RESPONSABLE DE TRAITEMENT / SOUS-TRAITANT
En traitant les données personnelles, RSi peut agir en tant que « responsable de traitement » ou de « sous-traitant » selon les termes du RGPD.
Un responsable de traitement est une organisation qui détermine (c’est-à-dire prend des décisions) comment et pourquoi des données à caractère personnel sont traitées. RSi sera un responsable de traitement en rapport avec les données à caractère personnel de ses employés et des candidats à un recrutement, mais également vis-à-vis de ses clients (les contacts professionnels individuels des entreprises clientes d’RSi) pour lesquels RSi procède au traitement de leurs données à caractère personnel, par exemple pour le CRM, le marketing, la facturation et aux fins d’un site Web.
Un sous-traitant est une organisation qui agit sur instruction d’un responsable de traitement pour effectuer un traitement pour le compte du sous-traitant. En règle générale, RSi agira comme un sous-traitant dans la fourniture de services à ses clients, vis-à-vis desquels il peut avoir besoin d’héberger, d’analyser ou de transférer des données à caractère personnel des membres du système de fidélisation de ses clients, consommateurs, etc. RSi utilisera également ses propres sous-traitants. Il peut s’agir de traiter des données à caractère personnel pour lesquelles RSi est le responsable de traitement (par exemple, lorsque RSi fait appel à une société tierce responsable du traitement de la paie, ou à un fournisseur d’automatisation marketing). Toutefois, il peut également s’agir de traiter des données client dans le cadre de la fourniture de services à des clients, c’est-à-dire lorsque RSi sous-traite une partie d’un contrat client à un tiers. Dans ces circonstances, RSi sera le sous-traitant principal et le tiers sera un « sous-traitant ultérieur ».
Remarque : Toutes les relations entre un responsable de traitement et un sous-traitant (ou entre un responsable de traitement et un sous-traitant ultérieur) doivent être régies par un accord écrit comportant certaines conditions obligatoires. Il est important de souligner que cela inclut les contrats clients où RSi peut être en cours de traitement de l’une quelconque des données à caractère personnel du client. Nous vous invitons à prendre contact avec le Responsable de la protection des données d’RSi (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected] pour de plus amples informations et pour prendre connaissance des conditions contractuelles adaptées à la situation.
AVIS
RSi s’engage à mentionner un avis partout où nous traitons des données à caractère personnel d’une personne physique, notamment en ce qui concerne nos clients, employés et candidats à un recrutement. Lorsque cela est possible, il sera mis à disposition un lien permettant en un clic de visualiser l’avis de confidentialité / la politique de protection de la vie privée à l’endroit où apparaissent l’avis et le choix.
Par exemple:
- Lorsque cela est possible à chaque endroit où des données sont collectées auprès du consommateur ; et
- Le cas échéant, au moment avant qu’un accord ne soit donné.
FONDEMENTS JURIDIQUES
Tout traitement de données à caractère personnel doit être basé sur un « fondement juridique » spécifié (parfois appelé « base légale » ou « condition » pour le traitement). RSi s’engage à identifier un fondement juridique pour toutes ses activités de traitement, et à le communiquer dans ses notes d’information en matière de protection de la vie privée.
Les six fondements juridiques disponibles sont énumérés à l’article 6, paragraphe 1, du RGPD. Il s’agit de ce qui suit :
- lorsque le traitement est nécessaire pour exécuter un contrat (par exemple, effectuer le paiement du salaire d’un employé conformément à son contrat de travail) ;
- lorsqu’il est nécessaire de se conformer à une obligation légale (par exemple, communiquer des informations relatives aux membres du personnel aux autorités fiscales ou produire nos rapports de sécurité et d’hygiène) ;
- si vous avez un « intérêt légitime » dans le traitement, et que cet intérêt n’est pas largement surmonté par l’importance du préjudice occasionné aux droits et aux intérêts d’une personne physique (par exemple, le suivi des visiteurs des sites Web d’RSi ou le maintien des dossiers de nos clients sur nos systèmes CRM) ;
- si vous avez obtenu le consentement de la personne concernée (voir la section D ci-dessous) ;
- lorsqu’il est nécessaire de protéger la vie de quelqu’un ; ou
- lorsqu’il est requis d’effectuer une tâche d’ordre public ou officielle (non applicable à RSi étant donné son statut de société privée).
Tout traitement de données appartenant à une catégorie particulière doit être justifié par référence à l’un des fondements juridiques particulier de traitement, tels qu’énoncés à l’article 9, paragraphe 2, du RGPD.
Bien qu’il existe neuf fondements juridiques particuliers pour le traitement des données appartenant à une catégorie particulière, ils sont généralement plus restrictifs et adaptés en fonction de situations spécifiques. Certains des fondements juridiques qui sont plus susceptibles de s’appliquer à RSi sont notamment les suivants :
- le consentement explicite de la personne concernée a été obtenu, sauf lorsque le consentement n’est pas autorisé en vertu des lois applicables ;
- Ou le traitement est nécessaire en raison de ce qui suit :
- une obligation en vertu du droit du travail ;
- des considérations revêtant une importance d’intérêt général (ce qui permet un certain nombre d’activités relevant du droit local, par exemple des exercices de suivi de l’égalité des chances dans certains pays) ; ou
- l’objet d’une procédure judiciaire ou l’obtention de conseils juridiques.
Remarque : Le recours au consentement (consentement ordinaire en vertu de l’article 6 ou consentement explicite en vertu de l’article 9) sera très rarement appropriée ou valide dans le cadre d’un recrutement. En d’autres termes, il serait mal avisé de demander le consentement des employés pour le traitement des données à caractère personnel.
Les données à caractère personnel relatives aux condamnations ou aux infractions pénales ne peuvent être traitées que s’il existe une autorisation expresse en vertu de la législation de l’UE ou de la législation locale (c’est-à-dire de l’État membre). Par conséquent, il incombe à la politique d’RSi de surveiller attentivement les situations dans lesquelles les données relatives aux infractions pénales peuvent être traitées (par exemple, au cours d’un recrutement) afin de garantir le respect de la loi applicable.
CONSENTEMENT
Classé parmi les fondements juridiques pour le traitement, le consentement affirmatif (un acte exprimant une volonté expresse pour signifier l’acceptation) est nécessaire pour le traitement des données à caractère personnel dans des circonstances déterminées. Lorsqu’il est nécessaire d’obtenir le consentement, RSi s’engage à ce que la personne concernée puisse retirer son consentement à tout moment. L’avis et le consentement doivent être clairs et visibles, et la personne concernée doit être en mesure de retirer son consentement aussi facilement qu’il n’a été donné.
RSi s’efforcera de mettre à disposition un lien clairement défini vers la Politique de confidentialité à chaque occasion de donner son consentement.
MARKETING DIRECT : CONDITIONS REQUISES EN MATIÈRE D’AVIS ET DE CONSENTEMENT
Les personnes concernées ont le droit d’être écartées des actions du marketing direct à tout moment. RSi procèdera à la désinscription des personnes concernées du marketing direct rapidement après une demande. Pour chaque processus de consentement, RSi s’efforcera de mettre à disposition un lien clairement défini vers la politique de confidentialité (avec la possibilité d’une consultation du texte avant d’avoir donné son consentement). RSi s’efforcera de faire en sorte que l’avis et le consentement soient clairs et visibles, avec un acte exprimant une volonté expresse qui est requis pour signifier l’acceptation.
COOKIES : CONDITIONS REQUISES QUANT À L’AVIS ET AU CONSENTEMENT POUR TOUS LES CANAUX NUMÉRIQUES
RSi fera apparaître des notifications de cookie (sous la forme de l’apparition d’une bannière) dans la cas d’un recours à des technologies de suivi (par exemple, les balises web (« web beacons »), à la fois les cookies essentiels et les cookies non essentiels, etc.).
DROIT D’OPPOSITION AU TRAITEMENT (DÉSACTIVATION)
Les personnes peuvent s’opposer au traitement des données à caractère personnel sur base des « intérêts légitimes » à tout moment. Si ce droit est invoqué, l’RSi suivra ses instructions internes pour honorer les demandes des personnes concernées. Un utilisateur peut exercer ses droits en ayant recours à plusieurs méthodes.
DROIT À L’EFFACEMENT
RSi s’engage à effacer les données à caractère personnel lorsque cela a été demandé si la demande est conforme au RGPD. RSi prendra soin d’accuser réception et de traiter les demandes rapidement et répondre aux demandes sans retard injustifié.
RSi a adopté des procédures opérationnelles et techniques internes sur la façon de traiter les demandes des utilisateurs que vous devez suivre scrupuleusement. Si vous avez des questions, nous vous invitons à prendre contact avec le Responsable de la protection des données (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected].
DROIT À LA LIMITATION DU TRAITEMENT DES DONNÉES
RSi s’engage à honorer le droit d’une personne concernée de limiter le traitement dans les circonstances suivantes :
- La personne concernée conteste l’exactitude.
- Le traitement est illicite et la personne concernée demande de limiter son utilisation uniquement à des usages licites.
- La personne concernée a besoin des informations dont nous disposons pour établir, exercer ou défendre une action en justice, mais souhaite que son usage soit limité par ailleurs.
Si nous avons besoin de temps pour décider si nous avons de fondements juridiques légitimes afin de passer outre à la demande de limitation de l’utilisation, nous devrons éventuellement suspendre le traitement jusqu’à ce que nous prenions une décision. RSi a adopté des procédures opérationnelles et techniques internes sur la façon de traiter les demandes des utilisateurs que vous devez suivre scrupuleusement. Si vous avez des questions, nous vous invitons à prendre contact avec le Responsable de la protection des données (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected]
DROIT D’ACCÈS – DEMANDES D’ACCÈS D’UNE PERSONNE CONCERNÉE
RSi s’assurera que les consommateurs ont le droit d’obtenir la confirmation de notre traitement de leurs données, et d’accéder à leurs données personnelles. RSi a adopté des procédures opérationnelles et techniques internes sur la façon de traiter la Demande d’accès d’une Personne concernée que vous devez suivre scrupuleusement. Si vous avez des questions, nous vous invitons à prendre contact avec le Responsable de la protection des données (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected]
DROIT DE RECTIFICATION
Les consommateurs ont le droit de faire rectifier (corriger) des données personnelles inexactes. Les consommateurs ont le droit de faire compléter des données personnelles incomplètes, notamment en faisant parvenir une déclaration supplémentaire.
RSi a adopté des procédures opérationnelles internes sur la façon de traiter les demandes de rectification que vous devez suivre scrupuleusement. Si vous avez des questions, nous vous invitons à prendre contact avec le Responsable de la protection des données (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected]
DROIT DE TRANSFÉRABILITÉ DES DONNÉES
RSi s’engage à honorer le droit d’une personne concernée relatif à la transférabilité des données. Le droit à la transférabilité des données s’applique uniquement aux Données à caractère personnel qu’un utilisateur nous a « fournies ». Ces dernières correspondent à ce qui suit :
- Données activement et en toute connaissance fournies par le consommateur (par exemple, l’adresse postale, le nom d’utilisateur, l’âge, etc.) ;
- Données observées que nous acquérons du fait de l’utilisation de nos services par le consommateur. Elles peuvent par exemple inclure l’historique de recherche, les données de trafic et les données de localisation d’une personne.
- Les informations provenant des sociétés de renseignements commerciaux ne sont pas assujetties à la transférabilité des données.
- Lorsque le traitement est basé sur le consentement de l’utilisateur ou pour l’exécution d’un contrat (voir la section C ci-dessus) ; et
- Lorsque le traitement est effectué par des moyens automatisés.
RSi a adopté des procédures opérationnelles et techniques internes sur la façon de traiter les demandes de transférabilité que vous devez suivre scrupuleusement. Si vous avez des questions, nous vous invitons à prendre contact avec le Responsable de la protection des données (Data Protection Officer) en envoyant un e-mail à l’adresse [email protected]
TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL OUTRE-MER
IRI ne procèdera pas au transfert de données à caractère personnel provenant de l’EEE en dehors de l’EEE, sauf (i) s’il peut y être assuré un niveau adéquat de protection des droits et des libertés des personnes concernées ; ou (ii) s’il existe une dérogation spécifique.
Il se peut que l’évidence des transferts ne saute pas aux yeux. Par exemple, si un fournisseur situé en Allemagne sous-traite une partie de son traitement à un prestataire externalisé en Inde, il y aura un transfert de données à caractère personnel en dehors de l’EEE. Ceci est interdit à moins que certaines conditions ne soient remplies. Un grand nombre de contrats passés avec nos clients impliquent des transferts de données internationaux, par exemple lorsque nous fournissons des services à un client italien en ayant recours à des processus de traitement situés aux États-Unis.
En ce qui concerne les transferts de données à caractère personnel vers RSi aux États-Unis, RSi peut s’appuyer sur sa certification Privacy Shield (bouclier de protection des données en vigueur aux États-Unis) pour assurer un niveau de protection adéquat aux personnes concernées de l’EEE.
S’il est nécessaire que des données à caractère personnel soient transférées vers un autre pays en dehors de l’EEE, veuillez contacter le responsable de la protection des données (Data Protection Officer) d’RSi en envoyant un e-mail à l’adresse [email protected] qui vous conseillera en ce qui concerne les mesures de protection applicables. Cela peut inclure des conditions contractuelles particulières (les « clauses contractuelles standard ») ou une dérogation spécifique au contexte (par exemple, un transfert nécessaire en relation avec des actions en justice).
ÉVALUATIONS DE L’IMPACT SUR LA PROTECTION DES DONNÉES
Si un nouveau projet ou une nouvelle méthode de travail ou une proposition de modification à un projet ou à une méthode de travail implique un traitement intensif ou un traitement comportant un risque élevé en ce qui concerne des données à caractère personnel ou des données appartenant à une catégorie particulière, l’RSi procédera à une évaluation de l’impact de la protection des données.
Une évaluation de l’impact de la protection des données est importante pour identifier et atténuer les risques concernant la vie privée avant le lancement d’un projet et pour appliquer les principes de la prise en compte du respect de la vie privée dès la conception (« privacy by design »), en vertu desquels les projets sont élaborés en ayant à l’esprit le respect de la vie privée. Cette approche est susceptible de faire gagner du temps et des ressources en permettant d’éviter d’intervenir à un stade ultérieur. Nous vous invitons à consulter le Responsable de la protection des données (Data Protection Officer) d’IRI pour de plus amples informations.
PRISE DE DÉCISION AUTOMATISÉE
Certaines limitations s’appliquent à la prise de décisions importantes relatives aux personnes, qui se base exclusivement sur des processus automatisés, sans aucune intervention humaine. On pourrait citer à titre d’exemple le cas des candidats à un recrutement automatiquement éliminés s’ils ne répondent pas à certains critères ou s’ils échouent à un test psychométrique. Dans de telles circonstances, il se peut que nous devions (i) communiquer une notification aux personnes concernées pour les informer qu’elles ont le droit de contester la décision automatisée et d’exiger une intervention humaine ; ou (ii) ajouter une intervention humaine dans le processus pour éviter une prise de décision automatisée. Nous vous invitons à consulter le Responsable de la protection des données (Data Protection Officer) d’RSi pour de plus amples informations.
POLITIQUE DE CONFIDENTIALITÉ
RSi s’engage à fournir aux utilisateurs, dont les Données à caractère personnel seront traitées, l’accès à cette Politique de confidentialité. RSi se réserve le droit de modifier et de mettre à jour cette politique de confidentialité à tout moment.
Annexe A – Définitions du RGPD
Termes clés | Définition |
---|
DONNÉES À CARACTÈRE PERSONNEL | Toute information relative à une personne physique identifiée ou identifiable dans l’Union européenne, dont les données liées et/ou des données pouvant être liées et toute combinaison s’y rapportant. Il s’agit des données liées ou pouvant être liées à un alias, à l’identifiant d’un appareil ou à tout identifiant similaire qui désigne nommément un utilisateur. Une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, notamment par référence à (1) un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou (2) un ou plusieurs facteurs propres à l’identité physique, psychologique, génétique, mentale, économique, culturelle ou sociale de la personne physique en question. Remarque importante : les données identifiables augmentent le degré de risque du traitement. L’élimination de toute information personnelle identifiable d’un ensemble de données peut exclure les données du champ d’application. Par exemple, les données de point de vente ne relèvent pas du champ d’application. Remarque : RSi considère que les numéros de cartes de fidélité authentifiés, hachés ou cryptés, sont des Données à caractère personnel pseudonymes couvertes par le RGPD. |
DONNÉES APPARTENANT À UNE CATÉGORIE PARTICULIÈRE | Les données à caractère personnel qui révèlent l’origine raciale ou ethnique, la croyance religieuse ou philosophique ou l’appartenance à un syndicat, les données génétiques et les données biométriques utilisées pour identifier de manière unique une personne, les données relatives à la santé, les informations concernant la vie sexuelle ou l’orientation sexuelle d’une personne. |
TRAITEMENT | Le terme Traitement recouvre une acception très large. Il s’agit essentiellement de tout ce qui est effectué pour ou avec des données à caractère personnel (à savoir en d’autres termes, la collecte, le stockage ou la suppression des données). Le RGPD est susceptible de s’appliquer partout où IRI accomplit un acte qui implique ou affecte des Données à caractère personnel. |
RESPONSABLE DU TRAITEMENT (« DATA CONTROLLER ») | RSi est un Responsable du traitement lorsque RSi détermine le type de Données à caractère personnel à collecter, contrôle la manière dont ces Données à caractère personnel sont traitées et détermine la manière dont elles sont utilisées. Par exemple, RSi est le Responsable du traitement lorsqu’il traite les Données à caractère personnel de personnes concernées qui sont membres d’un panel d’RSi ou d’une enquête que l’RSi gère directement pour son propre compte ; lorsque nous traitons des Données à caractère personnel collectées à partir d’un site Web public d’RSi ; quand nous nous engageons à diriger des activités de marketing au profit d’RSi ; et en exerçant nos activités d’entreprise (les données relatives aux ressources humaines). |
SOUS-TRAITANT (« DATA PROCESSOR ») | RSi est un Sous-traitant lorsque RSi fournit des services de traitement de données à un Responsable du traitement (généralement, les services de cartes de fidélité d’IRI, les CRM et le marketing au nom ou au profit d’un client) et lorsque RSi ne dispose pas du contrôle en dernier ressort sur les Données à caractère personnel collectées ni sur leur utilisation. Lorsque RSi est un Sous-traitant, il procède au traitement des données au nom du client et n’a pas le droit de procéder au traitement des données au-delà des instructions du client. Par exemple, RSi est le Sous-traitant lorsqu’il procède au traitement de Données à caractère personnel provenant de consommateurs qui sont membres d’un panel d’exécution d’RSi ou d’une enquête menée par RSi pour le compte d’un client ; lorsque nous procédons au traitement des numéros de carte de fidélité cryptés pour un client, ou lorsque nous nous engageons à diriger des activités de marketing pour un client dans le cadre d’un contrat passé avec le client. |
DROITS DE LA PERSONNE CONCERNÉE | L’ensemble des droits accordés aux personnes physiques dans certaines juridictions pour demander des informations sur les Données à caractère personnel collectées ou stockées par IRI et pour effectuer un choix ou exercer un contrôle sur la façon dont les données sont utilisées par RSi. Ces droits peuvent inclure :- Le droit d’obtenir des informations sur les activités de traitement des données qui se déroulent au sein d’RSi
- Le droit d’obtenir une copie de toutes les données détenues ou traitées par RSi
- Le droit de faire supprimer, corriger ou transférer des Données à caractère personnel
- Le droit de limiter ou de bloquer le traitement
- Le droit de retirer librement son consentement
|
Personnel | Tous les employés, sous-traitants, collaborateurs et personnel temporaire d’RSi. |