Politique de confidentialité

Table des matières

1. OBJECTIFS ET CHAMP D’APPLICATION DE LA POLITIQUE

1. Objectifs

PANACHATS s’engage à assurer la protection des données obtenues dans le cadre de ses activités et à se conformer aux lois et réglementations applicables en matière de Traitement de Données à Caractère Personnel, et notamment au Règlement Européen n° 2016/679 sur la protection des données personnelles.

L’objet principal de la présente Politique est d’assurer la mise en place par PANACHATS de structures appropriées de gouvernance, de contrôle ainsi que de méthodes et procédures garantissant la conformité avec les lois et réglementations applicables en matière de protection des Données à Caractère Personnel. Dans ce cadre, la Politique établit les standards minimums suivants :

  • Nomination d’un DPO en charge de la supervision et de l’application de cette politique au sein de PANACHATS
  • L’adoption par PANACHATS des exigences et standards minimums pour l’ensemble des traitements de données à caractère personnel

1.2 Champ d'application de la Politique

La Politique s’applique à l’ensemble des collaborateurs et à tous les services de PANACHATS. Elle s’applique à toutes les Données Personnelles recueillies, traitées, partagées par PANACHATS, à la fois en ligne et hors ligne, y compris :

  • Le Site internet de PANACHATS ;
  • Les Pages officielles de PANACHATS sur les réseaux sociaux ;
  • La plateforme d'achats ;
  • Les CRM ;
  • Les autres outils et bases de données utilisés au sein de la société ;
  • Les Emails échangés au sein de la société ;
  • Les conversations et correspondances ;
  • Les formulaires papiers.

Une communication adéquate sur la Politique doit être réalisée par PANACHATS conformément au point VII « Sensibilisation et Formation » ci-dessous.

Conformément au droit du travail applicable, à ses propres règles internes et contrats de travail, PANACHATS peut prendre des mesures disciplinaires à l'égard de ses propres collaborateurs, notamment en cas de non-respect des standards minimums de protection des Données à caractère Personnel établis par la présente politique.

1.3 L'application de la politique aux Tiers

Sous réserve de dispositions législatives ou réglementaires contraires, la présente politique doit être appliquée aux Tiers qui ont accès ou à qui sont transmises les Données Personnelles des clients, des fournisseurs, des Collaborateurs de PANACHATS et de toutes autres personnes dont PANACHATS traite les Données personnelles.

Chaque Responsable de Traitement doit s’assurer que les contrats avec les Tiers ayant un accès aux Données à caractère personnel de PANACHATS contiennent au minimum des dispositions sur les points suivants :

  • Le périmètre de responsabilité ;
  • La propriété des Données ;
  • Les caractéristiques du traitement (objet, durée, nature, finalité, données personnes et personnes concernées) ;
  • Les transferts internationaux des Données ;
  • Le respect des instructions et le recours à d’autres Sous-traitants ;
  • La politique de gestion des droits des personnes concernées ;
  • Le sort des Données à l’expiration du contrat ;
  • L’obligation de sécurité et de confidentialité des Données ;
  • La possibilité pour le Responsable de Traitement de réaliser un audit auprès du Tiers ;
  • La procédure en cas de violations des Données (failles de sécurité).

2. STANDARDS ET EXIGENCES MINIMUMS

La collecte et le traitement de Données à caractère personnel doivent respecter les principes minimums détaillés ci-après :
  • La transparence
  • La minimisation et l’adéquation
  • Le respect des finalités de traitement
  • La licéité et le consentement
  • Le transfert de Données
  • La durée de conservation
  • Les droits des personnes concernées
  • La sécurité des Données
  • Privacy by Design et by Default
  • Relations avec les Sous-traitants
  • Accountability
  • Registre des traitements
  • Exigences additionnelles

2.1 La transparence

Toutes les Données à caractère personnel collectées doivent être collectées et traitées de manière licite, loyale, et transparente au regard de la personne concernée.

2.1.1 Quelles informations fournir aux personnes concernées ?

Les informations suivantes doivent être systématiquement fournies aux personnes dont les Données personnelles font l’objet d’un Traitement par PANACHATS et doivent notamment figurer sur le site internet opéré par PANACHATS :

  • L’identité et les coordonnées de PANACHATS en tant que Responsable de traitement ;
  • Toutes les Finalités de traitement ;
  • Les coordonnées du DPO ;
  • La base juridique du traitement, le cas échéant, les intérêts légitimes poursuivis ;
  • La durée de conservation ou les critères de détermination de cette durée ;
  • Le cas échéant, les destinataires ou catégories de destinataires ;
  • Les droits des personnes concernées ;
  • La possibilité d’introduire une réclamation auprès de la CNIL ;
  • Le cas échéant, l’existence d’un transfert de données hors Union Européenne ainsi que les informations et les garanties qui s’y rattachent ;
  • Le cas échéant, le fait que la fourniture des Données dépend d’une exigence à caractère réglementaire ou contractuel ;
  • Le cas échéant, le fait que la fourniture des Données conditionne la conclusion d’un contrat ;
  • L’existence d’une obligation pour la Personne concernée de fournir ses Données ;
  • Les conséquences de la non-fourniture des Données ;
  • Le cas échéant, le droit de retirer son consentement pour les traitements basés sur le consentement ;
  • Le cas échéant, l’existence d’une décision automatisée et les informations qui s’y rattachent ;
  • Le cas échéant, l’existence d’un Traitement ultérieur pour une autre Finalité et les informations qui s’y rattachent.

2.1.2 Quand informer les personnes ?

Au moment de la collecte des Données à caractère Personnel, les informations relatives au Traitement des Données doivent être communiquées aux Personnes Concernées d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Par exemple :

  • Les salariés seront informés par l’intermédiaire d’une clause dans le contrat de travail ou dans le règlement intérieur ;
  • Les clients et fournisseurs seront informés grâce à une mention sur le formulaire d’inscription à PANACHATS (en ligne ou papier).

De manière générale, une mention d’information figure sur le formulaire de collecte de Données personnelles en ligne.

Dans le cas où PANACHATS ne collecterait pas directement les Données personnelles auprès des Personnes concernées (ex : campagne d’e-mailing grâce à des données fournies par des partenaires institutionnels, etc.), les informations doivent être fournies au plus tard lors de la première communication avec la Personne concernée (par exemple, lorsque le premier e-mail est envoyé à la Personne concernée). Cependant, si cette première communication intervient plus d’un mois après l’obtention des Données personnelles, les Personnes concernées devront être informées avant l’expiration de ce délai d’un mois. Les informations supplémentaires suivantes devront être fournies :

  • les catégories de Données personnelles collectées ;
  • la source d’où proviennent les données personnelles, avec l’indication du caractère public ou non public de cette source.
  • 2.1.3 Par quels moyens informer les personnes ?

    Ces informations doivent être fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la Personne concernée soit démontrée par d'autres moyens.

    2.2 La minimisation et l’adéquation

    Les Données à caractère personnel collectées pour toute finalité doivent être pertinentes et non excessives par rapport au but poursuivi par le Traitement. En d’autres termes, seules les Données strictement nécessaires pour atteindre l’objectif poursuivi par le Traitement doivent être collectées.

    Afin d’accomplir cette obligation, avant la mise en place du projet ou du traitement, le Collaborateur en charge du traitement doit vérifier l’adéquation et la proportionnalité de chaque donnée personnelle par rapport à la Finalité du Traitement. Pour chaque nouveau projet ou traitement, cette vérification devra nécessairement être accompagnée par la réalisation d’une analyse de risque sur la vie privée des personnes conformément à la procédure de gestion de projet établie par PANACHATS.

    Par ailleurs, les Données à Caractère Personnel collectées doivent être exactes, complètes et, si nécessaire, mises à jour.

    Le Collaborateur en charge du Traitement doit toujours s’assurer que son fichier est à jour des consentements exprimés par les Personnes concernées lorsque le consentement est requis pour le Traitement qui sera mis en œuvre.

    2.3 Le respect des finalités de traitement

    Avant toute collecte des Données personnelles, le Collaborateur en charge du traitement doit définir de façon claire tous les objectifs poursuivis par la collecte des Données.

    Les Données à Caractère Personnel ne doivent pas être traitées pour une Finalité ultérieure incompatible avec la Finalité initiale pour laquelle PANACHATS a collecté les Données. Par exemple, les traitements réalisés à des fins statistiques ne sont pas considérés comme incompatibles avec la finalité initiale.

    Pour pouvoir effectuer tout traitement ultérieur dont la finalité est incompatible avec la finalité initiale, le Collaborateur en charge du traitement doit s’assurer qu’il a reçu le consentement de la Personne Concernée pour cette nouvelle Finalité et dans le cas contraire recueillir le consentement de la Personne Concernée ou répondre à une autre condition de licéité (exécution d’un contrat avec la personne, respect d’une obligation légale, intérêt légitime de PANACHATS)

    2.4 La licéité du traitement et le Consentement

Chaque Collaborateur en charge du Traitement doit s’assurer que le Traitement de Données personnelles qu’il va mettre en œuvre est licite, c’est-à-dire qu’il repose sur une base juridique prévue par la règlementation. Le Collaborateur en charge du Traitement vérifie donc si le Traitement :

  • A reçu le Consentement de la Personne concernée, ou
  • Est nécessaire à l’exécution du contrat avec la Personne concernée, ou
  • Est nécessaire au respect d’une obligation légale, ou
  • Est nécessaire pour satisfaire les intérêts légitimes de PANACHATS.

Lorsque le traitement de Données à Caractère Personnel repose sur le Consentement de la Personne Concernée, chaque Collaborateur en charge du Traitement doit pouvoir démontrer que le Consentement a bien été donné par la Personne Concernée pour le traitement de ses Données à Caractère Personnel et que ce Consentement a été enregistré et tracé dans un système informatique.

Afin d’obtenir le consentement des Personnes Concernées, certaines exigences devront être respectées :

  • Lorsque la demande de consentement est faite par écrit et qu’elle concerne également d’autres questions, la demande de consentement doit être présentée de façon distincte par rapport à ces autres questions ;
  • La demande de consentement faite par écrit doit être établie sous une forme compréhensible, aisément accessible, formulée en des termes clairs et simples ;
  • La demande de consentement ne doit pas être formulée de manière contraignante pour la Personne Concernée ;
  • Il est nécessaire de s’assurer que le consentement est donné librement, notamment lorsque l’exécution d’un contrat est subordonnée au consentement de la Personne Concernée au Traitement de ses Données à Caractère Personnel, alors qu’un tel Traitement ne serait pas nécessaire à l’exécution de ce contrat.
  • La Personne Concernée doit être mise en mesure de retirer son consentement à tout moment. Le Collaborateur en charge du Traitement doit mettre en place et informer la Personne Concernée des moyens permettant de retirer son consentement notamment à travers les mentions d’information fournies au moment de la collecte des Données.

    Ces moyens doivent permettre à la Personne Concernée de retirer son consentement aussi simplement qu’il a été donné.

    Le Collaborateur en charge du Traitement se réfère à la procédure de consentement établie en interne afin de répercuter les consentements et les retraits de Consentement dans les applications utilisées et le Système d’information.

    2.5 Le transfert des données en dehors de l’union Européenne

    2.5.1 Généralités sur tout Transfert de Données à Caractère Personnel

    Les Transferts internationaux de Données à Caractère Personnel exigent une attention particulière et des garanties supplémentaires.

    2.5.2 Transferts vers des pays offrant un niveau de protection adéquat selon la législation nationale

    Le transfert de Données à Caractère Personnel à l'étranger sera permis si la Commission européenne reconnaît le pays destinataire comme fournissant un niveau de protection adéquat, sans préjudice du respect des dispositions nationales.

    La liste des pays offrant un niveau adéquat de protection des Données à caractère personnel est prévue en Annexe 1 et est disponible sur le lien suivant https://www.cnil.fr/fr/la-protection-des-donnees-dans-lemonde. Cette Liste est susceptible de faire l’objet d’une évolution. Il appartient dès lors au Collaborateur en charge du Traitement de vérifier sur le site de la Commission Européenne que cette liste est toujours à jour.

    2.5.3 Transferts couverts par des garanties appropriées

    Si la loi sur la Protection des Données à Caractère Personnel du pays de l’Importateur des Données n'est pas considérée comme adéquate par la Commission européenne, le Collaborateur en charge du Traitement devra conclure des clauses contractuelles avec le Responsable Conjoint ou le Sous-Traitant à l'étranger.

    Le Collaborateur en charge du Traitement peut encadrer le Transfert grâce à des Clauses Contractuelles Types établies par la Commission européenne ou par l’autorité de contrôle. Dans ce cas, il pourra transférer les Données sans l’autorisation de l’autorité de contrôle compétente. Le Collaborateur en charge du Traitement peut aussi encadrer le transfert grâce à des clauses contractuelles établies entre lui et l’Importateur des Données, mais dans ce cas, il devra obtenir l'autorisation de l’autorité de contrôle compétente.

    Il existe trois autres possibilités pour encadrer le transfert :

    • La mise en place de Règles d’Entreprise Contraignante (BCR) pour encadrer les échanges
    • L’application par le Responsable de traitement d’un Code de conduite approuvé
    • La certification du Responsable de traitement par un mécanisme de certification approuvé

    ❗ Dans tous les cas, le Collaborateur en charge du Traitement devra prévoir un accord écrit avec l’Importateur des Données, dans PANACHATS celui-ci garantit qu'il appliquera un niveau de protection des Données équivalent à celui requis par les lois sur la protection des Données à Caractère Personnel en France. Ces clauses contractuelles devront prévoir des mesures de sécurité techniques et organisationnelles devant être appliquées par les Responsables Conjoints ou les Sous-Traitants établis dans un pays tiers ne fournissant pas un niveau adéquat de protection afin d'assurer un niveau de sécurité adapté aux risques présentés par le Traitement de Données à Caractère Personnel et la nature des Données à protéger.

    2.5.4 Transferts répondant à une situation particulière

    En l'absence de décision d'adéquation ou de garanties appropriées, un Transfert ou un ensemble de Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu'à l'une des conditions suivantes :

    • La personne concernée a donné son consentement explicite au Transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ;
    • Le Transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le Responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la Personne concernée ;
    • Le Transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la Personne concernée entre le Responsable du traitement et une autre personne physique ou morale ;
    • Le Transfert est nécessaire pour des motifs importants d'intérêt public ;
    • Le Transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
    • Le Transfert est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d'autres personnes, lorsque la Personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
    • Le Transfert a lieu au départ d'un registre qui, conformément au droit de l'Union ou au droit d'un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d'un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l'Union ou le droit de l'État membre sont remplies dans le cas d'espèce.

    2.6 Durée de conservation

    Les Données à Caractère Personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des Finalités pour lesquelles elles sont collectées sauf indication contraire des lois applicables.

    Dans ce cadre, PANACHATS doit mettre en place une politique de conservation des Données à Caractère Personnel qui précise la durée de conservation applicables aux Données pour les différentes Finalités de Traitement, les conditions de conservation ainsi que le format de stockage des Données. Cette politique de conservation des données devra suivre les directives définies dans la présente Politique.

    Le collaborateur en charge du Traitement devra se reporter à la politique de conservation des Données pour assurer le respect de cette exigence.

    De manière générale, la durée maximale de conservation des données doit être déterminée en fonction de la Finalité de chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :

    • Obligations légales ;
    • Recommandations de l'Autorité de protection des données ;
    • Les meilleures pratiques dans chaque domaine concerné ;
    • L’exécution d’un contrat ou l’application de mesures précontractuelles ;
    • Les besoins de l'entreprise.

    En dehors des cas dans lesquels il existe une obligation d'archivage, les Données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le Collaborateur en charge du Traitement doit s’assurer que les données sont effectivement supprimées par l’établissement d’un certificat de destruction.

    2.7 Droit des personnes concernées et réponses aux réclamation

    De manière générale, le Règlement Européen sur la Protection des Données accorde aux Personnes Concernées les droits suivants sous réserve des spécificités locales :

    • d’être informées lorsque les Données à Caractère Personnel sont enregistrées pour la première fois par le Responsable de Traitement pour ses besoins propres, à moins que cette information ne soit pas nécessaire en raison d’exceptions légales ;
    • de demander des informations sur les données enregistrées les concernant, y compris des informations concernant la source des données ;
    • de demander les destinataires ou catégories de destinataires auxquels les données sont transférées;
    • de demander la finalité de l'enregistrement des données ;
    • de demander l’accès aux données les concernant, y compris sous forme de liste fournie par écrit ou par voie électronique ;
    • de demander la rectification des données, quand elles sont inexactes ;
    • de demander la suppression de données si cela est légalement possible ;
    • d’obtenir la limitation du traitement de leurs Données à Caractère Personnel lorsque cela est légalement possible ;
    • de s’opposer au traitement de leurs Données à Caractère Personnel par PANACHATS ;
    • de demander la portabilité de leurs Données à Caractère Personnel ; d’obtenir toute autre information sur le Traitement qui serait exigée par la loi.

    La réponse à toute demande d’exercice de droit devra être faite dans un délai maximal d’un mois à compter de la date de réception de la demande. La procédure de gestion des droits des Personnes concernées sera mise en œuvre.

    2.8 La sécurité des données

    Des mesures de contrôle et procédures appropriées doivent être mises en œuvre par le Responsable de Traitement afin d’assurer la sécurité des Données à Caractère Personnel et de prévenir tout accès ou divulgation non autorisés, en prenant en compte l’état actuel des technologies ainsi que l’éventuel préjudice pouvant résulter de la perte ou de l’accès non autorisé aux Données.

    Plus spécifiquement, la collecte, l’utilisation, le traitement, la transmission et le transfert, le stockage et la destruction des Données à Caractère Personnel nécessitent de la part de PANACHATS de prendre des mesures raisonnables pour mettre en place des systèmes organisationnels efficaces et des mesures physiques et techniques, en particulier pour :

    • empêcher les personnes non autorisées d'avoir accès aux systèmes d’information pour traiter ou utiliser des Données à Caractère Personnel (contrôle d'accès) ;
    • s’assurer que seules les personnes habilitées à accéder aux Données peuvent y avoir accès dans la limite de la Finalité pour PANACHATS les Données sont traitées. Ces personnes doivent garantir la confidentialité des Données à Caractère Personnel auxquelles elles ont accès;
    • s’assurer que les personnes autorisées à utiliser un système de traitement des données n’ont accès qu’aux seules données auxquelles elles sont autorisées à accéder, et que les Données à Caractère Personnel ne peuvent pas être lues, copiées, altérées ou supprimées sans autorisation pendant le Traitement, l’utilisation et après l'enregistrement (contrôle d'accès, principe du besoin d’en connaître) ;
    • s’assurer que les Données à Caractère Personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transport, le transfert électronique ou l’enregistrement sur des supports de stockage, et qu'il est possible de vérifier et de contrôler les personnes qui transfèrent des Données à Caractère Personnel à l'aide de moyens de transferts de données (contrôle de divulgation) ;
    • s’assurer qu'il est possible de contrôler et de vérifier si les Données à Caractère Personnel ont été ajoutées, modifiées ou supprimées des systèmes de traitement de données et si tel est le cas, par qui (contrôle d'entrée) ;
    • s’assurer que les Données à Caractère Personnel traitées pour le compte d'autrui sont en stricte conformité avec les instructions du Responsable de Traitement (contrôle des tâches) ;
    • s’assurer que les Données à Caractère Personnel sont protégées contre la destruction accidentelle ou la perte (contrôle de disponibilité) ;
    • s’assurer que les Données à Caractère Personnel collectées pour des finalités différentes peuvent être traitées séparément ;
    • S’assurer que l’anonymisation des Données est effective lorsqu’elle est requise par une loi PANACHATS pour mettre en œuvre le traitement.

    Le Collaborateur en charge du Traitement doit identifier les risques sur la vie privée des personnes engendrés par son Traitement avant de déterminer les mesures de sécurité et confidentialité adéquates pour réduire ces risques.

    Si le Traitement envisagé présente un risque élevé pour la vie privée des Personnes concernées, le Collaborateur en charge du Traitement réalise une Étude d’Impact sur la Vie Privée (EIVP) afin de déterminer les mesures de sécurité et de confidentialité nécessaires pour réduire ce risque. Le Collaborateur en charge du Traitement se réfère alors à la procédure d’analyse d’impact sur la vie privée établie par PANACHATS.

    Le niveau des mesures de sécurité nécessaires pour la protection des Données dépend de la sensibilité des données et de la Finalité du Traitement.

    2.9 Privacy by Design & by Default

    Avant l’initiation de tout projet, toute collecte de Données, tout nouveau produit ou service, ou toute nouvelle application, le Collaborateur en charge du Traitement doit prendre en compte la protection des Données à caractère personnel et se reporter à la procédure de gestion de projet de PANACHATS intégrant les exigences de Privacy by Design.

    Les Données doivent être protégées dès la conception, mais aussi tout au long du projet et tout au long du cycle de vie de la donnée (de la collecte à la destruction). Le Collaborateur en charge du Traitement doit mettre en œuvre, compte tenu des règles de l’art, toutes les mesures de sécurité techniques et organisationnelles, qui permettent d’assurer cette sécurité de bout en bout.

    2.10 Relations avec les Sous-traitants

    Lorsque le traitement est effectué par un Sous-Traitant, le Responsable de traitement doit choisir un Sous-traitant fournissant des mesures de sécurité techniques et des mesures organisationnelles suffisantes pour s'assurer que le traitement sera effectué conformément aux exigences légales.

    Le Collaborateur en charge du Traitement doit veiller à ce que le Sous-Traitant accepte par écrit les mesures de sécurité techniques et organisationnelles imposées par PANACHATS. Il devra notamment consulter le service juridique ou le DPO afin d’intégrer des clauses contractuelles types en matière de protection des données à Caractère Personnel, qui attestent de sa conformité au RGPD.

    Le Contrat doit aussi interdire au Sous-traitant de sous-traiter à son tour à un Tiers tout Traitement de Données à Caractère Personnel demandé par le Responsable de Traitement, à moins que le Responsable de Traitement n’ait expressément donné l'autorisation de le faire.

    Tout Sous-Traitant devra notamment faire l’objet d’une procédure de sélection afin que le Responsable de traitement puisse s’assurer que les exigences en matière de sécurité sont bien respectées.

    2.11 La documentation (Accountability)

    Chaque Collaborateur en charge du Traitement doit compléter et mettre à jour le registre de traitements mentionnant toutes les Finalités de Traitement de Données

    Il doit par ailleurs conserver toutes les preuves de conformité avec des lois ou réglementations devant être respectées au regard des Traitements inscrits dans le registre des traitements. Chaque Collaborateur en charge du Traitement est responsable du respect des principes exposés dans la présentes Politiques (i.e.de la licéité, de la loyauté, de la transparence des Traitements, du respect du principe de finalités, de minimisation des données, de l’exactitude des données, du respect de la durée de conservation et des mesures de sécurité) et doit être en mesure de démontrer que ces principes sont respectés et de démontrer par des preuves tangibles que toutes les mesures techniques et organisationnelles appropriées ont été prises pour limiter les risques sur la vie privée des Personnes concernées. Le respect de ces principes comprend ainsi la mise en œuvre des politiques appropriées.

    2.12 Le registre des traitements

    Le Responsable de traitement doit tenir un registre qui recense toutes ses activités de Traitements et qui précise, a minima et pour chaque traitement, les informations requises par le Règlement. Ces informations sont les suivantes :

    • Le nom et les coordonnées du Responsable de Traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du Responsable du Traitement et du DPO ;
    • Les finalités du traitement ;
    • Une description des catégories de Personnes concernées et des catégories de Données à caractère personnel ;
    • Les catégories de Destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
    • Les Transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées ;
    • Les durées de conservation prévues pour les différentes catégories de Données ;
    • Une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour le traitement en question.

    Le service juridique est responsable de la tenue du registre de PANACHATS. Avec la contribution des Collaborateurs en charge du traitement et/ou les chefs de projet il devra s’assurer que tout nouveau traitement est inscrit au registre avec les informations décrites ci-dessus. Le DPO validera les traitements renseignés et veillera à la mise à jour du registre.

    Ce registre est tenu sous forme électronique, et doit être mis à disposition de l’Autorité de contrôle sur demande.

    2.13 Données à Caractère personnel Sensibles

    PANACHATS peut être amené à collecter des Données à caractère Sensible dans le cadre de ses Traitements. Ces Données ne doivent être collectées et traitées que dans les cas suivants :

    • le consentement explicite de la Personne concernée a été obtenu pour la Finalité ;
    • le Traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ou par une convention collective conclue prévue par une réglementation spécifique PANACHATS ;
    • le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d'une autre personne physique, dans le cas où la Personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
    • le Traitement porte sur des Données à caractère personnel qui sont manifestement rendues publiques par la Personne concernée ;
    • le Traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
    • le Traitement est nécessaire pour des motifs d'intérêt public important, sur la base d’une législation nationale PANACHATS qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des Données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne concernée ;
    • le Traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ou en vertu d'un contrat conclu avec un professionnel de la santé ;
    • le Traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique ;
    • le Traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

    Le Collaborateur en charge du Traitement doit conserver la preuve du fondement légal l’autorisant à traiter les Données à caractère personnel Sensibles.

    L’accès à ces Données Personnelles Sensibles doit être limité aux collaborateurs qui en ont strictement besoin dans le cadre de leurs activités. Ces Données Personnelles Sensibles ne peuvent être utilisées que pour les Finalités pour lesquelles elles ont été collectées. Les mesures de sécurité adéquates doivent être mises en place pour empêcher la perte, la dégradation ou le vol de ces données.

    Le Responsable de Traitement est tenu de se conformer à toutes les lois et exigences locales relatives aux Données à Caractère Personnel Sensibles notamment les Données de santé et les données relatives aux infractions pénales.

    2.14 Gestion des violations de données

    Le responsable de traitement doit mettre en place un processus de gestion des violations de données afin d’analyser les causes de ces violations, d’en limiter les effets dans le temps, d’interdire leur renouvellement et d’informer la CNIL dans les 72 heures de leur constat.

    3. GOUVERNANCE DES DONNÉES : MISSIONS ET RESPONSABILITÉS

    3.1 Missions et Responsabilités du DPO

    Le DPO est le garant de la conformité des traitements de Données à caractère personnel au sein de PANACHATS.

    La mission principale du DPO est de faire en sorte que PANACHATS soit en conformité constante avec le cadre légal relatif aux Données personnelles (Règlement Européen sur la protection des données personnelles). Dans ce cadre, le DPO est soumis à une obligation de confidentialité et respecte notamment la stricte confidentialité des informations, procédures, usages, plaintes et litiges dont il a connaissance dans le cadre de son activité.

    Cet objectif est atteint au travers des missions suivantes :

    3.1.1 S’assurer de la conformité des traitements réalisés au sein de PANACHATS

    • Contrôles la mise à jour du registre des traitements ;
    • Suivre les nouveaux projets et assurer la réalisation des analyses d’impact sur la vie privée des traitements nouveaux ;
    • S’assurer de la conformité des contrats avec les tiers et sous-traitants ;
    • Suivre l'évolution de la réglementation PANACHATS pour identifier les mises à jour de la politique générale de protection des Données ;
    • Former et sensibiliser les collaborateurs sur leurs obligations en matière de traitement de Données à caractère personnel ;
    • Vérifier l’application des différentes politiques de protection des données établies par PANACHATS et les décliner dans les différents processus : RH, Marketing, Systèmes d’information ;
    • Effectuer un reporting régulier auprès de la direction sur l’état d’avancement de son activité et de sa feuille de route de conformité à la règlementation générale sur la protection des données, sur l’état d’analyse de la vie privée des données sur les projets locaux et sur tout risque identifié en matière de protection des Données à Caractère Personnel ;
    • Superviser des audits annuels internes afin de vérifier la conformité des traitements;
    • Être le point de contact de l’autorité de contrôle PANACHATS;
    • Effectuer et mettre à jour les notifications auprès de l'Autorité de protection des données PANACHATS de protection des données (DPA) lorsque cela est nécessaire

    3.1.2 Obligation de PANACHATS à l’égard du DPO

    • S’assurer que le DPO est associé en temps utile à toute question relative à la protection des Données personnelles, et notamment qu’il soit consulté pour tout nouveau projet de traitement de Données personnelles ;
    • PANACHATS fournit au DPO les ressources nécessaires à l’exercice de ses missions, qu’elles soient matérielles ou financières ;
    • PANACHATS permet au DPO d’avoir accès aux Données personnelles et aux activités de Traitement opérées au sein de PANACHATS ;
    • PANACHATS garantit l’indépendance du DPO et veille à ce qu’il ne reçoive aucune instruction dans l’exercice de ses missions ;
    • PANACHATS veille à ce que le DPO dispose d’une liberté organisationnelle et décisionnelle dans l’exercice de ses missions ;
    • PANACHATS permet au DPO peut interagir directement avec le niveau le plus élevé de la direction ;
    • Lorsque d’autres missions et tâches sont confiées au DPO, PANACHATS veille à ce que celles-ci n’entrainent pas de conflit d’intérêts ;
    • Le DPO n’endosse pas la responsabilité juridique qui pèse sur PANACHATS en ce qui concerne la conformité à la règlementation sur la protection des Données personnelles.

    3.2 Missions et responsabilités des différentes directions

    3.2.1 Des collaborateurs

    Chaque Collaborateur en charge du Traitement devra respecter les obligations suivantes vis-à vis du DPO :

    • Indiquer les coordonnées du DPO sur tous les supports de collecte des données à caractère personnel et mentions d’information (adresse postale, numéro de téléphone ou adresse électronique dédié);
    • Informer leurs équipes de l’existence d’un DPO, de son nom et de ses coordonnées ;
    • Réaliser des pré-analyses de risque sur la vie privée pour chaque traitement. Lorsqu’un risque significatif est démontré, effectuer une Étude d’impact sur la vie privée et associer le DPO dès la phase de conception dans tous les nouveaux projets de conception de produits ou services ;
    • Prendre en compte les exigences en matière de protection des Données avant tout projet.
    • Implémenter le Privacy by Design et le Privacy by Default dans tout nouveau produit ou service ;
    • Le cas échéant, documenter et justifier par écrit les raisons pour lesquelles l’avis du DPO n’a pas été suivi lorsque celui-ci a été exprimé ;
    • Répondre à toute demande d’information du DPO sur tous les sujets ayant un impact sur la vie privée des personnes ;
    • Permettre l’accès du DPO à toutes les documentations relatives aux traitements de données et aux procédures associées et mettre en place une structure documentaire permettant de faciliter cet accès ;
    • Informer le DPO de tout nouveau traitement afin que celui-ci soit inscrit dans le registre des traitements PANACHATS.

    3.2.2 Des Directions et Services

    3.2.2.1 Missions et responsabilités de la Direction des Ressources Humaines

    • Assurer une information complète aux employés et aux candidats ;
    • Garantir et suivre l’exercice des droits par les employés/candidats ;
    • Assurer une formation adéquate en droit des Données à caractère personnel aux opérationnels qui traitent des Donnée personnelles ;
    • Sélectionner les Sous-traitants de la direction RH qui présentent des garanties suffisantes en matière de protection des données ;
    • Être garant du respect de la politique RH en matière de protection des Données à caractère personnel, et la réviser de façon régulière ;
    • Tenir à jour le registre des traitements de la direction.

    3.2.2.2 Missions et responsabilités de la Direction des systèmes d’information

    • Implémenter les mesures de sécurité nécessaires (gestion des habilitations, journalisation des accès, anonymisation, chiffrement, mesures d’authentification…) ;
    • Assurer la purge des Données à la fin de leur durée de conservation ;
    • Être garant du respect des mesures de sécurité par le personnel.
    • Sélectionner les Sous-traitants d’opérations informatiques ou d’infrastructure informatique qui présentent des garanties de sécurité suffisantes en matière de protection des Données ;
    • Être garant du respect de la Politique de conservation des données, et la réviser de façon régulière
    • Tenir à jour le registre des traitements de la direction
    • Sélectionner les Sous-traitants de la direction qui présentent des garanties suffisantes en matière de protection des données
    • Assurer une information complète aux salariés, intervenants et étudiants
    • Garantir et suivre l’exercice effectif de leurs droits par les salariés, intervenants et étudiants

    3.2.2.3 Missions et responsabilités de la Direction des systèmes d’information

    • Vérifier le consentement (opt-in/opt-out) et vérifier que le consentement a été obtenu lorsque celui-ci est obligatoire ;
    • Assurer une information complète aux ayant droit
    • Sélectionner les Sous-traitants qui présentent des garanties suffisantes en matière de protection des données
    • Garantir et suivre l’exercice effectif de leurs droits par les salariés et ayant droit
    • Tenir à jour le registre des traitements du service
    • En cas de besoin, rédiger les contrats avec les sous-traitants afin d’y intégrer les clauses types de protections des données personnelles

    4. SENSIBILISATION ET FORMATION

    Le Responsable de Traitement doit s’assurer que les salariés ainsi que toutes les personnes travaillant pour PANACHATS, sont bien sensibilisés et formés aux principes de la présente Politique ainsi qu’aux exigences de toutes autres lois, réglementations, règles et procédures relatives à la protection des Données à Caractère Personnel, lorsqu’ils sont impliqués dans le Traitement de Données à Caractère Personnel.

    5. PROCÉDURES DE CONTRÔLE DE LA CONFORMITÉ

    5.1 Contrôle interne et Rapport

    Une analyse annuelle des écarts de conformité avec les principes de la Politique est mise en place.

    5.2 Contrôle externe : Audit des Sous-traitants

    PANACHATS doit mener des audits auprès de ses Sous-traitants afin de vérifier qu’ils respectent leurs obligations dans le cadre du Règlement et de la présente Politique.

    ANNEXE 1 : PAYS OFFRANT UN NIVEAU DE PROTECTION ADÉQUAT

    • Les transferts sont autorisés dans l’Union Européenne et dans l’Espace Économique Européen ce qui comprend :
      • Norvège
      • Liechtenstein
      • Islande
    • Liste des pays offrant un niveau de protection des Données à caractère personnel adéquate (cette liste est susceptible de faire l’objet d’une évolution, le Responsable de traitement doit vérifier régulièrement cette liste sur le site de la Commission européenne ou de la CNIL
      • Andorre
      • Argentine
      • Canada (uniquement pour les transferts ayant lieu dans le cadre d’activités commerciales)
      • Les Îles Féroé
      • Guernesey
      • Israël
      • L’Île de Man
      • Jersey
      • Nouvelle-Zélande
      • Suisse
      • Uruguay

    ANNEXE 2 : DÉFINITIONS

    Dans le cadre de la présente Politique et des annexes, les termes employés auront le sens qui leur est donné par la présente section :

    • « Données à Caractère Personnel/Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, N° de carte d’identité, salaire/rémunération, dossiers de santé, informations de compte bancaire, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

      La définition est délibérément très large. D’autres informations (par exemple une adresse, un lieu de travail, un numéro de téléphone, des caractéristiques physiques ou la profession) combinées seront généralement suffisantes pour identifier clairement un individu.

    • « Données à Caractère Personnel Sensibles » (exemples, liste non exhaustive) désigne les Données à Caractère Personnel telles que :

      • L'origine raciale ou ethnique, les opinions politiques ou les convictions religieuses ou philosophiques de la Personne Concernée ;
      • L’appartenance à une organisation syndicale ;
      • La santé physique ou mentale ou les conditions/vie sexuelle de la Personne Concernée ;
      • Les données soumises à une réglementation spécifique (données financières, données médicales...);
      • Les données génétiques et biométriques ;
      • La commission présumée d’infraction par la Personne Concernée ;
      • Toutes poursuites engagées pour une infraction commise ou présumée commise par la Personne Concernée, la soumission de telles poursuites ou la décision de toute juridiction dans le cadre de telles poursuites ;

    • « Personne Concernée » désigne l'individu sur PANACHATS portent les « Données à Caractère Personnel » et qui peut être identifié ou distingué des autres, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à ses caractéristiques physiques, physiologiques, mentales, économiques, comportementales, culturelles ou sociales. Cela inclut les étudiants, salariés, professeurs, prospects, intervenants, anciens étudiants, etc.

    • « Responsable de Traitement » désigne une personne qui, seule ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées. Dans la plupart des cas, il s’agira de la personne ou la société qui « possède » les Données. Être le Responsable de Traitement ne signifie pas qu’il a la propriété des données et qu’il puisse les divulguer ou les utiliser comme il l’entend.

      Au sens du Règlement Européen sur la protection des données à caractère Personnel, le Responsable de Traitement sera entendu au sens général comme l’entité incarnée par son Dirigeant, et par délégation de pouvoir expresse et écrite, les Responsables de services ou de métiers. Ces personnes seront-celles responsables au regard du Règlement Européen.

      Cependant, dans le cadre de la présente Politique, tout collaborateur qui, seul ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées sera responsable d’appliquer la présente Politique. Le terme « Collaborateur en charge du traitement » fera référence à ce collaborateur.

    • « Sous-Traitant » désigne toute personne ou société, non employée du Responsable de Traitement, qui traite des Données à Caractère Personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs). Le Responsable de Traitement doit assurer le maintien de la même obligation de diligence lorsqu'un Sous-Traitant traite des Données à Caractère Personnel en son nom et pour son compte.

    • « Traitement de Données à Caractère Personnel » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’accès, l’enregistrement, la copie, la reproduction, le transfert, la recherche, le tri, la conservation, le stockage, la séparation, le croisement, la fusion, la modification, la structuration, l’adaptation, la mise à disposition, l’utilisation, la divulgation, la diffusion, la communication, l’extraction, l’enregistrement, l’organisation, l’adaptation, la divulgation par transmission ou toute autre forme de mise à disposition, la dissimulation, le déplacement, le rapprochement, l’interconnexion, la limitation, l’effacement, la destruction ainsi que la mise en œuvre d'autres actions sur les Données, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n’étant pas exhaustive.

    • « Destinataire » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un Tiers.

    • « Consentement » de la personne concernée désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par PANACHATS la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

    • « Violation de Données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données ;

    • «Transfert de données » désigne toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau dans un pays situé hors Union Européenne, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire situé hors Union Européenne (exemple : Transfert à un fournisseur de services pour informatiser la collecte des données, plateforme informatique internationale, maintenance IT internationale, organisation d’échanges entre écoles et universités partenaires, accréditations internationales des professeurs, transmission à des organismes de presse internationaux pour le classement des grandes écoles, etc.).

    • « Importateur de Données » désigne tout Responsable de traitement, Sous-traitant ou Tiers traitant des Données personnelles qu’il reçoit du Responsable de traitement dans le cadre d’un Transferts de Données.

    • « Exportateur de Données » désigne un Responsable de Traitement, Sous-Traitant ou Tiers qui transfère des Données à caractère Personnel depuis le pays dans PANACHATS il est localisé (soit par lui-même, un Sous-traitant ou un Tiers) à un autre pays situé hors Union Européenne.

    • « Finalités de traitement » désigne l’objectif poursuivi par le Traitement de Données à caractère personnel ou l’objectif principal d’une application informatique traitant des Données personnelles. Exemples de finalité : gestion des recrutements, gestion des inscriptions aux concours, gestion des inscriptions des étudiants, vidéoprotection des locaux, gestion des prêts en médiathèque, etc.

    • «Règles d'entreprise contraignantes» ou BCR désigne les règles internes relatives à la protection des données à caractère personnel qu'applique le Responsable de Traitement établi sur le territoire d'un État membre de l’Union Européenne pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays hors Union Européenne au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe;