Politique de protection des données

Nous voulons travailler avec vous, clients, partenaires, prestataires, fournisseurs, stagiaires en toute confiance ; pour cela, nous précisons dans cette politique ce que nous faisons en qualité de responsable du traitement avec les données à caractère personnel de personnes physiques.

Ce document vous indique les données à caractère personnel que nous collectons et que vous nous fournissez, les raisons pour lesquelles nous le faisons, les cas où nous les communiquons à des tiers, la manière dont nous les conservons, les sécurisons, ainsi que les moyens pour exercer les droits reconnus aux personnes sur leurs données.

Pour toute question concernant la présente politique, contacter notre Déléguée à la Protection des Données (DPO) à l’adresse dpoaquitaine@agencergpd.eu

POUR QUELLES RAISONS COLLECTONS-NOUS ET UTILISONS-NOUS DES DONNÉES À CARACTÈRE PERSONNEL ?

Nous collectons des données à caractère personnel directement auprès de vous ou auprès d’une personne autorisée dans le but

– exclusivement commercial lié à notre activité principale en remplissant notre formulaire de contact ;
– de recevoir notre Newsletter.

Par ailleurs, si vous nous contactez, nous conserverons une trace de votre demande afin de nous permettre de la traiter au mieux.

QUELLES SONT LES DONNÉES À CARACTÈRE PERSONNEL QUE VOUS NOUS FOURNISSEZ OU QUE NOUS COLLECTONS ?

Lorsque vous nous contactez, ou nous demandez de vous recontacter pour les services qui vous intéressent, vous consentez à nous fournir les données à caractère personnel suivantes : nom, prénom, adresse mail, numéro de téléphone, informations partagées par vous-même dans lequel du message que vous êtes invités à nous laisser.

Pour la réalisation de nos services et prestations d’ordre professionnels, nous collectons des données d’identification personnelles et professionnelles telles que nom, prénom, numéros de téléphone professionnel, adresse mail professionnelle, signature, fonction ; des données concernant les compétences techniques ; des données financières liées à la facturation.

Nous stockons également vos consentements à recevoir des informations, par exemple l’actualité à laquelle vous vous abonnez, ainsi que vos retraits de consentement aux traitements auxquels vous aviez auparavant consenti.

DANS QUELS CAS COMMUNIQUONS-NOUS VOS DONNÉES À CARACTÈRE PERSONNEL À DES TIERS ?

Nous ne communiquons vos données à caractère personnel à des tiers que dans les cas suivants :

  • Aux services internes d’EAM’S en charge de l’exécution des finalités. 
  • Pour des besoins de traitements externes : nous transmettons ces données à des personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément au RGPD et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. Nous faisons notamment appel à des fournisseurs de services pour assurer la sauvegarde et l’hébergement des données.
  • Pour des raisons juridiques ou réglementaires : nous sommes susceptibles de partager des données à caractère personnel pour respecter des obligations légales, réglementaires et administratives, détecter, empêcher ou traiter des activités frauduleuses, des atteintes à la sécurité ou tout problème d’ordre technique ou encore lors d’évaluations et audits externes par des autorités (ou leurs représentants).

COMMENT CONSERVONS-NOUS ET SÉCURISONS-NOUS VOS DONNÉES À CARACTÈRE PERSONNEL ?

Nous mettons en place les mesures de sécurité organisationnelles et techniques nécessaires et appropriées contre tout accès, toute modification, divulgation ou destruction non autorisé des données que nous stockons. La Politique de Sécurité du Système d’Information (PSSI) peut vous être transmise pour obtenir plus de détails sur les mesures. 

Ces mesures sont notamment les suivantes :

  • Ne collecter que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées (minimalisation du recueil).
  • Les collaborateurs, sous-traitants, prestataires et interlocuteurs d’EAM’S qui ont besoin d’accéder aux données à caractère personnel pour exercer leurs rôles, fonctions et responsabilités :
    • Sont habilités et ont un accès qui leur est strictement réservé ;
    • Sont sensibilisés et/ou formés, selon leurs rôles, fonctions et responsabilités ;
    • Ont signé un engagement de confidentialité et ont été informés des risques et sanctions en cas de manquement à cette obligation.
  • Nous chiffrons les données lorsque cela est nécessaire.
  • Nous réalisons des audits internes et de nos fournisseurs traitant des données à caractère personnel (au minimum un par an) pour le compte d’EAM’S.

Nous conservons les données à caractère personnel pendant la durée de la relation commerciale, puis nous les supprimons. Dans certains cas, nous nous réservons le droit de les conserver pour une durée plus longue notamment pour prévenir un éventuel contentieux et répondre à nos obligations légales et réglementaires. 

Pour les données traitées dans le cadre d’un traitement soumis à un consentement, nous les supprimons dès le retrait du consentement.

Nous ne transférons pas les données à caractère personnel en dehors de l’Union Européenne. Dans le cas où nous y serons amenés pour les besoins d’un contrat, nous nous engageons à mettre en place les garanties appropriées et à recueillir l’autorisation préalable sur le transfert. En tout état de cause, nous restons responsables de nos engagements sur ces données à caractère personnel.

COMMENT EXERCER VOS DROITS SUR LES DONNÉES À CARACTÈRE PERSONNEL ?

LES DIFFERENTS DROITS Explications et
procédures obligatoires
Processus entreprise
Informer les
personnes sur leurs droits.
Rédaction d’une information claire,
brève et compréhensible dans laquelle il convient d’expliquer les éléments
suivants :
– Quelles sont les données qui sont traitées ?
– Pourquoi elles sont traitées ?
– Quel fondement légal autorise à
conserver ces données ?
– Quelles sont les finalités des traitements ?
– Êtes-vous susceptible de transférer ses données à un autre acteur ?
– Quels sont ses droits s’agissant de ses données (droit d’accès, droit à l’oubli, droit à la rectification, droit d’opposition au marketing direct, etc.) 
– Indiquer que la personne concernée a la possibilité de déposer un recours auprès de l’autorité de contrôle ou du DPO de la société.  
Les données à caractère personnel sont collectées dans le cadre des relations en B to B ou B to C. Néanmoins certaines données comme le nom le prénom et l’email peuvent être enregistrées pour faire suite à des demandes de sociétés.
Fondement basé sur l’article 6b du RGPD (contrats ou mesures précontractuelles).
En cas de demande d’information, l’Agence RGPD peut informer la personne concernée des données collectées.
La personne concernée peut effectuer sa demande directement auprès de l’Agence RGPD Aquitaine ou auprès de la CNIL pour faire respecter ses droits
Le droit d’accès Le droit d’accès aux données permet à la personne concernée de demander des informations
Vous avez désormais le droit de connaître : – La durée de conservation des données qui vous concernent,- La source des données quand elles n’ont pas été collectées auprès de vous,- Les informations concernant un profilage éventuel, – Les garanties prises en cas de transfert des données hors périmètre de l’UE.
Les données à caractère personnel sont collectées dans le cadre des relations en B to B. La durée de conservation est valable le temps de la relation commerciale.
Cette durée est ensuite soumise à la réglementation en vigueur.
Le droit d’opposition La législation française prévoit que toute personne est en droit de s’opposer, pour des motifs légitimes, à ce que des données qui la concernant fassent l’objet d’un traitement. Le RGPD prévoit que le même droit s’exerce, à tout moment pour des raisons tenant « à la situation particulière » de la personne concernée. Par conséquence, la personne peut demander au responsable du traitement le droit de s’opposer à ce traitement. La CNIL (Commission nationale de l’informatique et des libertés) recommande que ce droit d’opposition soit exercé par le biais d’une case à cocher (opt out) libellé de la façon suivante « si vous ne souhaitez pas recevoir d’offres commerciales pour les produits analogues à ceux que vous avez déjà achetés.   Les personnes concernées peuvent faire prévaloir leur droit d’opposition. Néanmoins comme évoqué précédemment, EAM’S étant soumise à la loi Française, il appert que certaines données seront conservées suivant une durée légale.   Des propositions commerciales pourront être envoyées aux clients dans le cadre des activés de EAM’S. A ce titre EAM’S a la possibilité d’obtenir le consentement par l’intermédiaire de l’action volontaire d’une case à cocher lors de la demande formulée sur le site internet. La conservation de la preuve et la gestion du consentement s’effectue via ce soft. (opt out —– opt in)
Le droit de rectification Les personnes physiques disposent d’un droit de rectification de leurs données. Si les données personnelles sont inexactes ou incomplètes, la personne concernée peut obtenir que ces dernières soient complétées ou modifiées en fournissant une « déclaration complémentaire ». Elles doivent alors recevoir une réponse dans les meilleurs délais.  EAM’S permet aux personnes concernées de demander la rectification de leurs données. Un tableau de preuves des différentes demandes est conservé par EAM’S.
Le droit à l’oubli Le RGPD renforce fortement le droit à l’oubli et prévoit que les données doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Concrètement, les informations ne peuvent donc pas être conservées de façon indéfinie. Le RGPD renforce donc encore plus ce principe de limitation de la conservation.  

Les personnes physiques peuvent demander l’effacement (droit à l’oubli) dans les meilleurs délais de leurs données, ce dans plusieurs hypothèses :
– dès lors que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées,
– si la personne retire son consentement sur lequel est fondé le traitement ou si elle s’oppose au traitement,
– si le traitement est illicite ;    

EAM’S permet aux personnes concernées de demander la rectification de leurs données. Un tableau de preuves des différentes demandes est conservé par EAM’S.   Chaque traitement de données à caractère personnel fait l’objet d’une attention particulière notamment dans le cadre du suivi permettant de réaliser un droit à l’oubli.
Le droit à la portabilité Les personnes physiques peuvent demander au responsable de traitement une copie des données personnelles les concernant sous un format structuré, courant et électronique. L’objectif est de permettre aux utilisateurs de changer de fournisseur sans perdre de données (données extraites sous un format exploitable) EAM’S permet aux personnes concernées de demander la rectification de leurs données. Un tableau de preuves des différentes demandes est conservé par EAM’S.      
Le droit au refus du profilage
ou de décisions automatisées
Le RGPD instaure explicitement un droit d’opposition au profilage à des fins de prospection. L’utilisation d’un algorithme visant à analyser les données d’un individu afin d’évaluer son intérêt pour certains types de produits et services, la probabilité qu’il les achète, qu’il se comporte de telle ou telle manière ou encore qu’il soit à tel ou tel endroit, peut être qualifiée de profilage, et donc faire l’objet d’un droit d’opposition.

Le droit d’opposition au profilage ne s’applique pas lorsque le profilage :
– est nécessaire dans le cadre d’un contrat entre la personne concernée et le responsable de traitement,
– est autorisé par le droit de l’Union ou d’un État membre,
– est fondé sur le consentement explicite de l’individu.

EAM’S n’effectue pas de profilage.
Le droit à la limitation
du traitement des données
Une personne physique peut demander au responsable de traitement de conserver les données qu’il détient la concernant, mais sans pouvoir les utiliser. Ce droit s’applique si :
– l’exactitude des données à caractère personnel est contestée par la personne concernée, ce durant une durée permettant de vérifier l’exactitude des données,
– les données font l’objet d’un traitement illicite,
– les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice,
– la personne concernée s’est opposée au traitement en vertu de son droit d’opposition.      
EAM’S permet aux personnes concernées de demander la rectification de leurs données. Un tableau de preuves des différentes demandes est conservé par EAM’S.  

Pour exercer vos droits, il suffit :

  • De contacter le DPO à l’adresse mail dpoaquitaine@agencergpd.eu, ou par courrier à EAM’S à l’attention du responsable des traitements au 2 avenue du Président Pierre Angot 64000 Pau. Il existe également la possibilité d’introduire une réclamation auprès d’une Autorité de contrôle de la Protection des Données, en France la CNIL.

 

COMMENT GÉRONS-NOUS LES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL ?

Nous prenons très au sérieux les violations de données à caractère personnel.
En cas de violation de vos données personnelles susceptible d’engendrer un risque pour vos droits et libertés, le DPO d’EAM’S notifie la violation à la CNIL dans les meilleurs délais, et, si possible 72 heures au plus tard après en avoir pris connaissance. EAM’S informera également la personne concernée, dans les meilleurs délais conformément aux dispositions de l’article 34 du RGPD.

RÉVISION ET MISE À JOUR DE NOTRE POLITIQUE DE PROTECTION DES DONNÉES

Nous nous engageons à traiter les données à caractère personnel conformément aux dispositions légales en vigueur.
La présente politique sera revue en fonction des évolutions des textes. Vous serez régulièrement informé de cette mise à jour.