I. Introduction
L’entreprise GESTPAL PICARDIE est une SARL spécialisée dans l’achat, la collecte, la réparation et la fourniture de palettes en bois. Sa mission consiste à collecter en local auprès de fournisseurs entreprises ou particuliers des palettes, de les réparer et de les fournir à ses clients entreprises ou particuliers.
GESTPAL PICARDIE est désignée ci-après l’entreprise.
II. Objectif de la Politique
Dans le cadre de son activité, l’entreprise est amenée à collecter et à traiter des données à caractère personnel relatives à ses employés, alternants, apprentis, intérimaires ou stagiaires et également des données de contact de ses fournisseurs et clients.
L’objectif principal de ce document est de regrouper dans un format concis, transparent, compréhensible et aisément accessible des informations concernant les traitements de données personnelles mis en œuvre par l’entreprise et les mesures de sécurité mises en place pour protéger l’ensemble des informations traitées par l’entreprise.
La présente politique vise à donner aux parties prenantes de l’entreprise les informations concernant :
- la façon dont l’entreprise collecte, utilise et protège les données personnelles qu’elle est amenée à traiter,
- les droits dont disposent les personnes concernées sur leurs données personnelles,
- les mesures de sécurité mises en place par l’entreprise pour protéger l’ensemble de son patrimoine informationnel.
La présente politique est susceptible d’être mise à jour, elle est tenue à la disposition des parties prenantes de l’entreprise sur son site web.
III. Champs d’application
La protection des données ou sécurité de l’information couvre les informations de toute nature, imprimées ou manuscrites, transmises par email ou sur un site web, etc.
La présente politique couvre l’ensemble des données y compris les données à caractère personnel traitées par l’entreprise conformément aux dispositions légales et règlementaires applicables.
IV. Exigences règlementaires et légales applicables
La mise en œuvre de traitement de données y compris via des systèmes d’information est soumise à des obligations relevant de nombreux textes d’ordre législatif et réglementaire ; on peut notamment citer les suivants en matière de protection des données personnelles :
– RGPD Règlement Général sur la Protection des Données – (UE) n°2016/679,
– loi n° 2016-1321 du 7 octobre 2016 pour une République numérique,
– loi 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »).
V. Définitions
Utilisateur : désigne dans la présente politique, les salariés à temps plein et à temps partiel, les intérimaires, les stagiaires, le cas échéant les visiteurs ainsi que les prestataires ou sous-traitants et les consultants qui interviennent sur le site physique de l’organisme ou ont accès d’une manière ou d’une autre aux données de l’organisme.
Personne concernée : personne concernée par le traitement de ses données personnelles : utilisateur (site web), prospect, client, apprenant, fournisseur
Donnée à caractère personnel / ci-après dénommée « donnée » ou « donnée personnelle » : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art 4.1 RGPD).
Traitement de données : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (art 4.2 RGPD).
Responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (art 4.7 RGPD).
Sous-traitant (RGPD) : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
La finalité d’un traitement : objectif dudit traitement de donnée, c’est-à-dire la raison pour laquelle la donnée est collectée et traitée.
Les autres termes relatifs aux données personnelles mentionnés dans le présent document ont le sens défini par le Règlement Général sur la Protection des Données – Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
VI. Traitements de données à caractère personnel
L’entreprise peut dans le cadre de ses activités être amené à traiter des données personnelles des personnes concernées. Le cas échéant, les traitements de données sont réalisés pour des finalités spécifiques : chaque traitement de données mis en œuvre poursuit une finalité légitime, déterminée et explicite.
Pour chacun des traitements mis en œuvre, l’entreprise s’engage à ne collecter et n’exploiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’entreprise veille à ce que les données soient, si nécessaire mises à jour et à mettre en œuvre des procédés pour permettre l’effacement ou la rectification des données inexactes.
Enfin, l’entreprise s’assure que les données ne soient pas conservées au-delà des durées nécessaires au regard des finalités respectives et au besoin des contrôles auxquels l’entreprise peut être soumise.
Les données sont destinées au personnel habilité de l’entreprise et à ses éventuels sous-traitants soumis à des exigences en matière de protection des données.
En aucun cas l’entreprise ne vend à des tiers les données personnelles des personnes concernées.
L’entreprise informe toutefois les personnes concernées que leurs données peuvent faire l’objet d’une communication aux tiers autorisés, autorités, instances, organismes et institutions se prévalant d’une disposition légale à cet effet.
Pour toute question relative aux traitements de données opérés par L’entreprise, les personnes concernées peuvent adresser leur demande par email à : contact@gestpal.com ou par courrier : GESTPAL PICARDIE – ZI Rouvroy – Morcourt 02100 SAINT-QUENTIN.
Principaux traitements de données personnelles mis en œuvre
Les principaux traitements de données mis en œuvre par l’entreprise sont les suivants :
-
Données relatives au personnel
Dans le cadre de l’exécution du contrat de travail, l’entreprise traite des données à caractère personnel relatives à son personnel. Les informations au sujet de ces traitements sont communiquées aux salariés au travers de sa Charte de Confidentialité et d’usage des systèmes d’information.
-
Données relatives aux candidatures pour un emploi
Les candidats à un recrutement sont informés que les données qu’ils transmettent à l’entreprise par courrier ou par email, feront l’objet d’un traitement éventuellement informatique pour étudier, analyser et sélectionner les candidats à un emploi proposé ou pour gérer la cv-thèque de l’entreprise en vue de futurs recrutements.
Les données collectées, outre les coordonnées du candidat et données liées à l’état civil, se limitent à ce qui servira à évaluer la capacité du candidat à occuper l’emploi proposé (qualification, expérience, etc.).
Les données liées aux recrutements sont traitées par le personnel habilité de l’entreprise.
Ces traitements de données sont fondés sur l’intérêt légitime de l’entreprise de gérer les candidatures et disposer d’une cv-thèque pour la gestion des recrutements en cours et à venir.
Les candidatures qui ne sont pas retenues sont conservées 2 ans après le dernier contact entrant de la part du candidat, sauf s’il s’y oppose ou qu’il en demande la suppression lorsqu’il est informé de la réponse négative à sa candidature. De même, ces candidatures sont susceptibles d’être transmises, sauf opposition de la personne concernée au dispositif Proch’Emploi de la région Hauts-de-France.
Les CV liés aux candidats retenus sont conservés pendant une durée de 5 ans maximum.
-
Données relatives aux clients et aux fournisseurs
L’entreprise traite les données de contact de ses clients entreprise, de ses clients particuliers et de fournisseurs.
Au vu de la réglementation en matière de traçabilité du recyclage [Article 321-7 du Code pénal : Obligation de tenue d’un registre de police pour l’activité d’achat au détail (concerne tous les matériaux)], l’entreprise est amenée à collecter les données d’identification de ses fournisseurs (n° de carte d’identité notamment).
Ces données sont collectées directement dans le cadre de la relation contractuelle liant l’entreprise à ses clients ou précontractuelle dans le cadre des activités qui lui sont confiées.
Ces traitements de données reposent sur l’exécution du contrat de prestation pour lequel l’entreprise est partie, ces données sont uniquement utilisées par l’entreprise dans ce cadre.
Les données de contact des clients, collectivités, fournisseurs ou clients particuliers sont conservées pour une durée de 3 ans après le dernier contact puis mises à jour en accord avec la personne concernée ou supprimées.
Les données liées au fichier d’impayés ou litiges sont conservées le temps du règlement du litige ou le temps du délai de recours.
-
Données relatives aux visiteurs du site internet
Les visiteurs du site web sont informés qu’un ou plusieurs cookies sont susceptibles d’être déposés sur leurs équipements terminaux lors de leur visite sur le site internet de l’entreprise, sous réserve des choix et options qu’ils ont exprimés lors de leur première visite et qu’ils peuvent modifier à tout moment. Le détail des informations liées aux cookies est tenu à disposition des utilisateurs dans la section Cookies de la présente Politique.
L’entreprise collecte, par ailleurs, les données relatives aux formulaires de contact de son site web.
Il s’agit des données d’identification et coordonnées qui permettront à l’entreprise de répondre à la demande de contact. Ces données sont traitées par des moyens informatiques sécurisés et sont réservées à l’usage du personnel habilité.
Ces données de contact sont conservées pour une durée maximale de trois ans ; ensuite ces données sont supprimées.
VII. Transfert de données hors UE
Les données à caractère personnel collectées par l’entreprise ne sont pas transférées à des acteurs situés en dehors de l’Union européenne.
Toutefois, l’utilisation de solutions professionnelles proposées par Google Ireland Limited, implique, pour des raisons propres à la règlementation à laquelle est soumise ce prestataire, que les autorités administratives américaines puissent accéder à des informations vous concernant.
Si l’entreprise était amenée à réaliser des traitements de données en dehors de l’Union Européen, elle informerait les personnes concernées des garanties concernant ce traitement de données, et leur demanderait le cas échéant, leur consentement préalable.
Enfin, lorsque l’entreprise est amenée à sous-traiter des données personnelles, l’entreprise veille à ce que les sous-traitants soient basés dans l’Union européenne.
Droits des personnes concernées
Conformément à la règlementation en matière de protection des données personnelles, en particulier le RGPD – Règlement (UE) 2016/679, les personnes concernées disposent de droits sur leurs données personnelles :
- Un droit d’accès : le droit d’obtenir la confirmation que les données personnelles font ou ne font pas l’objet d’un traitement, et d’en obtenir la communication ;
- Un droit de rectification : le droit d’obtenir la rectification de données personnelles inexactes, périmées ou de pouvoir compléter des données incomplètes ;
- Un droit d’effacement : le droit d’obtenir la suppression des données personnelles lorsque l’un des motifs ci-dessous s’applique.
- les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées ;
- la personne retire le consentement préalablement donné ;
- la personne s’oppose au traitement de ses données lorsqu’il n’existe pas de motif légitime impérieux pour le traitement ;
- le traitement de données n’est pas conforme aux dispositions de la législation et de la règlementation applicable.
- Un droit à la limitation : le droit de demander le gel des données du traitement pour une période donnée ;
- Un droit d’opposition : le droit de s’opposer à tout moment pour des raisons tenant à votre situation particulière, au traitement de ses données personnelles, quand celui-ci est fondé sur notre intérêt légitime ;
- Un droit à la portabilité : le droit de recevoir, en vue de les stocker ou de les transmettre à un tiers, les données personnelles fournies, dans le cadre de l’exécution d’un contrat, sous un format ouvert et lisible par machine et qui font l’objet d’un traitement automatisé ;
- Un droit au retrait du consentement : lorsque le traitement des données est fondé sur le consentement, la personne peut exercer ce droit à tout moment sans avoir à en justifier la raison.
Modalités d’exercice des droits en matière de données personnelles
Pour toute question relative aux traitements de données opérés par L’entreprise, les personnes concernées peuvent adresser leur demande par email à : contact@gestpal.com ou par courrier : GESTPAL PICARDIE – ZI Rouvroy – Morcourt 02100 SAINT-QUENTIN.
Les personnes estimant, après avoir contacté l’entreprise, que leurs droits ne sont pas respectés, peuvent adresser une réclamation à la CNIL : https://www.cnil.fr/fr/plaintes
VIII. Mesures de Sécurité
L’entreprise s’engage, conformément à la règlementation française et européenne en matière de protection des données, à prendre les mesures de sécurité d’ordre technique et organisationnel qui sont nécessaires pour protéger la confidentialité, l’intégrité et la disponibilité des données qu’elle traite, compte tenu de l’état de la technologie, de la nature des données stockées et des risques auxquels celles-ci sont soumises.
Afin de l’aider dans cet engagement, l’entreprise s’appuie sur des experts externes pour réaliser, à intervalles raisonnables, des audits de conformité en matière de protection et sécurité des données.
L’ensemble des mesures et règles de sécurité appliquées par l’entreprise sont décrites ci-après.
Périmètre d’application des mesures de sécurité
Les mesures de sécurité s’appliquent à l’ensemble de systèmes d’information interconnectés par le réseau :
- les systèmes d’information (bureautique, traitement des données, toutes applications, le site Web institutionnel, la messagerie …
- l’ensemble du matériel informatique destiné au personnel (ordinateurs fixes et portables, téléphones portables, moyens d’impression…).
- l’infrastructure systèmes et réseaux.
Les mesures de sécurité englobent également l’hébergement physique des supports papiers tout au long de leur cycle de vie.
Sécurité organisationnelle
- Obligation Confidentialité du personnel (clause contrat RH)
- Clauses spécifiques pour les contrats de sous-traitance
- Assurance que le personnel connaisse les règles de sécurité à appliquer (physiques et logiques) : en complément d’une clause spécifique dans le contrat de travail, la Charte de Confidentialité et d’usage des systèmes d’information de l’entreprise est expliquée et signée à la remise des équipements informatiques.
Sécurité physique des accès aux données
- Accès restreint aux locaux
- Accès restreint aux données papier (sécurisation des dossiers actifs, sécurisation des archives)
- Sécuriser l’accès aux équipements informatiques (notamment mise en veille automatique)
Sécurité logique des accès aux données
- Identification et authentification (identifiants et mots passe personnalisés)
- Suivi de la création et suppression des comptes utilisateurs
- Gestion des privilèges (par fonction)
- Sécurisation des accès distants & réseaux sans fils
- Chiffrement des équipements nomades
Sécurité opérationnelle des données
- Système de sauvegarde et restauration
- Mesures de protection contre logiciels malveillants (antivirus)
- Mises à jour régulières
- Sécurisation des flux (pare-feu)
Sécurité Site web
- Sécurisation du site web
- Hébergement des données en UE
Conservation limitée et sécurisation de l’archivage
La limitation de conservation des informations répond aux exigences du RGPD en ce qui concerne les données à caractère personnel mais permet également de réduire le volume de données sur lequel portent les risques de sécurité. En ce sens elle est considérée dans la présente politique comme une mesure de sécurité.
- Conservation des données pour une durée définie
- Archivage en zone distincte et sécurisée, (données numériques et données papier).
- Gestion de la confidentialité des suppressions (broyeur papier)
Gestion de la sous-traitance
Mesures de sécurité spécifiques concernant les prestataires intervenant sur les systèmes ou amenés à avoir accès aux données de l’organisme.
- Les contrats de sous-traitance impliquant des traitements de données personnelles comprennent une clause spécifique responsabilisant le prestataire sur la protection des données. Un avenant est signé pour les contrats préexistants.
- La restitution ou destruction des données est cadrée
Identification des incidents
Si, malgré les mesures mises en place, l’entreprise constate une violation des données des personnes concernées, l’entreprise s’engage à prendre toutes les dispositions possibles pour limiter l’impact potentiel pour ces personnes.
Conformément à la règlementation, lorsque les risques pour les droits et libertés des personnes sont élevés, l’entreprise en informera, dans les meilleurs délais, la CNIL et le cas échéant les personnes concernées.