1. Nos engagements
Les Entités du Groupe (désigne ci-après dans leur ensemble les entreprises ou établissements de la société BE INVEST International S.A. et ses filiales, dans le cadre de leurs activités, s’engagent au respect de la réglementation en vigueur sur la protection des données à caractère personnel, à savoir :
- Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « RGPD »).
- La Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.
- Les avis et recommandations des autorités de Contrôle, du Groupe de protection des personnes à l’égard du Traitement des données à caractère personnel (« Groupe G29 ») ou du Comité européen de la protection des données (CEPD).
Elles garantissent ainsi la conformité de l’utilisation de ces données aux exigences légales, réglementaires, ainsi que dans le respect du droit des personnes concernées.
LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Les Entités du Groupe désignent un Délégué à la Protection des Données (DPO)afin de veiller au respect des exigences et coordonner les actions des différentes entités en matière de protection des données.
Formé et certifié spécifiquement à la protection des données et à l’application du Règlement Général sur la Protection des Données (UE) 2016/679, », le Délégué à la Protection des Données est déclaré auprès des autorités de contrôle européennes dont il est le principal interlocuteur.
PRINCIPES RELATIFS À LA COLLECTE ET AU TRAITEMENT DES DONNÉES PERSONNELLES
Toutes les Entités du Groupe, quels que soient leurs rôles et responsabilités dans le traitement (Responsable de traitement ou Sous-traitant), s’engagent à collecter (directement ou indirectement) et traiter les données à caractère personnel de façon licite, sur la base des fondements juridiques prévus par la réglementation :
- Pour des objectifs précis finalités explicites, légitimes et déterminées, portés à la connaissance des personnes concernées ;
- De façon loyale et transparente ; aucune donnée n’est collectée à l’insu des personnes ;
- Dans la stricte limitation de ce qui est nécessaire à l’objectif poursuivi par la collecte (minimisation) ;
En respectant l’exactitude des données et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées ;
En mettant en œuvre des moyens techniques et physiques pour garantir la confidentialité et la sécurité des données,
En ne conservant aussi longtemps qu’elles seront nécessaires à la réalisation des finalités pour lesquelles elles ont été collectées et traitées. Cependant, ces durées peuvent être étendues afin de se conformer aux obligations légales et aux délais de prescriptions applicables selon les traitements.
Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
- Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Les Entités du Groupe s’assurent que les données sont traitées en toute sécurité et confidentialité.
Elles mettent ainsi en œuvre, dès la conception des traitements, l’ensemble des ressources humaines, matérielles, logiques et physiques pour assurer un haut niveau de sécurité. Ces mesures sont adaptées selon le niveau de sensibilité des données traitées et selon le niveau de risque que présente le traitement ou sa mise en œuvre.
Les Entités du Groupe s’engagent à ne jamais commercialiser les données à caractère personnel traitées, quels que soient les contextes et les finalités des traitements.
2. L’utilisation des données à caractère personnel
Cette Politique s’applique à toutes les Données Personnelles traitées dans le cadre de la fourniture des services et produits des Entités du Groupe.
D’une manière générale, les finalités, les données traitées, la durée de conservation et la base légale diffèrent selon les services et produits concernés.
Cette Politique sera complétée par une Politique dédiée à chaque service et produit et qui sera accessible dès que nécessaire.
3. Un contrôle des transferts des données
Les Entités du Groupe ne communiquent les données à caractère personnel qu’à des destinataires dûment habilités et conformément aux règlementations en vigueur. Elles exigent contractuellement que chaque sous-traitant présente le même niveau de sécurité et de respect de la règlementation.
Si un transfert de données à caractère personnel est opéré en dehors de l’Union Européenne, les Entités du Groupes’engagent à le réaliser conformément à la Règlementation en vigueur et en l’encadrant des clauses contractuelles types approuvées par la Commission Européenne pour garantir la protection des données et éventuellement de la réalisation d’une Analyse d’Impact des Transferts de Données (AITD).
4. Droits des personnes
Conformément à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, modifiée, et au Règlement Général pour la Protection des Données (UE) 2016/679, du 27/04/2016, le « RGPD », les personnes concernées par les traitements de données à caractère personnel peuvent exercer leurs droits (droit d’information, droit d’accès, de rectification, de limitation, de suppression ou de portabilité des données à caractère personnel ou de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) à tout moment, en justifiant de leur identité. Elles peuvent également, pour ces motifs légitimes, s’opposer totalement ou partiellement à tout traitement de leurs données, ou retirer un consentement préalablement donné.
Ces demandes d’exercice de droit sont à formuler auprès de notre Délégué à la Protection des Données en lui adressant un courriel à l’adresse : dpo@be-ys.com ou dpo@almerys.com.
Ces demandes sont réceptionnées par le Délégué à la Protection des Données lui-même afin de garantir la confidentialité des échanges. Les processus de traitement sont dès lors enclenchés et pilotés par le Délégué à la Protection des Données afin de respecter les délais légaux de réponse aux demandes d’exercice de droit.
Si les échanges n’ont pas été satisfait avec les Entités du Groupe, la personne concernée a la possibilité d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge du respect des obligations en matière de données à caractère personnel en France, ou auprès de toute autre autorité de contrôle d’un autre pays membre de l’UE (Commission Nationale pour la Protection des Données, CNPD au Luxembourg).
5. Conditions de modification de la politique de protection des données
La présente politique de protection des données personnelles peut être modifiée et actualisée à tout moment.