition que:

• il n’est pas incompatible avec l’objectif légitime pour lequel les données personnelles ont été collectées;

• il est conforme au principe de qualité et de proportionnalité des données;

• les critères de légitimation du traitement des données sont remplis;

• des informations pertinentes sont fournies à la personne concernée (le cas échéant);

et • des mesures de sécurité appropriées sont mises en œuvre pour protéger les Données Personnelles pendant le Transfert et en relation avec le Traitement ultérieur par la partie destinataire.

La loi locale applicable peut avoir des exigences supplémentaires et doit toujours être considérée avant d’effectuer un tel transfert. Transfert à un contrôleur tiers établi en dehors de l’EEE.
Le transfert à un tiers contrôleur établi en dehors de l’EEE est interdit, sauf si l’une des conditions suivantes est remplie:

• le contrôleur receveur est établi dans un pays que la Commission de l’UE considère comme ayant un niveau de protection adéquat, cf. les décisions de la Commission sur l’adéquation de la protection des données à caractère personnel dans les pays tiers, disponibles sur: http://ec.europa.eu/justice/policies/privacy/thridcountries/index_fr.htm;

ou • le contrôleur destinataire a été certifié dans le cadre d’un programme reconnu en vertu de la législation de l’UE sur la protection des données applicable comme garantissant un niveau « adéquat » de protection des données;

ou • l’une des dérogations pour des situations spécifiques conformément à la législation de l’UE applicable en matière de protection des données s’applique (par exemple, les sujets de données ayant explicitement consenti au transfert ou au transfert sont nécessaires pour conclure ou exécuter un contrat);

ou • Le transfert est régi par les clauses contractuelles standard pour le transfert du contrôleur vers le contrôleur des données personnelles.Transfer to a Third Party Processor established within the EEA

Le transfert vers un processeur établi dans l’EEE peut avoir lieu, à condition que:

• le sous-traitant fournit des garanties suffisantes en ce qui concerne les mesures techniques de sécurité et les mesures organisationnelles régissant le traitement à effectuer;

et • l’exécution du traitement par le biais d’un sous-traitant est régie par un contrat ou un acte juridique (accord de traitement des données) conformément aux exigences énoncées au troisième paragraphe de la section 4.1. Transfert à un sous-traitant établi en dehors de l’EEE

Le transfert vers un processeur établi en dehors de l’EEE est interdit, sauf lorsque, conformément à la législation de l’UE sur la protection des données:

• le processeur réceptionnaire est établi dans un pays que la Commission de l’UE a considéré comme ayant un niveau de protection adéquat (sur la base d’une « décision d’adéquation »),

ou • le processeur receveur a été certifié dans le cadre d’un programme reconnu en vertu de la législation européenne sur la protection des données applicable comme offrant un niveau «adéquat» de protection des données;

ou • une ou plusieurs des dérogations pour des situations spécifiques définies dans la législation européenne applicable en matière de protection des données s’appliquent (par exemple, les personnes concernées ayant explicitement consenti au transfert ou au transfert sont nécessaires pour conclure ou exécuter un contrat, etc.);

ou • le transfert est régi par la clause contractuelle standard pour le transfert du contrôleur au processeur des données personnelles;

et les conditions suivantes sont remplies :

• le sous-traitant fournit des garanties suffisantes en ce qui concerne les mesures techniques de sécurité et les mesures organisationnelles régissant le traitement à effectuer; • l’exécution du traitement par le biais d’un processeur est régie par un contrat ou un acte juridique (accord de traitement des données) conformément à l’article 28, paragraphe 3, du règlement général sur la protection des données.

 

VI.XI Démontrer la conformité

Toute entité légale agissant en tant que contrôleur doit être responsable de la procédure de protection des données et pouvoir démontrer qu’elle s’y conforme. Si un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, le contrôleur procède, avant le traitement, à une évaluation de l’impact des opérations de traitement envisagées sur la protection des données personnelles (évaluation de l’impact de la protection des données). Si l’analyse d’impact relative à la protection des données indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer le risque, le responsable du traitement consulte l’autorité de contrôle compétente avant le traitement.

VI.XII Conditions de consentement

Si le consentement est requis ou approprié en vertu de la loi applicable pour le traitement des données personnelles ou le traitement des données sensibles, les conditions suivantes s’appliquent: a) Le contrôleur doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles. Lorsque le traitement est effectué à la demande de la personne concernée, elle est réputée avoir donné son consentement au traitement; b) le contrôleur doit informer la personne concernée conformément aux dispositions énoncées au point 6.7 ci-dessus; c) Si le consentement du sujet de données est donné dans le contexte d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement doit, si la loi l’exige, être présentée d’une manière clairement distincte des autres questions, dans un forme intelligible et facilement accessible en utilisant un langage clair et simple; et d) Le consentement ne doit être utilisé que lorsqu’il est susceptible d’être valable en tant que base juridique pour le traitement. En ce qui concerne les relations de travail, le consentement ne devrait donc pas être utilisé comme base légale, à moins qu’il ne soit clair qu’il est donné librement. Ce sera généralement le cas lorsque les sujets de données participeront volontairement à un sondage. e) La personne concernée peut retirer son consentement à tout moment et la personne concernée doit, si la loi l’exige, être informée de son droit de retirer son consentement. Le retrait du consentement n’affecte pas la légalité du traitement sur la base de ce consentement avant son retrait. Il doit être aussi facile de se rétracter que de donner son consentement.

VII. Définition

Sauf indication contraire, les définitions ci-après doivent, le cas échéant, être interprétées de manière cohérente et avoir le même sens que les définitions figurant dans la législation de l’Union européenne applicable en matière de protection des données: Loi européenne sur la protection des données applicable La législation européenne applicable en matière de protection des données est la directive européenne 95/46 / CE et le règlement européen 2016/679 (règlement général sur la protection des données) abrogeant la directive 95/46 / CE. Règles d’entreprise contraignantes Les règles d’entreprise contraignantes désignent un ensemble de règles de protection des données approuvées par les autorités de protection des données de l’UE juridiquement contraignantes et appliquées par chaque membre d’un groupe d’entreprises, y compris leurs employés, et qui, en vertu de la niveau adéquat de protection pour le transfert de données à caractère personnel dans ce groupe d’entreprises. Cette procédure de protection des données constitue le règlement d’entreprise de Borello Isoclair.

Consentement

Par Consentement, on entend toute indication librement donnée, spécifique, informée et non équivoque des souhaits du sujet de données par laquelle, par une déclaration ou par une action affirmative claire, il marque son accord sur le traitement des données personnelles le concernant. Un contrôleur est une entité juridique qui détermine les finalités et les moyens du traitement des données personnelles des personnes concernées, que le traitement soit effectué par et au sein de la personne morale ou par un sous-traitant externe.

Responsable de la confidentialité des données

Le responsable de la confidentialité des données est la personne qui doit superviser la mise en œuvre de la procédure de protection des données et qui est responsable de la surveillance globale de la conformité des données pour la société Borello Isoclair.

Coordinateur de confidentialité.

Un coordonnateur de la protection des données personnelles désignera le personnel dévoué responsable de la surveillance et de la coordination de la conformité à la confidentialité des données dans une fonction d’entreprise ou un secteur d’activité donné.

Accord de traitement de données

Une entente de traitement des données est une entente qui régit la façon dont le processeur peut traiter les données personnelles au nom du contrôleur.

Sujet de données

Une personne concernée est la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel en cours de traitement. Un sujet de données peut par exemple être un employé de Borello Isoclair, un consultant externe travaillant pour Borello Isoclair.

Espace économique européen (EEE)

L’AEE désigne l’Espace économique européen, c’est-à-dire les États membres de l’UE ainsi que les pays de l’AELE (Liechtenstein, Islande et Norvège). Borello Isoclair désigne un salarié au niveau approprié dans la société avec des tâches pour assurer la mise en œuvre, la gestion et le respect de cette procédure de protection des données dans la zone, l’unité ou la fonction concernée.

Données personnelles

Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable (personne concernée) pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plus de facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Traitement des données personnelles

Traitement désigne toute opération effectuée ou utilisation de Données à Caractère Personnel, que ce soit par des moyens automatiques, tels que la collecte, l’enregistrement, l’alignement, le stockage et la divulgation, ou une combinaison d’une telle utilisation.

La définition est neutre sur le plan technologique et comprend le traitement complet ou partiel de données à caractère personnel à l’aide d’ordinateurs ou d’équipements similaires capables de traiter automatiquement des données personnelles. La définition comprend également les systèmes d’enregistrement ou de classement manuel si des données personnelles sont incluses.

Processeur

Un sous-traitant est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte d’un contrôleur. Des exemples de transformateurs comprennent des fournisseurs de services informatiques externes de Borello Isoclair.

Données personnelles sensibles

Les données personnelles sensibles sont des données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques (pour identifier une personne physique), la santé, la sexualité ou l’orientation sexuelle, conviction.

Clauses contractuelles standard (SCC)

Les clauses contractuelles types sont des contrats types de protection des données adoptés par la Commission européenne entre un contrôleur établi dans un pays membre de l’EEE et un contrôleur ou un transformateur dans un troisième comté afin de fournir une base légale au transfert de données personnelles.

Données provenant d’un pays membre de l’EEE vers un pays tiers. 

Pays tiers Un pays tiers désigne un pays en dehors de l’EEE, c’est-à-dire tous les pays à l’exception des États membres de l’UE et des pays de l’AELE (Liechtenstein, Islande et Norvège).

Tierce personne

Aux fins de cette procédure de protection des données, une tierce partie désigne toute personne, organisation privée ou organisme gouvernemental extérieur à Borello Isoclair.

Transfert

Un Transfert comprend toute divulgation, copie ou transfert de Données Personnelles, en cours de Traitement ou destinées à être traitées après la divulgation, copie ou transfert, d’une Personne Légale à une autre Personne Légale ou à un Tiers, quel que soit le type de mesures moyennes ou techniques utilisées pour accéder aux données personnelles.

VIII. Contact

Le responsable de la confidentialité des données peut être contacté à:

Email: bjulie@borello-isoclair.com

Adresse postale: 10 ZA Bièze 38110 Saint Clair de la Tour. France

IX. Définition

EEE = Espace économique européen

l’AELE (Liechtenstein, Islande et Norvège).

Crée le : 25/05/2018 / Indice : A

Modifié le : 13/05/2019 / Indice : C

logo_borello_isoclair_contreforme
error: Content is protected !!