Politique de confidentialité des données

Politique de protection des données personnelles et de confidentialité

La présente politique de protection des données à caractère personnel décrit les règles imposées au sein de ARDENEVENT. Elle constitue un domaine prioritaire dans notre démarche de responsabilité sociale de l’entreprise (RSE). Sa formalisation traduit notre volonté d'adhérer aux exigences du référentiel de gouvernance établi par la commission nationale de l'informatique et des libertés (la CNIL).

Notre politique externe de protection de la vie privée et des données à caractère personnel s'impose à tout agent de notre établissement amené à traiter ce type de données ainsi qu'à toute personne physique ou morale externe intervenant pour notre compte dans la chaîne de traitement.

La présente politique vous informe au sujet du mode de collecte et de traitement de vos données à caractère personnel ainsi que sur la manière de définir et de garantir les rôles et responsabilités de chacun des acteurs impliqués dans leur traitement.

 

 
I. Fondamentaux
 

L’ensemble des définitions est fourni à l’article 4 du RGPD, les principales sont citées ci-dessous afin de faciliter la compréhension du présent document.

 
1. Données à caractère personnel
«Données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «Personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

C’est à dire que toute donnée permettant d’identifier une personne physique, au besoin en recourant à des informations complémentaires obtenues auprès d’un tiers est une donnée personnelle.

 

2. Traitement
«Traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l'interconnexion, la limitation, l'effacement ou la destruction;

C’est à dire toute manipulation de données personnelles est un traitement, y compris lorsqu’il s’agit de documents papier.

 
3. Fichier
«Fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

Un fichier de tableur, un répertoire papier ou bien sûr une base de données contenant les coordonnées d’individus, par exemple, constituent des fichiers de données à caractère personnel au sens du règlement.

 

4. Personne concernée
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.

Il s’agit obligatoirement d’une personne physique dont les données sont collectées et traitées. Les données propres aux personnes morales (société, entreprise, collectivité) ne rentrent pas dans le champ d’application du RGPD et par conséquent ne sont pas visées par la présente politique de gestion des données à caractère personnel.

 

II. Principes de protection de la vie privée
 

1. Finalité du traitement

  • Nos finalités sont :
  • déterminées : vos données sont recueillies pour un usage précis et bien défini ;
  • légitimes : les finalités sont en adéquation avec les normes et réglementation. Nous n'allons jamais à l'encontre de vos droits ou de vos libertés fondamentales ;
  • et explicites : les finalités sont énoncées de manière compréhensible par les personnes dont les données vont être traitées.

2. Pertinence des données
La finalité définie permet de déterminer la pertinence des données que nous allons collecter. Seules les données adéquates, pertinentes et strictement nécessaires pour atteindre la finalité seront collectées et traitées. Nous veillons à mettre à jour les données tout au long des traitements afin de maintenir leur validité.

3. Conservation limitée des données
La durée de conservation des données n’excède pas la durée nécessaire aux finalités que nous vous exposons et nous vous informons de la durée pendant laquelle nous conserverons vos données.

Nous conservons les données que vous nous avez transmises dans le cadre des traitements liés à la gestion des contrats passés avec ARDENEVENT, ainsi que pendant les durées légales applicables après la fin des contrats.

4. Accès restreint aux données
Seuls les destinataires dûment habilités peuvent accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à leurs missions. Des règles d’accès et de confidentialité strictes sont applicables aux données personnelles traitées.

Les droits d’accès sont accordés en adéquation avec la fonction de l’utilisateur et sont mis à jour en cas d’évolution ou de changement de fonction.

5. La sécurité
ARDENEVENT détermine et met en œuvre les moyens nécessaires à la protection des traitements de données à caractère personnel pour éviter les intrusions et prévenir ainsi toute perte de confidentialité, modification non désirée ou destruction de données. Nous recourons pour ce faire à des mesures d’ordre logique, physique ou organisationnel.

6. Respect des droits des personnes
Suivant cette politique, chaque formulaire de collecte de données informe la personne auprès de laquelle sont recueillies des données à caractère personnel :

  • de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • de la finalité poursuivie par le traitement auquel les données sont destinées ;
  • du caractère obligatoire ou facultatif de ses réponses ;
  • des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • des destinataires ou catégories de destinataires des données ;
  • des droits des personnes à l’égard des traitements des données à caractère personnel ;
  • de l’existence, le cas échéant, de transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
  • de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

En vertu de la législation applicable en matière de protection des données personnelles, la personne concernée dispose de plusieurs droits – ci-après listés – lui permettant d’assurer la maîtrise du traitement de données personnelles la concernant :

  • droit d'accès ;
  • droit de rectification ;
  • droit d’opposition ;
  • droit de suppression des données personnelles la concernant ;
  • droit de définir des directives concernant le sort de ses données après sa mort ;
  • droit de retirer son consentement à tout moment ;
  • droit de solliciter une limitation du traitement ;
  • droit à l’oubli et à l’effacement numérique ;
  • droit à la portabilité de ses données ;
  • droit d’introduire une réclamation auprès de la CNIL.

Ces droits peuvent être exercés auprès de ARDENEVENT par mail ou par courrier accompagné d’une photocopie de tout document d’identité signé et le cas échéant d’un mandat :

ARDENEVENT met en œuvre les moyens nécessaires pour assurer l’effectivité de leurs droits aux personnes concernées.

7. Les transferts de données
Vos données à caractère personnel peuvent être transférées, dans le cadre de la finalité poursuivie, vers un pays situé hors de l’Union Européenne.

Les destinataires ont dans ce cas uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité.

Conformément au Règlement Général sur la protection des Données (RGPD), le questionnaire  de collecte de données précise et informe la personne auprès de laquelle ont été recueillies des données à caractère personnel, de l’existence de transferts de données à caractère personnel à destination d’un État non membre de l’Union européenne.

Les transferts hors de l’Union Européenne sont strictement encadrés par les contrats de ARDENEVENT afin de garantir le niveau de protection des données à caractère personnel transférées.

 

III. Les acteurs de la protection des données
 

1. Le délégué à la protection des données
ARDENEVENT a désigné depuis le 25 mai 2018 un délégué à la protection des données (DPD), rattaché au responsable de traitement. Les missions du DPD consistent à informer et conseiller le président, assurer la conformité et la sécurité des traitements de données à caractère personnel et à être le point de contact des personnes concernées et de l’autorité de contrôle.

La position stratégique et les missions du DPD sont formalisées dans sa lettre de mission portée à la connaissance des instances représentatives et de l’ensemble de notre personnel.

 

2. La mission informatique et libertés
a. Les Relais Informatique et Libertés
Un réseau de relais Informatique et Libertés (RIL) couvre l’ensemble des traitements de notre société. Chaque RIL contribue dans sa sphère propre :

  • à l’application générale du droit de la protection des données à caractère personnel ;
  • à l’exactitude et à la complétude de la cartographie des traitements au sein du registre ;
  • au dispositif de permanence lors d’un éventuel contrôle de la CNIL ;
  • au maintien du niveau d’excellence informatique et libertés;

En particulier, pour les traitements le concernant, le RIL participe au circuit d’exercice des droits des personnes.

 

b. Le Responsable de traitement
Responsable de tout manquement au Règlement Général sur la Protection des Données qui pourrait être constaté au sein de ARDENEVENT sans s’exonérer d’aucune responsabilité civile, administrative ou pénale sur ce plan, le Président de notre établissement est garant du respect des politiques de protection interne et externe publiées.

En fournissant les moyens nécessaires, il veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL.

 

c. Les Sous-traitants
Les sous-traitants sont des prestataires externes auxquels notre société peut faire appel pour recueillir, utiliser et traiter de quelque manière que ce soit, les données personnelles pour notre compte.

Les sous-traitants sont contractuellement tenus d’appliquer notre politique de protection des données ainsi que tout autre mesure de mise en conformité déployée par ARDENEVENT .

 

Annexes

Les dix règles de ARDENEVENT pour la protection des données personnelles

Responsabilité : ARDENEVENT est responsable des traitements de données à caractère personnel qu’il met en œuvre directement ou indirectement en France et à l’étranger. En conséquence, il doit se conformer strictement au Règlement Général sur la Protection des Données.

Conformément aux exigences légales, il satisfait à ces obligations relatives à la mise en œuvre des traitements de données à caractère personnel que ces données concernent ses usagers ou ses agents.

Détermination des finalités : ARDENEVENT doit déterminer les finalités pour lesquelles il recueille des données à caractère personnel. Ses finalités doivent être légitimes et respectées pendant la durée de vie du traitement.

La finalité du traitement : doit avoir un objectif précis ; les informations traitées doivent être cohérentes ; respecter le but de la collecte annoncé lors de celle-ci.

Transparence : ARDENEVENT ne collecte pas de données à caractère personnel à l’insu des personnes concernées ou si elles s’y opposent légitimement. ARDENEVENT respecte le droit des personnes concernées par les données qu’il collecte. A ce titre il doit fournir aux personnes concernées, les informations sur la finalité du traitement, l’identité du responsable du traitement et sur l’étendue de leurs droits.
Limitation de la collecte ARDENEVENT doit se limiter au recueil des seules données à caractère personnel strictement nécessaires à l’atteinte des finalités énoncées.

Durée de conservation : ARDENEVENT veille à la mise à jour des données à caractère personnel qu’il traite tout en respectant les finalités visées. ARDENEVENT ne conserve pas de données à caractère personnel sans limitation de durée. Les durées de conservation n’excèdent pas celles nécessaires à l’atteinte des finalités visées à moins que d’autres contraintes légales ne l’imposent. Les personnes dont les données à caractère personnel sont collectées sont préalablement informées de la durée de conservation de leurs données.

Sécurité des données : ARDENEVENT détermine et met en œuvre les moyens nécessaires à la protection des systèmes de traitement de données à caractère personnel pour éviter les intrusions et prévenir ainsi toute perte de confidentialité, modification non désirée ou destruction de données.

ARDENEVENT exige de ses sous-traitants qu’ils présentent des garanties suffisantes pour assurer aux données à caractère personnel qu’il leur confie un niveau de sécurité a minima équivalent au sien.

Accès aux données personnelles : ARDENEVENT met en œuvre les moyens nécessaires pour informer toute personne qui en fait la demande de l’existence de données à caractère personnel qui la concernent et de l’usage qui en est fait. ARDENEVENT met en œuvre les moyens nécessaires pour garantir aux usagers et aux agents l’accès aux données à caractère personnel qui les concernent lorsqu’ils en font la demande. Il doit prendre toute mesure pour rectifier ou supprimer les informations erronées.

Communication et mise en œuvre de la politique de protection des données personnelles : ARDENEVENT met à disposition de ses usagers et de ses agents une information précise sur la politique de gestion des données à caractère personnel et les principes qu’elle établit. ARDENEVENT détermine et met en œuvre l’ensemble des mesures opérationnelles utiles et nécessaires pour permettre à ses services d’appliquer les principes de la politique de gestion des données à caractère personnel. A cette fin, ARDENEVENT sensibilise et forme ses services sur les principes applicables en matière de gestion des données à caractère personnel et promeut les bonnes pratiques.

Respect des principes énoncés : ARDENEVENT est pourvu d’une mission informatique et libertés, dirigée par le délégué à la protection des données, qui veille au respect des règles en matière de collecte et de traitement de données à caractère personnel énoncées dans le présent document. ARDENEVENT veille à garantir les conditions permettant au délégué à la protection des données d’exercer sa mission en toute indépendance et d’alerter le Président en cas de manquement à la loi et de violation des principes de la politique de protection des données personnelles. De même, toute personne peut informer le Président et la mission informatique et libertés du non-respect des principes énoncés ci-dessus.

Mise à jour de la politique de protection des données personnelles : Pour garantir la pérennité de sa politique de gestion des données à caractère personnel, ARDENEVENT s’assure régulièrement (a minima annuellement) de l’adéquation des principes qui la compose aux évolutions des technologies, du droit et des besoins des usagers et des tiers.