Politique de confidentialité

Publication et fréquence de réactualisation de notre politique de confidentialité

La présente politique fait l’objet d’une réactualisation/validation en cas de changement de délégué à la protection des données, ou bien du cadre légal ou du référentiel CNIL auxquels elle se réfère et, a minima, tous les trois ans.

Date de dernière réactualisation/validation de cette publication : 19 mai 2020.               

Notre politique externe de confidentialité     

Notre politique externe de protection de la vie privée et des données à caractère personnel s’impose à tout salarié de SECURE 4 ALL amené à manipuler ce type de données ainsi qu’à toute personne physique ou morale externe intervenant pour notre compte dans la chaîne de traitements.

La formalisation de cette politique et sa publication traduisent notre volonté d’adhérer à toutes les exigences du référentiel de gouvernance établi par la commission nationale de l’informatique et des libertés (la CNIL).

Notre politique de protection est diffusée afin d’informer toute personne extérieure (dont les données sont traitées par SECURE 4 ALL) de ses droits fondamentaux et de l’attitude responsable de notre personnel.

Cette politique a été au préalable validée par notre délégué à la protection des données (DPO).

Nous respectons les grands principes de protection de la vie privée et des données à caractère personnel :

  • Finalité déterminée : vos données sont recueillies pour un usage précis et bien défini à SECURE 4 ALL ;
  • Finalité explicite : les finalités sont énoncées a priori de manière compréhensible par les personnes dont les données vont être traitées ; si tel n’était pas le cas pour vous s’agissant de vos propres données, nous vous invitons à nous contacter à l’adresse dpo(at)SECURE4ALL.eu pour toute clarification ou complément d’explication nécessaire ;
  • Finalité licite : nous n’allons jamais à l’encontre de la loi, ni de vos droits ou de vos libertés fondamentales ;

Données ajustées/proportionnées aux finalités: Nous veillons à ce que les données collectées soient adéquates, pertinentes et strictement nécessaires à la finalité déclarée ;​

Accès restreint aux données : vos données sont traitées de manière confidentielle et divulguées uniquement aux personnes habilitées à en prendre connaissance dans le cadre de leurs missions ;

Sécurité physique et logique : SECURE 4 ALL prend toutes les précautions utiles, au regard de la nature des données et des risques induits par le traitement, pour préserver la sécurité des données et, notamment, éviter qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés n’y aient accès ;

Information pour chaque traitement vous concernant :

– Nous vous informons de l’existence de toute collecte de données effectuée par ou pour SECURE 4 ALL en nous identifiant et en vous indiquant la finalité que nous poursuivons ainsi que le caractère obligatoire ou facultatif de vos réponses et, le cas échéant, les conséquences d’un défaut de réponse ;

– Lorsqu’il y en a, nous vous signalons les partenaires destinataires de vos données ;

– Nous vous rappelons vos droits ainsi que les canaux vous permettant de les exercer : vous pouvez si vous le souhaitez accéder à vos données, les faire rectifier et même vous opposer à ce qu’elles fassent l’objet d’un traitement, dès lors qu’une obligation contractuelle ou légale n’impose pas ce traitement (auquel cas nous vous exposons et explicitons au besoin cette obligation) ;

Transfert de données : Nous ne transférons pas vos données à caractère personnel hors de France.

Notre délégué à la protection des données (dit DPO)             

La mission de notre délégué à la protection des données (DPO) consiste à veiller au respect du droit Informatique et Libertés au sein de l’organisme.

A SECURE 4 ALL nous avons volontairement opté pour un DPO à « désignation étendue » ce qui signifie qu’il se consacre à la conformité de la totalité de nos traitements de données à caractère personnel vis-à-vis des contraintes légales. Nous nous employons à suivre sa démarche et ses conseils afin de répondre aux exigences de la CNIL.

Nous avons également renforcé sa position stratégique par :

–    son rattachement direct et exclusif à la Directrice de SECURE 4 ALL tout en respectant le principe d’indépendance en vertu duquel le DPO ne peut recevoir d’instruction de quiconque dans l’exercice de ses fonctions ;

–    son intégration au comité de direction avec possibilité pour lui de mettre à l’ordre du jour un point Informatique et Libertés dès qu’il le juge nécessaire ;

–    son positionnement en transverse à tous les services sur lesquels il exerce une autorité fonctionnelle concernant les sujets Informatiques et Libertés (cette autorité se traduisant notamment par l’accès à toute information en lien avec l’exercice de ses fonctions) ; 

–    un pouvoir de communiquer avec toute personne quelle que soit sa hiérarchie et en dehors de celle-ci ; 

–    l’obtention en tant que de besoin de la collaboration du responsable de la sécurité des systèmes d’Information, du département de production des solutions SI qu’offre SECURE 4 ALL à ses adhérents, du service des ressources informatiques internes et logistiques, du pôle communication ainsi que du service juridique.

Cette position stratégique et les missions du DPO sont formalisées dans sa lettre de mission portée à la connaissance des instances représentatives et de l’ensemble de notre personnel afin que nul n’en ignore.

Ce rôle central que nous avons confié à notre DPO nous conduit à entretenir régulièrement ses compétences d’organisation et de communication ainsi que ses connaissances juridiques et techniques bien au-delà de sa participation à des ateliers de la CNIL.

Afin d’asseoir son indépendance, un budget annuel lui est alloué dont il arrête seul les décisions d’utilisation. Ce budget est fixé en adéquation avec ses missions qu’il assure à temps plein.

Le DPO actuellement désigné à SECURE 4 ALL est notre Directeur Juridique

Pilotage de la confidentialité de nos traitements

SECURE 4 ALL place son délégué à la protection des données (DPO) au cœur du pilotage opérationnel de la conformité des données et des processus permettant d’appliquer et de respecter la loi ainsi que les exigences du label CNIL en matière de gouvernance.

Ce pilotage s’appuie sur l’ensemble des acteurs de SECURE 4 ALL dont les rôles et missions se trouvent résumés ci-dessous :

Salariés de SECURE 4 ALL

  • En matière d’Informatique et Libertés comme en tout autre domaine, tout salarié de SECURE 4 ALL a pour devoir de respecter le droit.
  • Afin de contribuer en toute intelligence aux processus de maintien et de mise en conformité des traitements de données à caractère personnel, tout salarié a pour mission de :
  • participer aux actions de sensibilisation et de formation aux problématiques et principes Informatique et Libertés organisées cycliquement par le DPO et en particulier :
  • prendre connaissance des principes fondamentaux de la protection de la vie privée et du droit informatique et libertés ;
  • prendre connaissance de la conduite citoyenne à tenir dans la chaîne de traitements des données à caractère personnel ; ​
  • consulter le DPO préalablement à tout nouveau traitement (dpo(at)SECURE4ALL.eu) ;
  • lui fournir spontanément ou à sa demande expresse tout support ou information nécessaire à l’exercice de ses missions garantissant le respect à SECURE 4 ALL de la vie privé et droits fondamentaux des personnes ainsi que des contraintes légales attachées à recommandations complémentaires du référentiel de gouvernance de la CNIL auquel SECURE 4 ALL adhère ;
  • garder la rigueur et la vigilance indispensables au respect des principes de protection lors de chaque collecte ou utilisation de données à caractère personnel, informatisées ou « manuelles » (classeur papiers).

Nos Relais conformité

Un réseau de Relais conformité couvre l’ensemble des traitements, des services et départements de SECURE 4 ALL.

Chaque Relais conformité fait équipe, hors hiérarchie, avec ses collègues du réseau et contribue dans sa sphère propre :

– à l’application générale du droit Informatique et Libertés ;

– à l’exactitude et à la complétude de la cartographie des traitements et des formalités déclaratives auprès du DPO ;

– au dispositif de permanence auprès de la CNIL en cas d’absence ponctuelle du DPO lors d’un éventuel contrôle ;

– au maintien du niveau d’excellence conforme au référentiel de gouvernance de la CNIL.

En particulier, pour les traitements le concernant, le Relais conformité participe au circuit d’exercice des droits des personnes et notamment à la prise en considération des demandes d’accès, de rectification ou d’opposition (constitution des réponses à transmettre dans le respect du délai légal, avec l’aide du DPO).

Le Responsable de traitement

Responsable de traitement de SECURE 4 ALL est garante du respect des politiques de protection interne et externe telles que publiées par SECURE 4 ALL après avis par son DPO. 

En fournissant notamment les moyens nécessaires, elle veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL auquel SECURE 4 ALL a volontairement choisi de souscrire. 

Il garantit en particulier la totale intégration du DPO dans les circuits de validation de l’ensemble des activités liées à la protection des données.

Le délégué à la protection des données (dit DPO)

Notre DPO pilote le maintien de la conformité de l’ensemble des traitements. Avec le concours des RIL et de tous les autres acteurs internes, il établit une cartographie détaillée de chaque traitement mis en œuvre par ou pour SECURE 4 ALL. 

Il programme régulièrement des actions de sensibilisation à destination de l’ensemble du personnel afin d’améliorer continûment la qualité de nos processus au regard du respect de votre vie privée et de vos droits fondamentaux. 

Enfin, potentiellement associé aux contrôles de la CNIL, notre DPO a mis en place les procédures permettant à SECURE 4 ALL d’être en situation de transparence et d’apporter les preuves de notre grand respect de la vie privée de tous.

Nous sommes parés en permanence notamment à l’éventualité d’accueillir à tout moment la délégation de contrôle de la commission nationale. C’est là un gage de conduite citoyenne et responsable ainsi qu’un facteur de confiance en nos procédures de prise en charge des données que vous nous confiez.   

Les grandes lignes de notre méthode de conformité dynamique

SECURE 4 ALL met tout en œuvre pour garantir la conformité juridique de ses traitements de données à caractère personnel. Elle applique de manière préventive à vos données des mesures de sécurité, tant physiques que logiques, permettant de garantir leur intégrité, leur confidentialité, leur disponibilité, leur non répudiation et l’authentification qui y est attachée. Elle opère une révision triennale des risques attachés à chaque traitement sensible effectué. 

SECURE 4 ALL étudie en amont l’impact sur la vie privée de la mise en œuvre des traitements. Cela conduit à des solutions conformes dès leur livraison aux contraintes légales, et qui évitent en phase d’exploitation, de par leur conception même, la rupture de la chaîne de conformité.

Tout au long du cycle de vie des services et des systèmes d’information internes et de ceux qu’elle propose à ses adhérents et, en particulier dès leur conception, SECURE 4 ALL prend en compte la protection des données à caractère personnel ainsi que l’ensemble des exigences Informatique et Libertés (principe de Privacy by default/design). Elle intègre ce principe dans son kit des marchés publics ainsi que dans l’ensemble de ses processus de construction et de maintenance de son offre « système d’information » et, au final, dans sa démarche qualité pour tout domaine d’activités impliquant l’emploi de données à caractère personnel.                        

Le circuit pour exercer vos droits    

Procédure, pilotage et outils d’aide à la gestion de vos réclamations

Vous disposez d’un droit d’accès aux données vous concernant et il vous est loisible d’en obtenir la rectification ou d’exercer votre droit d’opposition, effacement (droit à l’oubli), limitation du traitement, portabilité et gestion post mortem en envoyant par voie postale un courrier  au Délégué à la protection des données de SECURE 4 ALL :

Délégué à la protection des données – DPO

SECURE 4 ALL – SECURE 4 ALL, 305 ALL DE CRAPONNE 13300 SALON-DE-PROVENCE    

N’oubliez pas de justifier de votre identité en joignant à votre demande signée une photocopie de tout document d’identité officiel comportant votre nom, vos prénoms, votre date et votre lieu de naissance. 

Mentionnant notamment les modalités d’exercice, la chaîne de traitement et les délais de communication, la procédure de gestion des demandes relatives à l’exercice des droits des personnes comporte la tenue d’un journal.

Cette procédure est mise en ligne sur notre intranet à la disposition de tous les acteurs internes, notamment les relais ou référents Informatique et Libertés appelés à l’appliquer.

La gestion des réclamations et des demandes relatives à l’exercice des droits des personnes est pilotée par notre DPO en mode guichet unique. Il lui sera transmis toute demande, même mal adressée, par exemple suite à une erreur de routage ou au manque d’information préalable du demandeur. 

Le DPO redistribue chaque demande aux référents internes concernés, suit le traitement qui y est apporté et s’assure du respect d’un délai de réponse de deux mois maximum.

La procédure en ligne vise donc à la fois l’interne et l’externe. Aussi comporte-elle des modèles de courrier de demande et des modèles de réponse aux demandes formulées, ainsi que des outils d’aide à la gestion des réclamations tels que des liens de modélisation et de formalisation des tâches.