Introduction
Aixam Mega (la « Société ») respecte la confidentialité et apprécie la confiance de ses clients, de ses employés et de ses partenaires commerciaux. La Société respecte les principes de légalité, d’équité, de transparence, de limitation des fins, de minimisation des données, d’exactitude, de limitation de la conservation, d’intégrité, de confidentialité, de légalité du traitement, de notification, de choix, de transfert ultérieur, de sécurité, d’accès, de correction, d’effacement, de portabilité et de l’application requis en vertu des lois, règles et règlements applicables, notamment le RGPD.
La présente déclaration de confidentialité (la « Déclaration ») énonce les principes de confidentialité suivis par la société.
Cadre
La présente Déclaration s’applique aux données à caractère personnel reçues par la Société sous n’importe quel format, notamment électronique, papier ou verbale.
Définitions
Sauf indication contraire dans la présente Déclaration, les termes commençant par une majuscule ont le sens indiqué dans les présentes.
« Agent » désigne une organisation tierce qui effectue des tâches pour le compte de la Société et en suivant ses instructions.
« Contrôleur des données » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les fins et les moyens du traitement des données à caractère personnel.
« Responsable du traitement des données » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme traitant des données à caractère personnel pour le compte du Contrôleur des données.
« Personne concernée » désigne une personne physique identifiée ou identifiable dont les données à caractère personnel sont collectées et traitées par un Contrôleur des données ou un Responsable du traitement des données.
« APD » désigne les autorités européennes de protection des données.
« PFPDT » désigne le Préposé fédéral à la protection des données et à la transparence suisse.
« RGPD » désigne le règlement général sur la protection des données de 2016.
« Tiers non-agent » désigne tout tiers qui n’est pas un Agent.
« Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, de l’information sur la localisation, un identifiant en ligne ou un ou plusieurs facteurs physiques, physiologiques, génétiques, mentaux, économiques, culturels ou sociaux spécifiques à cette personne.
« Autorités de protection de la vie privée » désigne les APD, le PFPDT et les autorités de supervision.
« Traitement » désigne toute opération ou ensemble d’opérations effectués sur des données personnelles ou sur des ensembles de données à caractère personnel, que ce soit par voie automatisée, par exemple par collecte, enregistrement, organisation, structuration, stockage, adaptation ou altération, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre forme de mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.
« Archives publiques » désigne les informations détenues par des agences ou des organismes gouvernementaux dont la consultation publique est généralement autorisée.
« Données à caractère personnel sensibles » désigne les données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, idéologiques ou philosophiques, les affiliations, les opinions ou les activités syndicales, l’orientation sexuelle ou les données à caractère personnel relatives aux états de santé, la sexualité personnelle ou la vie sexuelle, ou les données à caractère personnel relatives à des mesures de sécurité sociale ou à des procédures administratives ou pénales, à des sanctions, à des infractions ou à des condamnations pénales. Les données à caractère personnel sensibles comprennent également les numéros d’identification nationaux lorsque la loi applicable prévoit expressément que les numéros d’identification nationaux sont inclus dans leur définition. La Société traitera comme sensible toute information reçue d’un tiers lorsque le tiers la traite et l’identifie comme sensible.
« Autorité de surveillance » désigne une autorité publique indépendante établie par un État membre de l’UE.
Principes de confidentialité
Les principes de confidentialité de la Société sont :
Légalité, équité et transparence
Lorsque la Société collecte des données à caractère personnel, celles-ci seront traitées de manière légale, équitable et transparente en rapport à la personne concernée.
Limitation des fins
Lorsque la Société collecte des données à caractère personnel, celles-ci seront collectées à des fins précises, explicites et légitimes, et elles ne seront pas traitées ultérieurement d’une manière incompatible avec ces fins.
Minimisation des données
Lorsque la Société collecte des données à caractère personnel, celles-ci seront adéquates, pertinentes et limitées aux éléments nécessaires aux fins pour lesquelles elles sont traitées.
Exactitude
Lorsque la Société collecte des données à caractère personnel, celles-ci seront exactes et, si nécessaire, actuelles ; toutes les mesures raisonnables seront prises pour s’assurer que les données à caractère personnel inexactes, compte tenu des fins pour lesquelles elles sont traitées, sont effacées ou corrigées sans délai.
Limitation de la conservation
Lorsque la Société collecte des données à caractère personnel, celles-ci seront conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux fins pour lesquelles elles sont traitées.
Intégrité et confidentialité
Lorsque la Société collecte des données à caractère personnel, celles-ci seront traitées de manière à assurer leur sécurité, notamment la protection contre les traitements non autorisés ou illicites et contre les pertes, les destructions ou les dommages accidentels, par le biais de mesures techniques ou organisationnelles appropriées.
Légalité du traitement
Tout traitement sera effectué de manière légale. La Société et les Agents ou Tiers non-agents traiteront les données à caractère personnel uniquement si au moins l’une des conditions suivantes s’applique, et dans leur stricte mesure : (1) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs fins spécifiques ; (2) le traitement est nécessaire à l’exécution d’un contrat incluant la Personne concernée ou pour prendre des mesures à la demande de la Personne concernée avant la conclusion d’un contrat ; (3) le traitement est nécessaire au respect d’une obligation légale à laquelle le Contrôleur est soumis ; (4) le traitement est nécessaire à la protection des intérêts vitaux de la Personne concernée ou d’une autre personne physique ; (5) le traitement est nécessaire à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dévolue au contrôleur ; et (6) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Contrôleur ou un tiers, sauf si ces intérêts sont supplantés par les intérêts ou les libertés et droits fondamentaux de la Personne concernée qui exigent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.
Avis
Lorsque la Société collecte des données à caractère personnel auprès d’individus dans l’UE, l’EEE ou la Suisse, elle les informera : (1) des destinataires des données à caractère personnel, (2) de leur obligation de répondre aux questions et des conséquences d’une absence de réponse, (3) de l’existence des droits d’accès et de correction de leurs données personnelles, (4) des fins pour lesquelles elle collecte et utilise des données personnelles les concernant, (5) des types de Tiers non-agents à laquelle la Société divulgue ces données, (6) des choix et des moyens pour limiter l’utilisation et la divulgation des données à caractère personnel les concernant, (7) de la manière de contacter la Société, et (8) elle obtiendra leur consentement préalable à cette collecte de données. Un avis sera donné de façon visible et dans un langage clair lorsqu’il sera demandé pour la première fois aux personnes de fournir des données à caractère personnel, ou dès que possible par la suite, et, dans tous les cas, avant que la Société n’utilise ou ne divulgue ces données à d’autres fins que celles pour lesquelles elles ont été collectées à l’origine.
Choix
La Société donnera aux individus la possibilité de consentir (accepter) de façon positive et explicite à la divulgation de leurs données à caractère personnel et sensibles à un Tiers non-agent ou à l’utilisation de leurs données à caractère personnel ou sensibles à d’autres fins que celles pour lesquelles elles ont été collectées à l’origine ou celles ultérieurement autorisées par l’individu.
La Société fournira aux individus des mécanismes facilement disponibles, abordables et raisonnables pour exercer leurs choix. Concernant les données à caractère personnel liées à l’emploi, la Société prendra des mesures raisonnables pour répondre aux préférences de confidentialité des employés. Celles-ci peuvent inclure, par exemple, la restriction de l’accès aux données, l’anonymisation de certaines données ou l’attribution de codes ou de pseudonymes lorsque les noms réels ne sont pas requis aux fins de gestion en question.
Transfert ultérieur
Lorsque la Société transfère des données à caractère personnel à un Tiers ou à un Tiers non-agent en dehors de l’UE, la Société conclura un accord écrit avec ce tiers, qui intégrera les clauses contractuelles standard adoptées par l’UE aux fins d’établir que ces Agents et les Tiers non-agents établissent et maintiennent des niveaux de protection adéquats pour les données à caractère personnel qui leur sont transférées.
Sécurité
La Société prendra des mesures raisonnables pour protéger les données à caractère personnel en sa possession contre la perte, les abus, l’accès non autorisé, la divulgation, l’altération et la destruction, et prendra toutes les précautions utiles concernant la nature des données et les risques liés au traitement, pour préserver la sécurité des données et, en particulier, empêcher leur altération et leur détérioration ou l’accès par des tiers non autorisés. La Société a mis en place des procédures techniques, physiques et organisationnelles, ainsi que des mesures de sécurité conçues pour protéger et sécuriser les données à caractère personnel contre la destruction, la perte, l’altération, l’accès non autorisé, la divulgation ou toute autre forme de traitement non autorisée ou illicite proportionnellement aux risques posés par le type particulier de traitement, la nature des données à caractère personnel et conformément à la loi applicable, en tenant compte du coût de la mise en œuvre de ces mesures. La Société ne peut pas garantir la sécurité des données à caractère personnel stockées sur Internet ou transmises via Internet.
La Société se conformera aux lois, règles et réglementations locales applicables en matière de divulgation et de notification des violations de données (RGPD).
Accès
À la demande d’un individu, qui peut être soumise en remplissant ce formulaire, la Société lui accordera un accès raisonnable à ses données à caractère personnel. Cet accès comprendra : (1) la confirmation du traitement ou non des données personnelles le concernant ; (2) les fins du traitement ; (3) les catégories de données à caractère personnel concernées ; (4) les destinataires ou les catégories de destinataires auxquels les données de traitement ont été ou seront divulguées, en particulier les destinataires dans d’autres pays ou des organisations internationales ; (5) si possible, la période prévue de conservation des données à caractère personnel ou, en cas d’impossibilité, les critères utilisés pour déterminer cette période ; (6) l’existence du droit de demander à la Société de corriger ou d’effacer des données à caractère personnel ou de restreindre le traitement des données personnelles de la personne concernée ou de s’opposer à ce traitement ; (7) le droit de déposer une réclamation auprès d’une Autorité de surveillance ; (8) des informations sur la source des données, s’il ne s’agit pas directement de la personne concernée ; (9) si les données à caractère personnel feront l’objet d’un traitement automatisé, notamment à des fins de profilage et, le cas échéant, la logique et les conséquences potentielles impliquées ; et (10) si les données sont transférées dans un autre pays ou à une organisation internationale, des informations sur les garanties applicables.
Concernant les données à caractère personnel liées à l’emploi, la Société se conformera aux réglementations locales et veillera à ce que les employés de l’UE, de l’EEE et suisses aient accès aux informations requises par la loi dans leur pays d’origine, indépendamment du lieu de traitement et de stockage. Si le traitement de données concernant des données à caractère personnel liées à l’emploi a lieu aux États-Unis, la Société coopérera pour fournir cet accès soit directement, soit par l’intermédiaire de l’employeur de l’UE, de l’EEE ou suisse.
Correction
À la demande de la personne concernée, ses données à caractère personnel collectées par la Société seront corrigées et les données à caractère personnel incomplètes seront complétées selon les informations fournies par la personne concernée. Si besoin, la Société prendra des mesures pour faire valider les données par la personne concernée, afin de s’assurer de leur exactitude avant de les modifier.
Effacement
À la demande de la personne concernée, ses données à caractère personnel collectées par la Société seront effacées sans retard injustifié, à condition que l’une des conditions suivantes s’applique : (1) les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ; (2) la personne concernée retire son consentement et il n’existe aucun autre motif juridique de traitement ; (3) la personne concernée s’oppose au traitement des données personnelles ; (4) les données à caractère personnel ont été traitées de manière illicite ; (5) les données personnelles doivent être effacées pour le respect d’une obligation légale de la Société ; ou (6) lorsque les données à caractère personnel étaient pertinentes pour la personne concernée lorsqu’elle était enfant.
Portabilité
À la demande de la personne concernée, ses données à caractère personnels collectées par la Société lui seront fournies de manière structurée, communément utilisée et lisible par machine ou ses données à caractère personnel seront transférées à un tiers.
Application
La Société utilisera une méthode d’auto-évaluation pour vérifier sa conformité avec la présente Déclaration et elle vérifiera périodiquement que la Politique est exacte, complète en ce qui concerne les informations à couvrir, affichée de façon visible, mise en œuvre et accessible.
La Société encourage les personnes intéressées à exprimer leurs préoccupations en utilisant les coordonnées fournies dans la présente Déclaration. La Société enquêtera et tentera de résoudre toute réclamation et tout litige concernant l’utilisation et la divulgation des données à caractère personnel conformément à cette Déclaration. Tout employé de la Société que la Société estime être en violation de la présente Déclaration fera l’objet de mesures disciplinaires pouvant aller jusqu’au licenciement.
La Société devra (1) fournir un recours aux personnes concernées pour ce qui concerne l’application de la présente Déclaration ; (2) fournir des procédures de suivi pour vérifier que les attestations et les affirmations de la Société relatives à ses pratiques de confidentialité sont vraies ; et (3) remédier aux problèmes découlant de l’incapacité de la Société à se conformer à la présente Déclaration. Lorsque la Société doit ou décide de coopérer avec le RGPD, ou toute autre loi ou règlement applicable, dans le cadre de l’application de la présente Déclaration (par exemple, concernant les réclamations alléguant une violation des droits de protection des données à caractère personnel d’un employé de la Société dans l’UE, l’EEE ou en Suisse, pour ce qui est des données à caractère personnel relatives à l’emploi), la Société respectera son engagement en vertu des clauses (1) et (3) du présent paragraphe comme suit :
Règlement des litiges
En conformité avec la présente Déclaration, la Société s’engage à résoudre les réclamations relatives à la confidentialité, à la collecte et à l’utilisation des données à caractère personnel. La Société a nommé un Délégué à la protection des données en charge des pratiques de confidentialité de la Société. Pour toute question ou réclamation concernant la présente Déclaration, nous vous invitons à contacter le Délégué à la protection des données de la Société par courrier électronique à aixam@aixam-mega.fr, ou par la voie postale indiquée ci-dessous.
Pour les litiges concernant des données à caractère personnel relatives à l’emploi impliquant la Société dans l’UE, l’EEE ou la Suisse, ou lorsque des employés de l’UE, de l’EEE ou de Suisse se plaignent de violations de leurs droits de protection des données et ne sont pas satisfaits des résultats des procédures internes d’audit, de réclamation et d’appel de la Société (ou de toute procédure de réclamation applicable en vertu d’un contrat avec un syndicat), ces litiges seront redirigées vers les Autorités de protection de la vie privée nationale ou départementale, ou vers l’autorité du travail compétente dans la juridiction où l’employé travaille. Cela inclut les cas où le mauvais usage allégué des données à caractère personnel a eu lieu aux États-Unis, relève de la responsabilité de l’organisation américaine qui a reçu les données de l’employeur de l’UE, de l’EEE ou de la Suisse, et qui impliquent donc une violation présumée de la présente Déclaration. La Société s’engage donc à coopérer dans les enquêtes et à se conformer aux avis des Autorités de protection de la vie privée et des autorités du travail de l’UE, de l’EEE et de la Suisse et d’autres autorités compétentes dans ces cas précis, et à participer aux procédures de règlement des litiges du groupe d’experts mis en place par les Autorités de protection de la vie privée, les autorités du travail et d’autres autorités.
Modifications apportées à la présente déclaration
La présente Déclaration peut être modifiée de temps à autre, conformément aux exigences de la loi applicable. Un avis sera affiché par la Société sur son site Internet accessible à l’adresse www.aixam.com lorsque la présente Déclaration sera modifiée.
Autres politiques
La Société a d’autres politiques qui peuvent être applicables aux données à caractère personnel entrant dans le cadre de la présente Déclaration. Ces politiques peuvent différer de la présente politique.
Coordonnées
Les questions, les commentaires ou les communications concernant la présente Déclaration peuvent être soumis à la Société par courrier à :
Aixam
56 Route de Pugny
73101 Aix Les Bains CEDEX 01
A l’attention de la Déléguée à la protection des données
Ou par email à: aixam@aixam-mega.fr