Politique de Protection des données Nexenture

  1. Présentation du document

 

  • Introduction

La protection des Données à Caractère Personnelle (DCP) est une condition majeure de confiance des collaborateurs comme des clients et prospects de Nexenture, et donc de sa réputation et de son succès. Elle consiste à respecter les personnes et à protéger les informations les concernant.

Par ailleurs, la législation européenne exige que les données personnelles soient protégées : Nexenture s’engage à respecter ces obligations légales.

 

  • Contexte règlementaire

La protection des DCP est une obligation pour l’ensemble des entités de Nexenture, qui s’inscrit initialement dans un cadre juridique régi par la directive européenne 95/46/CE du 24 octobre 1995 et en France par la loi du 6 janvier 1978 modifiée.

Ce cadre a été profondément renouvelé par le règlement européen General Data Protection Regulation (GDPR), ou Règlement Général sur la Protection des Données en français (RGPD), entré en application le 25 mai 2018. C’est le sens de ce règlement européen qui vient compléter et renforcer les obligations existantes sur le plan national :

  • Il conforte la place de l’individu au cœur du système juridique, technique et éthique de la protection des données en Europe et lui offre de nouveaux droits ou garanties pour lui permettre de mieux maîtriser le devenir de ses données : meilleure information, extension du consentement, renforcement des droits d’accès, d’opposition, de modification, à l’oubli et création d’un droit à la portabilité pour lui permettre de récupérer ses données sous un format aisément réutilisable ;
  • Il place les entreprises traitant des DCP dans une logique de responsabilisation en y incluant les sous-traitants. Chacune à leur niveau doit protéger les DCP par la mise en place de mesures organisationnelles et techniques adaptées aux risques sur la vie privée des personnes concernées, pour les traitements existants ou nouveaux ;
  • Il entérine la nécessité de tracer les actions et mesures de pilotage et de sécurisation des données personnelles (obligation de tenue d’un registre) et encadre les nouvelles pratiques technologiques (profilage, pseudonymisation) ;

Enfin, il étend le champ des échanges avec les autorités de contrôles (obligation de notification de violation de DCP, consultation préalable pour les traitements susceptibles d’engendrer un risque élevé), renforce le contrôle du régulateur et son pouvoir de sanction). Il autorise en outre les actions de groupe en réparation de dommage.

 

  • Objectifs

La présente Politique a pour objectif de décrire les principes applicables par Nexenture (en particulier pour le respect du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 Avril 2016).

Elle présente les principes généraux et l’organisation mise en place par le Nexenture pour assurer la bonne application de cette législation.

Ce document constitue la politique de protection des DCP de Nexenture lorsque ces données font l’objet d’un traitement, c’est-à-dire de toutes opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de DCP contenues ou appelées à figurer dans un fichier. Le traitement comprend la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

 

  • Champ d’application et d’exécution

 

  • Données concernées par cette politique

La présente Politique s’applique au traitement de toutes les données personnelles (des salariés, clients, fournisseurs, partenaires commerciaux) par Nexenture ou les prestataires agissant /ou traitant les données personnelles pour le compte de Nexenture.

  • Périmètre d’application territorial

Les principes et règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes, respecter leur droit à la protection de données personnelles.

La Législation sur la protection des données personnelles applicable peut exiger des critères plus stricts ou imposer des règles moins rigoureuses que celles contenues dans la présente Politique.

Ainsi :

  • Dans le cas où la législation locale sur la protection des données personnelles est plus stricte que celle contenue dans la présente politique alors c’est la législation nationale qui prévaudra.
  • Dans le cas où la Politique serait plus stricte que la législation locale, la présente Politique prévaudra.

 

  • Périmètre d’application juridique

La présente Politique de protection des DCP s’applique à compter de sa validation par le Comité de Direction de Nexenture :

  • à l’ensemble des entités de Nexenture, installées tant en France, que dans l’Union européenne (UE) mais aussi en dehors de l’UE ;
  • Légalement et/ou par le biais de conventions, à l’ensemble des sous-traitants de Nexenture ;
  • à toute personne physique dont les DCP sont traitées ou collectées au sein de Nexenture en ce compris ses collaborateurs, dirigeants, mandataires sociaux, actionnaires, clients, prospects et prestataires intervenants externes.

 

  1. Organisation

 

  • Rôles et responsabilités

 

2.1.1 Le Data Protection Officer (DPO)

Nexenture a désigné un Data Protection Officer (DPO), ou Délégué à la Protection des données en français, dont le statut est défini par le RGPD.

La mission du Data protection Officer est précisée ci-dessous :

  • Le délégué est le « chef d’orchestre » chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de Nexenture ;
  • Il est également le point de contact unique sur les sujets de protection des données à caractère personnel, à la fois en interne de Nexenture et auprès des interlocuteurs externes, comme les clients et prospects des enseignes du Groupe, les fournisseurs et soustraitants, ou encore l’autorité de contrôle (en France, la CNIL).

A noter :

  • Le Délégué à la protection des données n’est pas personnellement responsable en cas de non-conformité de Nexenture avec le règlement européen (RGPD) ;
  • Le délégué à la protection des données est tenu au secret professionnel.

 

  1. Principes de protection des données personnelles

 

  • Licéité du traitement

 

3.1.1 Conditions de traitement des données personnelles

Les données personnelles ne peuvent être traitées que pour un usage déterminé, explicite et légitime: c’est le principe de finalité.

Ainsi Nexenture peut traiter les données personnelles si le traitement est justifié, soit par le consentement de la personne, l’exécution d’un contrat, le respect d’une ou plusieurs obligations légales, l’intérêt légitime du responsable de traitement, ou encore la protection des intérêts vitaux des personnes.

Ces différentes licéités sont décrites ci-dessous :

  • Le consentement de la personne

Si la licéité du traitement (ce qui le rend licite) repose sur le consentement, Nexenture ne doit traiter les données personnelles qu’avec le consentement de la personne concernée.

  • L’exécution d’un contrat

La licéité du traitement (ce qui le rend licite) repose sur un contrat dans les situations où le traitement des données personnelles est nécessaire à l’exécution d’un contrat ou l’application de conditions générales de vente (contrat Tous Ambassadeurs par exemple)

  • L’intérêt légitime du responsable de traitement

Nexenture peut traiter les données personnelles lorsque ses intérêts légitimes le justifient. Parmi les cas d’intérêt légitime du responsable de traitement figure la sécurité, et en particulier les activités de sécurité des informations et des réseaux (la gestion des droits d’authentification et d’accès, la prévention de l’accès non autorisé aux réseaux électriques).

  • Le respect d’une ou plusieurs obligations légales

Cette licéité s’applique aux cas dans lesquels Nexenture est légalement tenu de procéder à un traitement. On peut en citer pour exemple le respect des réglementations fiscales : le Nexenture est un employeur qui peut collecter des informations fiscales concernant ses salariés.

 

3.1.2 Violation des autres lois et règlements

Si un traitement de données à caractère personnel implique la commission d’une infraction pénale, le traitement est illicite.

 

  • Consentement

Dans les cas où le traitement repose sur le consentement, Nexenture s’assure :

  • de pouvoir démontrer que la personne concernée a donné son consentement au traitement de DCP la concernant ;
  • que si le consentement est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ;
  • que la personne concernée a le droit de retirer son consentement à tout moment, elle en est informée avant de donner son consentement ;
  • que ce consentement est géré conformément aux exigences suivantes :
  • il est aussi simple de retirer que de donner son consentement ;
  • le consentement est donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des DCP la concernant ;
  • cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses DCP ;
  • il ne saurait dès lors y avoir de consentement en cas de silence, de case cochées par défaut ou d’inactivité ;
  • le consentement donné doit valoir pour toutes les activités de traitement ayant la ou les mêmes finalités ;
  • lorsque le traitement a plusieurs finalités, le consentement doit être donné pour l’ensemble d’entre elles ;
  • si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

 

  • Spécifications de la finalité, limitation et minimisation des données personnelles

 

3.3.1 Engagements de Nexenture

Nexenture garantit que les données personnelles ne sont traitées que dans la mesure où elles sont adéquates, pertinentes et non excessives à des fins précises, explicites et légitimes.

Pour chaque processus pour lesquels la finalité n’est pas liée à l’exécution d’un contrat, à un intérêt légitime, au respect d’une ou plusieurs obligations légales, ou à la protection des intérêts vitaux d’une personne, Nexenture spécifie les objectifs pour lesquels il va collecter et traiter les données.

 

3.3.2 Règles pour garantir la minimisation des données et la limitation des objectifs

Les données personnelles doivent être adéquates, pertinentes et limitées à celles qui sont nécessaires au vu des finalités pour lesquelles elles sont collectées et/ou traitées.

En cas de transfert, de divulgation ou de partage de données personnelles à des tiers, Nexenture doit vérifier si les données personnelles sont strictement nécessaires au traitement réalisé par les tiers.

Les données personnelles non nécessaires, non pertinentes, ou qui peuvent devenir non pertinentes avec le temps doivent être supprimées.

 

  • Exactitude des informations et mise à jour

Nexenture doit prendre toutes les mesures pour s’assurer que les données personnelles qu’il traite soient exactes et le cas échéant, corrigées et tenues à jour.

Les données personnelles qui sont inadaptées ou incomplètes, au regard des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont traitées, devront être rectifiées voire effacées.

 

  • Conservation des données personnelles

 

3.5.1 Durée de conservation des données et d’archivage

Nexenture assure que les données personnelles ne seront pas conservées plus longtemps que nécessaire, conformément aux besoins des métiers concernés et aux exigences d’archivage légales (en cas de contentieux par exemple, ou pour obligations fiscales ou légales).

Pour référence, voici les durées de conservation recommandées selon la finalité du traitement :

Finalité du traitement Durée de conservation Fondement juridique
Constitution et gestion d’un fichier de prospects Nexenture 3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect Norme simplifié n°48
Envoi de sollicitations aux prospects et clients Nexenture (emailings, appels téléphoniques, sms…) 3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect Norme simplifiée n°48
Gestion des fichiers clients et prospects Nexenture Principe général : Les données à caractère personnel relatives aux clients ne peuvent être conservées audelà de la durée strictement nécessaire à la gestion de la relation commerciale à l’exception de celles nécessaires à l’établissement de la preuve d’un droit ou d’un contrat qui peuvent être archivés (conformément aux dispositions du Code de commerce relatives à la durée de conservation des livres et documents créés à l’occasion d’activités commerciales et du Code de la consommation relatives à la conservation des contrats conclus par voie électronique)

 

3 ans à compter de la fin du contrat

Norme simplifiée n°48
Gestion des fichiers salariés sur les applications Tous Ambassadeurs et iDay 6 mois après la suppression du compte via le fichier transmis (par lien sécurisé) par le responsable de traitement du client Nexenture Norme simplifiée n°46
Gestion de l’annuaire sur les applications Tous Ambassadeurs Les données ne sont pas conservées au-delà de la période d’emploi de la personne concernée via sa suppression dans le fichier salariés par le responsable du traitement du client Nexenture Norme simplifiée n°46
Données de navigation sur les applications Tous Ambassadeurs (cookies, historique de connexion, matériel utilisé…) 13 mois après la date de fin d’exécution du contrat Norme simplifiée n°48
Données d’activité sur les applications Tous Ambassadeurs (posts, commentaires…) 13 mois après la date de fin d’exécution du contrat Norme simplifiée n°48
Données de recrutement sur les applications Tous Ambassadeurs Possibilité de conserver les données (CV…) pendant 2 ans après le dernier contact avec le candidat Recommandation n°02-2017 du 21 mars 2002
Données de prospection sur les applications Tous Ambassadeurs Possibilité de conserver les données pendant 3 ans après le dernier contact avec le prospect Norme simplifiée n°48
Gestion de la paie Nexenture 5 ans à compter du versement de la paie Article L3243-4 du Code du Travail

 

Nexenture doit par ailleurs prendre des mesures raisonnables pour détruire les données personnelles lorsque :

  • elles ne sont plus requises pour les fins pour lesquelles elles ont été collectées ;
  • la période maximale d’archivage permise par la loi applicable (le cas échéant) est écoulée.

 

3.5.2 Cas des données clients et prospects

Nexenture s’engage à ne pas conserver les données personnelles d’un client ou d’un prospect plus de 3 ans à l’issue de la fin de la relation commerciale avec cette personne. La relation commerciale est marquée par différents points de contact, tels que (liste illustrative et non exhaustive) :

  • Un contrat (tous ambassadeurs ou iday)
  • Le téléchargement d’un livre blanc
  • La connexion à l’application Tous Ambassadeurs
  • Le clic sur un lien dans une newsletter

 

La durée de conservation de 3 ans démarre à la date du dernier contact avec le client ou le prospect. Ce dernier contact marque la fin de la relation commerciale entre Nexenture et cette personne.

Pour pouvoir justifier de conserver les données personnelles d’un client ou prospect, Nexenture peut engager des actions de communication

Si, malgré ces actions, aucun contact avec le client ou prospect n’est survenu dans un délai de 3 ans, Nexenture s’engage à supprimer ses données personnelles et à en faire la demande auprès des tiers à qui les données ont été transférées.

 

  1. Droits de la personne concernée

Nexenture reconnait et respecte les droits des personnes concernées, et met  en œuvre les moyens nécessaires permettant aux personnes concernées d’exercer les droits mentionnés ci-après.

Les demandes d’exercice des droits sont transmises à tout tiers à qui les données ont été transférées.

Nexenture s’engage à répondre sans frais et dans les meilleurs délais (un mois maximum par défaut, étendu à 2 mois en cas de difficultés techniques particulières) aux demandes légitimes d’exercice des droits suivants :

  • Droit à l’information préalable

Nexenture s’assure que toute information et communication aux personnes concernées relative au traitement de DCP est aisément accessible, facile à comprendre, et formulée en des termes clairs et simples. Elle s’assure également que les personnes physiques sont informées, dès la collecte, de l’identité du responsable du traitement, des finalités du traitement, des risques, règles, garanties, droits et modalités d’exercice de ces droits liés au traitement de DCP.

 

 

  • Droit à la limitation

Nexenture limite les traitements aux seules finalités pour lesquelles les DCP sont collectées et traite les demandes légitimes de limitation de traitement de DCP des personnes concernées dans les plus brefs délais.

  1. Responsabilité

 

  • Responsables de traitements

 

5.1.1 Responsable de traitement

Un responsable de traitement, personne morale, est identifié pour chaque traitement mis en œuvre au sein de Nexenture directement ou indirectement :

  • une analyse est systématiquement réalisée pour tout nouveau traitement afin de déterminer si Nexenture est le « responsable de traitement », « co-responsable du traitement » ou « sous-traitant » ;
  • le responsable du traitement détermine de manière claire et précise les finalités et les moyens de chacun des traitements de DCP qu’il met en œuvre ;
  • le responsable du traitement définit les moyens de mise en œuvre du traitement, et peut décider de l’arrêt du traitement ;
  • lorsque Nexenture est « sous-traitant », elle collecte et traite les DCP dans un cadre strictement conforme à la législation ou la convention en vigueur.

Le responsable du traitement est responsable du respect de la présente politique et est en mesure de démontrer qu’elle est respectée, y compris l’efficacité des mesures techniques et organisationnelles (principe de responsabilité).

 

  • Règles de protection pour les données sensibles

Les données dites sensibles sont les informations concernant l’origine raciale ou ethnique, le opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.

Les données concernant des personnes de moins de 16 (seize) ans, considérées comme mineurs par la législation française sur la protection des données personnelles, sont également des données dont Nexenture souhaite encadrer le traitement.

 

5.2.1 Règles fonctionnelles

Nexenture s’engage à respecter les règles suivantes :

  • Le traitement des données sensibles doit être enregistré dans le registre des activités de traitement ;
  • Une étude d’impact relative à la vie privée (EIVP) doit être effectuée avant chaque nouveau traitement de données sensibles ;
  • En fonction des risques identifiés lors de l’EIVP, des mesures de sécurité supplémentaires pourraient devoir être appliquées à des données sensibles.

 

 

5.2.2 Mesures spécifiques pour protéger les données sensibles

Nexenture s’engage à assurer la sécurité des données personnelles (Disponibilité, Intégrité, Confidentialité, Traçabilité), en particulier des éventuelles données sensibles manipulées.

Concernant les données de mineurs, Nexenture préconise de ne pas créer de compte client ou prospect pour une personne âgée de moins de 16 (seize) ans, sauf à le faire après consentement explicite du représentant de l’autorité parentale (parent, tuteur…).

Concernant les données sur l’appartenance syndicale des collaborateurs, Nexenture s’engage à limiter l’accès à ces informations aux équipes de la Direction des Ressources Humaines contribuant aux traitements pour lesquels ces données sont collectées.

Enfin, concernant les autres données sensibles (informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, ou la vie sexuelle), Nexenture ne souhaite pas les collecter ni les manipuler.

 

  • Protection des données dès la conception (Privacy By Design)

Les systèmes et la technologie mis en œuvre et utilisés par Nexenture, dans le cadre de ses activités internes comme de ses services et produits, doivent être conçus de manière à assurer que, par défaut:

  • Le traitement des données personnelles est limité à ce qui est nécessaire ;
  • L’accès aux données personnelles est limité aux seules personnes qui doivent y avoir accès ;
  • La durée de conservation des données n’excède pas la durée légale ou recommandée pour la finalité du traitement ;
  • La règlementation en vigueur sur la protection des données personnelles est respectée.

Cette obligation s’applique à l’utilisation des données personnelles au regard de la finalité de traitement envisagé pour chacune des différentes catégories de données personnelles collectées par Nexenture.

 

  • Etude d’impact – méthodologie EIVP

Les Etudes d’Impact relatives à la protection de la Vie Privée (EIVP), ou Privacy Impact Assessment (PIA) en anglais, se définissent comme une méthodologie d’analyse d’un projet afin d’identifier l’impact que ce projet pourrait avoir sur la protection des données personnelles, et de préciser des recommandations pour la gestion, la minimisation ou l’élimination de cet impact.

Les EIVP permettent à Nexenture de déterminer les mesures appropriées à prendre afin de démontrer que le traitement est conforme à la législation sur la protection des données personnelles.

Les responsables de traitement s’engagent à effectuer une EIVP lorsque leur traitement des données personnelles peut présenter un risque pour les droits et les libertés des personnes.

 

 

 

  1. Sécurité des données personnelles et conformité RGPD

 

  • Mesures de sécurité

Les données personnelles doivent être traitées de manière à permettre un niveau approprié de sécurité, y compris la protection contre le traitement non-autorisé ou illicite, ainsi que la perte, la destruction ou les dommages d’origine accidentelle, et doivent être assurées par :

  • Des mesures techniques : par exemple contrôles techniques, chiffrement, sécurité physique des flux de données, etc. ;
  • Des mesures d’organisation : par exemple ségrégation des tâches et des responsabilités, des environnements techniques, gestion des incidents et des failles de sécurité portant sur les données, limitation des accès aux stricts besoins opérationnels, définition des durées de conservation, définition des moyens de contrôle, formation du personnel, etc.

 

  • Processus de violation des données et de notification aux autorités et individus

En cas de violation de données à caractère personnel, Nexenture a mis en place, conformément à la réglementation, un processus afin de prévenir les autorités de contrôle compétentes ainsi que les responsables de traitement lorsque Nexenture est sous-traitant.

Tout incident réel ou supposé doit être signalé immédiatement après en avoir pris connaissance, selon la procédure de « Gestion des évènements Privacy ».

Nexenture, représenté par son DPO, doit notifier la CNIL dans un délais maximum de 72h après qualification de l’incident.

Si l’impact sur les personnes concernées est qualifié d’important, Nexenture s’engage également à notifier ces personnes dans les meilleurs délais (clients, prospects, collaborateurs, instances représentatives du personnel, ou tiers).

  • Contrôle et Audit de conformité RGPD

 

6.3.1 Politique et plans de contrôle de conformité

Nexenture a formalisé sa politique de contrôle de conformité RGPD. Et chaque année, Nexenture traduit cette politique en plan d’actions, afin de définir les contrôles à mettre en œuvre.

Ces programmes permettent de contrôler périodiquement le respect de la présente Politique et contribuer au respect par Nexenture, par ses salariés et par ses sous-traitants des lois, règlements et accords contractuels s’appliquant aux données personnelles traitées.

6.3.2 Reporting Privacy

Le reporting à destination de Nexenture est réalisé par le DPO et permet à la Direction de disposer régulièrement d’une vision consolidée des dispositifs de protection des DCP.

6.3.3 Relation avec les autorités de contrôle

Nexenture collabore avec les autorités de contrôle compétentes pour toute question relative à la protection des DCP ou bien dans le cadre de leurs procédures d’audit. En France, l’autorité de contrôle est la CNIL.

Nexenture met en place les processus permettant de se conformer et d’appliquer les recommandations de ces autorités conformément au cadre réglementaire et législatif en vigueur. Le DPO de Nexenture est l’interlocuteur privilégié de la CNIL (principe de guichet unique).

 

  1. Transfert des données personnelles

 

  • Transferts de données personnelles

Tout transfert de données personnelles doit être fondé sur une finalité spécifique et légitime, ne pas violer la loi et être limité au strict nécessaire. Les transferts de données personnelles doivent figurer dans les registres de traitements de Nexenture.

  • Transferts de données personnelles à des sous-traitants

Le sous-traitant est la personne morale qui traite les données personnelles pour le compte du responsable de traitement. Il peut voir sa responsabilité engagée au titre de clauses contractuelles.

Nexenture doit conclure des contrats appropriés avec les prestataires pour s’assurer qu’ils traitent les données personnelles conformément à la réglementation sur la protection des données personnelles, et conformément à la présente Politique Privacy de Nexenture. Ces engagements contractuels comprennent notamment :

  • la définition, l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, la description des mesures de sécurité mises en place, et les obligations et les droits ;
  • la fourniture des analyses de risques sur la vie privée (EIVP ou PIA), pour les traitements les plus sensibles ;
  • l’engagement du sous-traitant à ne pas recruter un autre sous-traitant sans l’autorisation écrite préalable de l’entité concernée de Nexenture ;
  • l’engagement du sous-traitant de s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits dans le respect du délai légal ;
  • l’engagement du sous-traitant à supprimer toutes les DCP ou les renvoyer au responsable du traitement au terme de la prestation de services relatifs au traitement, et de détruire les copies existantes ;
  • l’engagement du sous-traitant à notifier à Nexenture, dès que possible, toute violation de DCP le concernant ;
  • la possibilité pour Nexenture de réaliser des contrôles, audits ou inspections des dispositifs de protection des DCP ;
  • l’engagement du sous-traitant à ne réaliser de traitement transfrontalier qu’après accord préalable de Nexenture et uniquement au sein de l’Union Européenne ou avec un pays présentant un niveau de protection adéquat ;
  • l’engagement du sous-traitant à prévenir Nexenture de tout changement significatif dans la gestion des DCP.

Nexenture se réserve le droit de réaliser des audits auprès des sous-traitants pour s’assurer du respect de leurs engagements. Si Nexenture conclut qu’un sous-traitant ne respecte pas ces obligations, il prendra les mesures appropriées sans délai.

  1. Glossaire

 

Autorité de protection des données : Autorité administrative d’un État membre de l’Union Européenne ou d’un pays dans le monde, ayant notamment vocation à surveiller sur son territoire, le respect des dispositions législatives et réglementaires applicables à la protection des données à caractère personnel.

 

Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des DCP la concernant fassent l’objet d’un traitement. Délégué à la protection des données à caractère personnel

 

DPO : La personne en charge du pilotage des actions mises en œuvre pour le respect de la présente Politique Privacy de Nexenture, et de la conformité avec la règlementation en vigueur sur la protection des DCP de manière générale.

 

Donnée à caractère personnel (DCP) : Toute information se rapportant à une personne physique identifiée ou identifiable (est réputée identifiable une personne qui peut être identifiée) directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

 

Catégorie particulière d’une donnée à caractère personnel dite « sensible » : Toute donnée à caractère personnel qui fait apparaître, directement ou indirectement, l’origine raciale ou ethnique, les opinions politiques ou philosophiques, les croyances religieuses, l’appartenance syndicale, ainsi que les données relatives à la santé, les préférences sexuelles ou les données judiciaires d’un individu.

 

Pseudonymisation : Le traitement de DCP de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les DCP ne sont pas attribuées à une personne physique identifiée ou identifiable.

 

Responsable de traitement : Toute personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel.

 

Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement.

 

Tiers : Toute personne physique ou entité juridique, autorité publique ou tout organisme autre que la personne concernée, le responsable du traitement, le prestataire et les personnes ou départements qui, placés sous l’autorité directe du responsable du traitement ou du prestataire, sont chargés de la mise en œuvre du traitement.

 

Traitement : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

 

Transfert : Toute opération ou ensemble d’opérations permettant de communiquer, copier ou déplacer des données à caractère personnel en utilisant un réseau ou tout autre support, dans la mesure où ces données sont destinées à être traitées par l’Importateur de données

 

Violation de données à caractère personnel : Toute violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.