Avis de protection de la vie privée

Pilotage du respect de la vie privée

SECURE 4 ALL place son délégué à la protection des données (DPO) au cœur du pilotage opérationnel de la conformité des données et des processus permettant d’appliquer et de respecter la loi ainsi que les exigences du label CNIL en matière de gouvernance.

Ce pilotage s’appuie sur l’ensemble des acteurs de SECURE 4 ALL dont les rôles et missions se trouvent résumés ci-dessous :

Salariés de SECURE 4 ALL

  • En matière d’Informatique et Libertés comme en tout autre domaine, tout salarié de SECURE 4 ALL a pour devoir de respecter le droit.
  • Afin de contribuer en toute intelligence aux processus de maintien et de mise en conformité des traitements de données à caractère personnel, tout salarié a pour mission de :
  • participer aux actions de sensibilisation et de formation aux problématiques et principes Informatique et Libertés organisées cycliquement par le DPO et en particulier :
  • prendre connaissance des principes fondamentaux de la protection de la vie privée et du droit informatique et libertés ;
  • prendre connaissance de la conduite citoyenne à tenir dans la chaîne de traitements des données à caractère personnel ; ​
  • consulter le DPO préalablement à tout nouveau traitement (dpo(at)SECURE4ALL.eu) ;
  • lui fournir spontanément ou à sa demande expresse tout support ou information nécessaire à l’exercice de ses missions garantissant le respect à SECURE 4 ALL de la vie privé et droits fondamentaux des personnes ainsi que des contraintes légales attachées à recommandations complémentaires du référentiel de gouvernance de la CNIL auquel SECURE 4 ALL adhère ;
  • garder la rigueur et la vigilance indispensables au respect des principes de protection lors de chaque collecte ou utilisation de données à caractère personnel, informatisées ou « manuelles » (classeur papiers).

Nos Relais conformité

Un réseau de Relais conformité couvre l’ensemble des traitements, des services et départements de SECURE 4 ALL.

Chaque Relais conformité fait équipe, hors hiérarchie, avec ses collègues du réseau et contribue dans sa sphère propre :

– à l’application générale du droit Informatique et Libertés ;

– à l’exactitude et à la complétude de la cartographie des traitements et des formalités déclaratives auprès du DPO ;

– au dispositif de permanence auprès de la CNIL en cas d’absence ponctuelle du DPO lors d’un éventuel contrôle ;

– au maintien du niveau d’excellence conforme au référentiel de gouvernance de la CNIL.

En particulier, pour les traitements le concernant, le Relais conformité participe au circuit d’exercice des droits des personnes et notamment à la prise en considération des demandes d’accès, de rectification ou d’opposition (constitution des réponses à transmettre dans le respect du délai légal, avec l’aide du DPO).

Le Responsable de traitement

Responsable de traitement de SECURE 4 ALL est garante du respect des politiques de protection interne et externe telles que publiées par SECURE 4 ALL après avis par son DPO. 

En fournissant notamment les moyens nécessaires, elle veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL auquel SECURE 4 ALL a volontairement choisi de souscrire. 

Il garantit en particulier la totale intégration du DPO dans les circuits de validation de l’ensemble des activités liées à la protection des données.

Le Délégué à la protection des données (dit DPO)

Notre DPO pilote le maintien de la conformité de l’ensemble des traitements. Avec le concours des RIL et de tous les autres acteurs internes, il établit une cartographie détaillée de chaque traitement mis en œuvre par ou pour SECURE 4 ALL. 

Il programme régulièrement des actions de sensibilisation à destination de l’ensemble du personnel afin d’améliorer continûment la qualité de nos processus au regard du respect de votre vie privée et de vos droits fondamentaux. 

Enfin, potentiellement associé aux contrôles de la CNIL, notre DPO a mis en place les procédures permettant à SECURE 4 ALL d’être en situation de transparence et d’apporter les preuves de notre grand respect de la vie privée de tous.

Nous sommes parés en permanence notamment à l’éventualité d’accueillir à tout moment la délégation de contrôle de la commission nationale. C’est là un gage de conduite citoyenne et responsable ainsi qu’un facteur de confiance en nos procédures de prise en charge des données que vous nous confiez.   

Les grandes lignes de notre méthode de conformité dynamique

SECURE 4 ALL met tout en œuvre pour garantir la conformité juridique de ses traitements de données à caractère personnel. Elle applique de manière préventive à vos données des mesures de sécurité, tant physiques que logiques, permettant de garantir leur intégrité, leur confidentialité, leur disponibilité, leur non répudiation et l’authentification qui y est attachée. Elle opère une révision triennale des risques attachés à chaque traitement sensible effectué. 

SECURE 4 ALL étudie en amont l’impact sur la vie privée de la mise en œuvre des traitements. Cela conduit à des solutions conformes dès leur livraison aux contraintes légales, et qui évitent en phase d’exploitation, de par leur conception même, la rupture de la chaîne de conformité.

Tout au long du cycle de vie des services et des systèmes d’information internes et de ceux qu’elle propose à ses adhérents et, en particulier dès leur conception, SECURE 4 ALL prend en compte la protection des données à caractère personnel ainsi que l’ensemble des exigences Informatique et Libertés (principe de Privacy by default/design). Elle intègre ce principe dans son kit des marchés publics ainsi que dans l’ensemble de ses processus de construction et de maintenance de son offre « système d’information » et, au final, dans sa démarche qualité pour tout domaine d’activités impliquant l’emploi de données à caractère personnel.                        

Gestion de vos traces sur notre système d’information  

Un plan de contrôle strict de la journalisation des incidents de sécurité et de la politique générale des traces est en vigueur à SECURE 4 ALL. La procédure mobilisée intègre, également sur ce plan, les grands principes de la protection de votre vie privée ainsi que de vos données à caractère personnel. 

Ainsi, n’utilisant les données vous concernant que pour les strictes finalités pour lesquelles elles sont collectées et dont vous pouvez prendre connaissance en exerçant votre droit d’accès comme tout précédemment indiqué, SECURE 4 ALL n’effectue aucun rapprochement de fichiers de traces.  

En prévention de risques contre la sécurité de notre système d’information et dans le plus grand respect des principes de transparence et de proportionnalité, notre procédure inclut la conservation de traces de flux d’informations globales ou nominatives circulant sur le réseau afin de rendre possible, au besoin, leur analyse postérieure pour la détermination de l’origine d’éventuels incidents ou leur résolution. Cette conservation prévisionnelle ne va  jamais au-delà des délais légaux et normatifs prescrits. 

Vous trouverez finalement, en fin de nos mentions légales, les indications concernant nos statistiques de visites ainsi que l’utilisation de traceurs (cookies).

Procédures de gestion et de notification d’une éventuelle violation

Si, par extraordinaire, une violation de donnée à caractère personnel devait survenir malgré les mesures de sécurité éprouvées mise en place à SECURE 4 ALL, nos acteurs de la sécurité des systèmes d’information en informeraient notre délégué à la protection des données (DPO) en lui indiquant, notamment, la nature de la violation, au plus tard 24 heures après sa détection. Et notre DPO vous notifierait cette violation dans un délai maximal de 72 heures s’il s’agissait de vos données.

Cette volonté de respect et de transparence s’inscrit dans nos procédures spécifiques de notification et de gestion d’une éventuelle violation. Au-delà de leurs aspects préventifs, ces procédures intègrent un volet curatif prévoyant, au cas échéant, la formulation immédiate d’un plan d’actions adapté, sous l’impulsion du DPO et l’égide du Directrice de SECURE 4 ALL.