Politique de protection des données
20 novembre 2021
Il est important que vous preniez le temps de vous familiariser avec les aspects généraux de la protection des données contenus dans la présente politique, ainsi qu'avec toute mesure spécifique recommandée par votre service et adaptée à la nature particulière de votre travail. De plus amples informations et conseils peuvent être obtenus auprès du délégué à la protection des données.
Gaëtan Bio
Chemin du Creux-Bechet 6, 1096 Villette, Suisse T : +41 (0)79 847 91 55
INTRODUCTION
Dans le cadre de nos activités quotidiennes, nous créons, rassemblons, stockons et traitons tous de grandes quantités de données sur une variété de personnes concernées, telles que le personnel, les fournisseurs et les membres du public. Notre utilisation des données à caractère personnel va du traitement des données des utilisateurs du site web tout au long de leur parcours à l'utilisation efficace des différentes fonctions de la plateforme My Eco Best Friend (MEBF), en passant par le suivi GPS de l'éco-mobilité ou les transactions financières liées à l'achat sur l'éco-boutique, que ce soit par voie électronique ou sur papier dans des classeurs.
Étant donné que l'enregistrement et l'utilisation des données ne cessent d'augmenter et que nous prenons de plus en plus au sérieux la confidentialité des données, il est plus important que jamais que chaque membre de l'entreprise My Eco Best Friend comprenne les lois qui existent en matière de protection des données et nos responsabilités pour garantir que les données sont sécurisées et traitées conformément à ces lois.
DOMAINE D'APPLICATION
La présente politique s'applique à l’ensemble du personnel de MEBF et à tous les autres utilisateurs d'ordinateurs et de réseaux autorisés par MEBF. Elle concerne l’utilisation de toutes les installations de MEBF ; tous les systèmes privés connectés au réseau de MEBF ; toutes les données et tous les programmes appartenant à MEBF ou sous licence (où qu'ils soient stockés) ; et toutes les données et tous les programmes fournis à MEBF par des tiers (où qu'ils soient stockés). Cette politique s'applique également aux fichiers et dossiers sur papier créés pour les besoins de MEBF.
La présente politique comprend les principes de confidentialité des données acceptés à l’international, ceux couverts par le Règlement général sur la protection des données (RGPD) de l'UE, sans remplacer les principes nationaux existants. S'il y a une raison de croire que les obligations légales contredisent les devoirs de cette politique, le délégué à la protection des données doit en être informé.
DÉFINITIONS CLÉS
Consentement : désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par tout autre acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le GDPR précise que le silence, les cases pré-cochées ou l'inactivité ne constituent pas un consentement.
Contrôleur des données : désigne la société juridiquement indépendante du groupe MEBF dont l'activité commerciale détermine les moyens et la finalité de la mesure de traitement concernée.
Processeur de données : désigne l'entité qui traite les données pour le contrôleur de données.
Personne concernée : désigne toute personne physique dont les données peuvent être traitées. Dans certains pays, les personnes morales peuvent également être des personnes concernées..
GDPR : désigne le règlement général de l'UE sur la protection des données 2016/679.
Données personnelles : désigne les informations que My Eco Best Friend détient sur une personne concernée et qui l'identifient ou pourraient l'identifier lorsqu'elles sont combinées avec d'autres données que My Eco Best Friend détient ou est susceptible d'obtenir.
Traitement : comprend l'obtention/la collecte, l'enregistrement, la détention, le stockage, l'organisation, l'adaptation, l'alignement, la copie, le transfert, la combinaison, le blocage, l'effacement et la destruction des informations ou des données, que ce soit par des moyens automatisés ou non. Ce processus inclut également l'exécution de toute opération ou ensemble d'opérations sur les informations ou les données, y compris la récupération, la consultation, l'utilisation et la divulgation. Toute action sur des données à caractère personnel doit être considérée comme un traitement de données.
Données personnelles sensibles : désigne des données relatives à l'origine raciale et ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à la santé et à l'orientation sexuelle de la personne concernée. En outre, les données relatives à un délit ne peuvent souvent être traitées qu'en vertu d'exigences particulières prévues par le droit national.
My Eco Best Friend : désigne My Eco Best Friend Sàrl. L'entreprise n'a pas de filiales.
PRINCIPES GÉNÉRAUX
MEBF est responsable de prouver que les données personnelles sont à tout moment :
traitées de manière légale, équitable et transparente
détenues uniquement à des fins spécifiques, explicites et légitimes et non utilisées ou divulguées d'une manière incompatible ces fins
adéquates, pertinentes et non excessives par rapport à l'objectif poursuivi.
précises et mises à jour
uniquement conservées pour l'opération particulière, et pas plus longtemps que nécessaire
traitées conformément aux souhaits de la personne concernée
conservées en sécurité et non transférées en dehors du territoire couvert par l'Espace économique européen (EEE) et la Suisse sans avoir l'assurance d'un niveau de protection adéquat
FIABILITÉ DU TRAITEMENT DES DONNÉES
Le traitement des données à caractère personnel n'est autorisé qu'en vertu de l'une des bases juridiques suivantes. L'une de ces bases juridiques est également requise si la finalité du traitement des données personnelles doit être modifiée par rapport à la finalité initiale.
Données personnelles de l'employé
Traitement des données dans le cadre de la relation de travail : Dans le cadre d’une relation de travail, les données à caractère personnel peuvent être traitées si nécessaire pour initier, exécuter et résilier le contrat de travail. Lors de l'établissement d'une relation de travail, les données à caractère personnel des candidats peuvent être traitées. Si le candidat est rejeté, ses données doivent être supprimées dans le respect de la période de conservation requise, à moins que le candidat n'ait accepté de rester dans le dossier en vue d'un processus de sélection ultérieur. Le consentement est également nécessaire pour utiliser les données pour d’autres processus de candidature ou avant de partager la candidature avec d’autres contacts de MEBF. Au cours de la procédure de candidature, s’il s’avère nécessaire de collecter des informations sur un candidat auprès d’un tiers, le consentement de la personne concernée doit être obtenu.
Traitement des données conformément aux à dispositions légales : TLe traitement des données personnelles des employés est également autorisé si la législation le demande, l’exige ou l’autorise. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement des données légalement autorisée et doivent être conformes aux dispositions légales pertinentes. S'il existe une certaine souplesse juridique, les intérêts de l'employé qui méritent d'être protégés doivent être pris en considération.
Traitement des données en vertu de l'intérêt légitime : Les données à caractère personnel peuvent également être traitées si nécessaire pour faire valoir un intérêt légitime de MEBF. Les intérêts légitimes sont généralement de nature juridique (par exemple, déposer, faire valoir ou se défendre contre des réclamations légales), organisationnelle ou financière (par exemple, l'évaluation des entreprises). Avant que les données soient traitées, il est nécessaire de déterminer si l'intérêt légitime de MEBF est supplanté par les intérêts ou les droits de la personne, car, si tel est le cas, les données personnelles ne devraient pas être traitées sur cette base. L'intérêt légitime de MEBF et les intérêts de la personne concernée doivent être identifiés et documentés avant que des mesures ne soient prises.
Consentement au traitement des données : Les données relatives aux employés peuvent être traitées avec le consentement des personnes concernées. Les déclarations de consentement doivent être soumises volontairement. Le consentement involontaire est nul. Avant de donner son consentement, la personne concernée doit être informée conformément à la présente politique. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation.
Traitement des données personnelles sensibles : Les données personnelles sensibles ne peuvent être traitées que sous certaines conditions. Le traitement doit être expressément autorisé ou prescrit par le droit national. En outre, le traitement peut être autorisé s'il est nécessaire pour que l'autorité responsable puisse remplir ses droits et ses devoirs dans le domaine du droit du travail. L'employé peut également consentir expressément au traitement. S'il est prévu de traiter des données personnelles sensibles, le délégué à la protection des données doit en être informé.
Décisions automatisées : Si des données personnelles sont traitées automatiquement dans le cadre de la relation de travail et que des détails personnels spécifiques sont évalués (par exemple, dans le cadre du processus d'embauche ou de l'évaluation des profils de compétences), ce traitement automatique ne peut pas être le seul fondement de décisions qui auraient des conséquences négatives pour les personnes concernées. Pour éviter les décisions erronées, le traitement automatisé doit garantir qu'une personne physique évalue le contenu de la situation et que cette évaluation constitue la base de la décision. La personne concernée doit également être informée des faits et des résultats des décisions individuelles automatisées et avoir la possibilité de réagir. MEBF doit également veiller à ce que tout profilage et toute prise de décision automatisée concernant une personne concernée soient fondés sur des données exactes.
Télécommunications et internet : Les équipements téléphoniques, les adresses e-mail, l'intranet et l'internet ainsi que les réseaux sociaux internes sont fournis par MEBF principalement pour des missions liées au travail. Ils sont un outil et peuvent être utilisés dans le cadre des réglementations légales applicables et des politiques internes de MEBF, y compris la politique en matière de technologie de l'information. Il n'y aura pas de contrôle général des communications téléphoniques et électroniques ou de l'utilisation de l'intranet/Internet. Pour se défendre contre les attaques visant l'infrastructure informatique ou les utilisateurs individuels, des mesures de protection peuvent être mises en œuvre pour les connexions au réseau MEBF, qui bloquent les contenus techniquement nuisibles ou qui analysent les schémas d'attaque. Pour des raisons de sécurité, l'utilisation de l'équipement téléphonique, des adresses électroniques, de l'intranet/internet et des réseaux sociaux internes peut être enregistrée pendant une période temporaire. Les évaluations de ces données relatives à une personne spécifique ne peuvent être effectuées que dans un cas concret et justifié de violation présumée des lois ou des politiques de MEBF. Les évaluations ne peuvent être menées que par les services d'enquête, tout en veillant à ce que le principe de proportionnalité soit respecté. Les lois nationales pertinentes doivent être respectées de la même manière que les règlements de MEBF.
Données personnelles d'autres parties (y compris les utilisateurs du site web, les fournisseurs, les sponsors, les partenaires, ...)
Traitement des données dans le cadre d'une relation contractuelle : Les données personnelles des utilisateurs du site web, des sponsors, des fournisseurs et des partenaires peuvent être traitées afin d'établir, d'exécuter et de résilier un contrat. Avant la conclusion d'un contrat - pendant la phase d'initiation du contrat - les données à caractère personnel peuvent être traitées pour préparer des bons de commande ou pour répondre à d'autres demandes de la personne concernée en rapport avec les exigences du contrat.
Consentement au traitement des données : Les données peuvent être traitées avec le consentement de la personne concernée. Avant de donner son consentement, la personne concernée doit être informée conformément à la présente politique. La déclaration de consentement doit être obtenue par écrit ou par voie électronique, car l'octroi du consentement doit être documenté. Le consentement doit être demandé à la personne qui exerce la responsabilité parentale sur l'enfant. L'âge à partir duquel une personne est considérée comme un enfant varie entre 13 et 16 ans, conformément à la législation nationale.
Traitement des données à des fins publicitaires : En règle générale, MEBF n'enverra pas de matériel promotionnel ou de marketing direct aux contacts de MEBF par le biais de canaux numériques tels que les téléphones portables, le courrier électronique et l'internet, sans avoir obtenu au préalable leur consentement. Si la personne concernée contacte MEBF pour demander des informations (par exemple, pour recevoir du matériel d'information sur les cours), le traitement des données pour répondre à cette demande est toutefois autorisé. Lors de la communication avec la personne concernée, il convient d'obtenir son consentement au traitement des données à des fins publicitaires et de lui donner la possibilité de se retirer à tout moment des listes ou des bases de données utilisées à des fins de marketing direct (lien de désinscription, par exemple). Si la personne concernée refuse l'utilisation de ses données à des fins publicitaires, celles-ci ne peuvent plus être utilisées à ces fins et doivent être bloquées de manière à cesser immédiatement toute utilisation des données ; leurs coordonnées doivent être conservées sur une liste de suppression avec un enregistrement de leur décision de refus, plutôt que d'être complètement supprimées. Toute autre restriction imposée par des pays spécifiques concernant l'utilisation des données à des fins publicitaires doit être respectée. En particulier, le marketing direct doit également être conforme au règlement de 2003 sur la protection de la vie privée et les communications électroniques (directive CE) (PECR) et notamment à la directive sur la vie privée et les communications électroniques telle qu'amendée, qui couvre le marketing par téléphone, par texte et par courrier électronique. La directive "vie privée et communications électroniques" a été remplacée par un nouveau règlement "vie privée et communications électroniques" qui sera probablement appliqué parallèlement au GDPR.
Traitement des données en vertu d'une autorisation légale : Le traitement des données personnelles est également autorisé si la législation nationale le demande, l'exige ou le permet. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement des données légalement autorisée et doivent être conformes aux dispositions légales pertinentes. S'il existe une certaine souplesse juridique, les intérêts de la personne concernée qui méritent d'être protégés doivent être pris en considération.
Traitement des données en vertu de l'intérêt légitime : Les données à caractère personnel peuvent également être traitées si elles sont nécessaires à la réalisation d'un intérêt légitime de MEBF. Les intérêts légitimes sont généralement de nature juridique ou commerciale (par exemple, la santé et la sécurité, l'utilisation de la boutique écologique). Avant de traiter les données, il est nécessaire de déterminer si l'intérêt légitime de MEBF est supplanté par les intérêts ou les droits de la personne concernée, car si tel est le cas, les données à caractère personnel ne devraient pas être traitées sur cette base. L'intérêt légitime de MEBF et les intérêts de la personne concernée doivent être identifiés et documentés avant que des mesures ne soient prises.
Traitement des données personnelles sensibles : Les données personnelles sensibles ne peuvent être traitées que si la loi l'exige ou si la personne concernée a donné son consentement exprès. S'il est prévu de traiter des données sensibles, le délégué à la protection des données doit en être informé.
Décisions individuelles automatisées : Le traitement automatisé de données à caractère personnel utilisé pour évaluer certains aspects (par exemple, la solvabilité, le risque de corruption) ne peut pas être le seul fondement de décisions ayant des conséquences juridiques négatives ou susceptibles de porter atteinte de manière significative à la personne concernée. La personne concernée doit être informée des faits et des résultats des décisions individuelles automatisées et avoir la possibilité de réagir. Afin d'éviter les décisions erronées, un test et un contrôle de plausibilité doivent être effectués par un représentant de MEBF qui doit également veiller à ce que tout profilage et toute prise de décision automatisée concernant une personne concernée soient fondés sur des données exactes.
Données des utilisateurs et Internet : Si des données personnelles sont collectées, traitées et utilisées sur des sites web ou des applis, les personnes concernées doivent en être informées dans une déclaration de confidentialité. La déclaration de confidentialité et toute information sur les cookies doivent être intégrées de manière à être facilement identifiables, directement accessibles et constamment disponibles pour les personnes concernées. Si des profils d'utilisation (tracking) sont créés pour évaluer l'utilisation des sites web et des applications, les personnes concernées doivent toujours en être informées dans la déclaration de confidentialité. Un suivi personnel ne peut être effectué qu'avec le consentement de la personne concernée. Si le suivi utilise un pseudonyme, la personne concernée doit avoir la possibilité de s'y opposer dans la déclaration de confidentialité. Si des sites web ou des applications peuvent accéder à des données personnelles dans une zone réservée aux utilisateurs enregistrés, l'identification et l'authentification de la personne concernée doivent offrir une protection suffisante lors de l'accès au site web ou à l'application.
Conservation des données
Les données à caractère personnel ne doivent être conservées que pendant la durée nécessaire à la réalisation du traitement pour lequel elles ont été collectées. Une fois que les informations ne sont plus nécessaires, elles doivent être éliminées. Les documents papier doivent être déchiquetés ou jetés dans les déchets confidentiels et les documents électroniques doivent être définitivement supprimés.
Les utilisateurs de données à caractère personnel sont responsables de la mise en place de périodes de conservation appropriées pour les informations qu'ils détiennent et gèrent, sur la base des conseils de MEBF. Les délais de conservation seront fixés en fonction des exigences légales et réglementaires et des bonnes pratiques.
Si les données sont entièrement anonymisées, il n'y a pas de délai de conservation du point de vue de la protection des données, car le GDPR ne s'applique pas aux données anonymisées.
Transmission de données
La transmission de données à caractère personnel à des destinataires internes ou externes à l'entreprise MEBF est soumise aux exigences d'autorisation pour le traitement des données à caractère personnel. Si des données sont transmises par un tiers à MEBF, il convient de s'assurer que les données peuvent être utilisées aux fins prévues.
Pour que MEBF puisse mener à bien ses opérations, il peut arriver qu'il soit nécessaire d'autoriser l'accès aux données à caractère personnel à partir d'un pays étranger. Dans ce cas, l'entité MEBF qui envoie les données personnelles reste responsable de la protection de ces données personnelles.
En règle générale, les données personnelles ne doivent pas être transmises à des tiers, en particulier s'il s'agit de données personnelles sensibles, car certaines conditions doivent être remplies avant que les données personnelles puissent être partagées avec un tiers ou avant qu'un fournisseur externe soit utilisé pour traiter les données au nom de MEBF.
Lorsqu'un prestataire externe est engagé pour traiter des données à caractère personnel, sans se voir attribuer la responsabilité du processus opérationnel correspondant (en tant que sous-traitant), les exigences suivantes doivent être respectées :
le prestataire doit être choisi en fonction de sa capacité à couvrir les mesures de protection techniques et organisationnelles requises. Un fournisseur peut prouver qu'il respecte les exigences en matière de sécurité des données, notamment en présentant une certification appropriée ; et
un accord sur le traitement des données doit être conclu, couvrant les orientations sur le traitement des données et les responsabilités du responsable du traitement et du fournisseur externe (en tant que sous-traitant).
Un fournisseur externe peut également être un contrôleur de données et l'accord entre MEBF et ce fournisseur doit clarifier les responsabilités de chaque partie en ce qui concerne les données à caractère personnel.
L'assurance de cette conformité doit être obtenue de tous les fournisseurs externes, qu'il s'agisse de sociétés ou de personnes, avant de leur accorder l'accès aux données personnelles contrôlées par MEBF.
En règle générale, le service juridique doit toujours être contacté lors de l'élaboration d'un nouveau contrat qui implique le partage ou le traitement de données à caractère personnel (voir la politique de gestion des contrats) ou lors de la réception de demandes d'informations personnelles de la part de tiers tels que des parents, la police, etc.
Le comité directeur pour la protection des données (tel que décrit à la section 13.1) effectue des audits réguliers du traitement des données à caractère personnel effectué par des fournisseurs externes et d'autres tiers, en particulier en ce qui concerne les mesures techniques et organisationnelles. Toute déficience majeure identifiée sera signalée au comité exécutif et fera l'objet d'un suivi de sa part.
Transferts de données personnelles en dehors de l'UE
Les données personnelles ne peuvent être transférées hors de Suisse ou de l'EEE (pays tiers) que sous certaines conditions. Les informations publiées sur internet doivent être considérées comme une exportation de données en dehors de l'UE. Cette règle s'applique également aux données stockées dans le cloud, à moins que le fournisseur de services ne garantisse explicitement que le stockage des données n'a lieu qu'au sein de l'UE.
En cas d'accord transfrontalier sur le traitement des données, l'une des conditions suivantes doit être remplie :
une décision de la Commission européenne prévoit que le pays ou le territoire vers lequel le transfert est effectué assure un niveau de protection adéquat ;
le transfert est soumis à une ou plusieurs des "garanties appropriées" pour les transferts internationaux prescrites par la loi applicable (par exemple, les clauses types de protection des données adoptées par la Commission européenne) ; ou
il existe une autre situation dans laquelle le transfert est autorisé par la loi applicable (par exemple, lorsque nous avons un consentement explicite).
Registres des activités de traitement
En tant que responsable du traitement des données, MEBF est tenu de tenir des registres des activités de traitement qui couvrent tous les traitements de données à caractère personnel effectués par MEBF. Ces registres contiennent notamment des informations sur les raisons pour lesquelles les données personnelles sont traitées, les types de personnes au sujet desquelles des informations sont détenues, les personnes avec lesquelles les informations personnelles sont partagées et les cas où les informations personnelles sont transférées vers des pays en dehors de l'UE.
MEBF a travaillé sur une série d'enregistrements des activités de traitement des données :
Données relatives au personnel (y compris les candidats et le personnel précédent).
Données des utilisateurs du site web et
Personnes concernées autres que le personnel et les utilisateurs du site web.
Ces registres sont conservés par le délégué à la protection des données.
Le personnel qui entreprend de nouvelles activités impliquant l'utilisation de données à caractère personnel et qui ne sont pas couvertes par l'un des registres existants des activités de traitement doit en informer le délégué à la protection des données avant de commencer la nouvelle activité.
Droits des personnes concernées et demandes d'accès
Dans le cadre du devoir de transparence et afin d'aider les personnes concernées à comprendre comment et pourquoi leurs données personnelles sont collectées et leur traitement, MEBF a publié des avis de confidentialité qui sont disponibles pour les parties prenantes suivantes sur myecobestfriend.com :
personnel :
les utilisateurs du site web (clients, visiteurs, sponsors, partenaires, fournisseurs)
Tout traitement de données dépassant le champ d’application des avis de confidentialité standard ou tout traitement de données personnelles d’autres personnes nécessitera la rédaction d’un avis de confidentialité distinct.
Ces avis de confidentialité expliquent également les décisions que les personnes concernées peuvent prendre concernant leurs données personnelles qui couvrent les droits suivants garantis par le GDPR :
Droit d'accès et de portabilité - Les personnes concernées ont le droit d'accéder aux données à caractère personnel et de demander que ces données soient fournies sous une forme structurée, couramment utilisée et lisible par machine (afin qu'elles puissent être envoyées à un autre responsable du traitement, par exemple).
Droit de rectification et qualité des données - Les personnes concernées ont le droit de demander la rectification des inexactitudes dans les données personnelles détenues à leur sujet. Des contrôles réguliers de la qualité des données doivent être effectués pour garantir leur exactitude.
Droit de restreindre les activités de traitement des données - Les personnes concernées ont le droit de demander de restreindre les activités de traitement des données (et, lorsque notre traitement est fondé sur leur consentement, elles peuvent retirer ce consentement, sans que cela n'affecte la légalité du traitement fondé sur le consentement avant son retrait).
Lorsque le traitement est restreint, nous sommes autorisés à conserver les données à caractère personnel, mais pas à les traiter ultérieurement ;
Droit d'opposition - Les personnes concernées ont le droit de s'opposer à certains types de traitement, dont le traitement à des fins de marketing direct. La personne concernée doit démontrer qu'elle a des raisons de s'opposer au traitement en raison de sa situation particulière, sauf dans le cas du marketing direct où il s'agit d'un droit absolu. Les services en ligne doivent offrir une méthode automatisée d'opposition.
Droits relatifs à la prise de décision automatisée et au profilage - Ce droit concerne les décisions automatisées ou le profilage qui pourraient avoir des conséquences importantes pour une personne. Le profilage est le traitement de données en vue d'évaluer, d'analyser ou de prédire le comportement ou toute caractéristique du comportement, des préférences ou de l'identité. Les personnes ont le droit de ne pas être soumises à des décisions fondées uniquement sur un traitement automatisé. Lorsque le profilage est utilisé, des mesures doivent être mises en place pour assurer la sécurité et la fiabilité des services.
Droit à l'oubli (effacement) - Les personnes ont le droit d'obtenir l'effacement de leurs données dans certaines situations, par exemple lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, lorsque la personne retire son consentement ou lorsque les informations sont en cours de traitement. Il existe une dérogation à cette règle pour les besoins de la recherche scientifique ou historique ou à des fins statistiques, si l'effacement rend impossible ou compromet gravement la réalisation des objectifs de la recherche.
Les droits susmentionnés ne sont pas absolus et la disponibilité des droits dépend largement de la justification légale du traitement des données.
Nous devons vérifier l'identité de la personne qui fait la demande pour confirmer que le demandeur est la personne concernée ou son représentant légal autorisé. Toute demande visant à invoquer l'un des droits susmentionnés doit être traitée gratuitement, rapidement et, en tout état de cause, dans un délai de 30 jours à compter de la réception de la demande.
Les membres du personnel doivent agir conformément à la procédure de traitement des demandes des personnes concernées jointe en annexe A et consulter le délégué à la protection des données en cas de doute.
Sécurité des données
Les données à caractère personnel doivent être protégées contre tout accès non autorisé et tout traitement ou divulgation illicite, ainsi que contre toute perte ou modification accidentelle. Cela s'applique indépendamment du fait que les données soient traitées par voie électronique ou sur papier. Cela comprend la mise en œuvre de mesures techniques et organisationnelles pour protéger les données à caractère personnel, telles que
L’anonymisation est le processus de suppression des identifiants personnels, directs et indirects, qui peuvent conduire à l’identification d’une personne. Les personnes peuvent être directement identifiées par leur nom, leur adresse, leur code postal, leur numéro de téléphone, leur photographie ou leur image, ou toute autre information personnelle unique. Les personnes peuvent également être indirectement identifiées lorsque certaines informations sont associées à d'autres sources d'information, notamment leur lieu de travail, leur fonction, leur salaire, leur code postal ou même le fait qu'elles aient un diagnostic ou une maladie particulière.
S'il peut y avoir des incitations à traiter les données sous une forme anonyme, cette technique peut dévaloriser les données, de sorte qu'elles ne sont plus utiles à certaines fins. Par conséquent, avant de procéder à l'anonymisation, il convient de réfléchir aux fins auxquelles les données seront utilisées.
La pseudonymisation est définie dans le cadre du GDPR comme "le traitement de données à caractère personnel de telle sorte que les données ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles visant à garantir la non-attribution à une personne identifiée ou identifiable.l". Le GDPR ne s'applique pas aux informations anonymes, ce qui n'est pas le cas des informations pseudonymes.
Le cryptage, qui est le processus de conversion d'informations ou de données en code, afin d'empêcher tout accès non autorisé.
Les services responsables doivent consulter régulièrement le responsable de la sécurité de l'information, car les mesures techniques et organisationnelles de protection des données à caractère personnel doivent également être adaptées en permanence aux évolutions techniques et aux changements organisationnels qui surviennent.
Dans le cadre de l'exigence du GDPR "privacy by design" et afin de garantir que la confidentialité et la protection des données ne soient pas une réflexion après coup, lors de la conception de nouveaux systèmes ou processus et/ou lors de la révision ou de l'extension de systèmes ou processus existants, chacun d'entre eux doit passer par l'étape De l'idée au projet qui contient un point de contrôle garantissant que toutes les considérations relatives à la protection de la vie privée ont été prises en compte.
Pour certains projets, le GDPR exige également la réalisation d'une analyse d'impact sur la protection des données (DPIA). Les types de circonstances dans lesquelles cette analyse est requise sont celles qui impliquent le traitement de grandes quantités de données personnelles ou la surveillance de zones évaluables par le public (par exemple, la vidéosurveillance). L'évaluation d'impact sur la protection des données est un mécanisme permettant d'identifier et d'examiner l'impact de nouvelles initiatives et de mettre en place des mesures visant à minimiser ou à réduire les risques, et cet exercice doit être dûment documenté.
Le principe du "besoin de savoir" s'applique. Les employés de My Eco Best Friend et les employés des fournisseurs externes, en tant que responsables du traitement des données, ne peuvent avoir accès aux informations personnelles que dans la mesure où cela est approprié au type et à l'étendue de la tâche en question. Cela nécessite une répartition et une séparation minutieuses, ainsi que la mise en œuvre des rôles et des responsabilités. Toute collecte, tout traitement ou toute utilisation non autorisés de ces données par les employés sont interdits. Il est notamment interdit d'utiliser des données à caractère personnel à des fins privées ou commerciales, la divulgation à des personnes non autorisées ou la mise à disposition de quelque manière que ce soit. Cette obligation reste en vigueur même après la fin d'un contrat de travail ou de traitement des données.
Tous les utilisateurs de données personnelles de MEBF doivent s'assurer que toutes les données personnelles qu'ils détiennent sont conservées en toute sécurité. La politique en matière de technologie de l'information relative à la sécurité des systèmes d'archivage manuels, au stockage de données personnelles sur des appareils portables, au retrait de données personnelles des locaux de My Eco Best Friend, au téléchargement de données personnelles sur des appareils personnels doit être strictement respectée.
Gestion des violations de données
MEBF met tout en œuvre pour éviter les violations de données à caractère personnel. Toutefois, les violations de la sécurité des données sont de plus en plus fréquentes, qu'elles soient dues à une erreur humaine ou à une action malveillante. Voici quelques exemples de violations de données personnelles :
Perte ou vol de données ou d'équipements
Contrôles d'accès inappropriés permettant une utilisation non autorisée
Défaillance de l'équipement
Divulgation non autorisée (par exemple, courriel envoyé à un mauvais destinataire)
L'erreur humaine
Attaque de piratage
En cas de violation de la protection des données, MEBF est tenu, dans la plupart des cas, de le signaler dès que possible à l'autorité de contrôle compétente, et au plus tard 72 heures après avoir pris connaissance de la violation.
Si vous avez connaissance d'un incident ou d'une violation de la sécurité des données, vous devez le signaler immédiatement. La politique de gestion des incidents de sécurité et des violations de données contient des informations détaillées sur la manière de signaler une violation et sur les informations qui seront requises.
Rôles et responsabilités
Gouvernance. Afin de démontrer son engagement en matière de protection des données et d'améliorer l'efficacité de ses efforts de mise en conformité, My Eco Best Friend a mis en place un comité de pilotage pour la protection des données. Le comité de pilotage fonctionne de manière indépendante et est composé de personnes qualifiées disposant de toutes les autorisations nécessaires. Le comité de pilotage est placé sous la supervision du responsable de la protection des données de My Eco Best Friend, qui a un accès direct au conseil d'administration.
Directeur général de la sécurité de l'information. Le responsable de la sécurité de l'information est chargé de superviser la sécurité de l'information de My Eco Best Friend. Cela comprend
élaborer, maintenir et mettre en œuvre un programme de sécurité de l'information de My Eco Best Friend ;
documenter et diffuser les politiques et procédures de sécurité de l'information ;
coordonner l'élaboration et la mise en œuvre d'un programme de formation et de sensibilisation à la sécurité de l'information de My Eco Best Friend ;
effectuer une évaluation des risques et s'assurer que les considérations relatives à la sécurité des informations ont été prises en compte dans le cadre du processus de conception/expansion/révision des systèmes ou des processus ;
coordonner avec le délégué à la protection des données la réponse aux violations de données et aux incidents de sécurité réels ou suspectés, conformément à la politique de gestion des violations de données.
Délégué à la protection des données (DPD). Le délégué à la protection des données est le principal responsable de la conformité de My Eco Best Friend avec les règles de protection des données :
la notification de My Eco Best Friend's auprès de l'autorité de surveillance compétente ;
le traitement des demandes d'accès des personnes concernées et des demandes de tiers concernant des données à caractère personnel ;
promouvoir et maintenir la sensibilisation aux lois et règlements en matière de protection des données, y compris la formation ;
enquêter sur les violations de données et les incidents de sécurité conformément à la politique de gestion des violations de données.
Contact du DPD pour la société My Eco Best Friend :
Chemin du Creux-Bechet, 6, 1096, Villette (Suisse)
T : +41 (0)798479155
Directeur. Il incombe aux responsables de veiller à ce que leur personnel comprenne le rôle des principes de protection des données dans leur travail quotidien, par le biais d'une initiation, d'une formation et d'un suivi des performances, et de contrôler le respect de ces principes dans leurs propres domaines de compétence. Ils doivent également veiller à tenir le délégué à la protection des données informé des changements intervenus dans la collecte, l'utilisation et la sécurité des données à caractère personnel au sein de leur service.
MEBF s'attend à ce que ses employés et tous les entrepreneurs, fournisseurs, agences, travailleurs temporaires ou toute autre partie agissant au nom de MEBF (collectivement, "Parties externes") qui recueillent ou gèrent des renseignements personnels suivent cette politique, qu'ils utilisent les systèmes électroniques et les outils de gestion des données de MEBF et/ou les leurs. Les employés de MEBF sont responsables de s'assurer que toutes les parties externes avec lesquelles ils travaillent pour soutenir les opérations de MEBF se conforment à cette politique.
Impact de la non-conformité
MEBF pourrait se voir infliger une lourde amende pour non-respect de la politique de protection des données.
Chaque service de MEBF doit procéder à sa propre évaluation de la conformité à la présente politique. En outre, MEBF peut évaluer périodiquement si les employés et les tiers concernés respectent la présente politique et les normes et procédures connexes de MEBF lorsqu'ils traitent des données à caractère personnel. Le cas échéant, des mesures de suivi appropriées sont mises en œuvre.
Le non-respect de cette politique par les employés peut entraîner des mesures disciplinaires pouvant aller jusqu'à la résiliation du contrat. Pour les parties externes qui collectent ou gèrent des données à caractère personnel au nom de MEBF, le non-respect de la présente politique peut avoir des conséquences commerciales négatives, pouvant aller jusqu'à la rupture de la relation commerciale, et le personnel peut également voir sa responsabilité pénale engagée s'il obtient et/ou divulgue des données à caractère personnel à ses propres fins, en toute connaissance de cause ou par imprudence.
Général
La présente politique est en vigueur depuis le 21 novembreth2021 et est disponible sur myecobestfriend.com.
Le Bureau de la protection des données est responsable de la mise à jour et de l'exactitude de cette politique. Les employés de MEBF seront informés des révisions importantes. Les modifications apportées à la présente politique entreront en vigueur dès leur publication sur myecobestfriend.com.
Objectif
Cette procédure définit les principales caractéristiques concernant le traitement ou la réponse aux demandes d'accès aux données personnelles faites par les personnes concernées, leurs représentants légaux ou d'autres parties intéressées. Cette procédure permettra à MEBF de se conformer aux obligations légales, d'améliorer la transparence, de permettre aux personnes de vérifier l'exactitude des informations détenues à leur sujet et d'augmenter le niveau de confiance en étant ouvert avec les personnes sur les informations détenues à leur sujet.
La demande d'une personne concernée est toute demande faite par une personne ou son représentant légal concernant les informations détenues par MEBF sur cette personne.
Une demande doit être faite par écrit. En général, les demandes verbales d'informations détenues sur un individu sont pas valide. Une demande peut être faite par courrier électronique, par courrier postal, sur le site web de l'entreprise ou par toute autre méthode disponible.
MEBF doit fournir une réponse aux personnes concernées demandant l'accès à leurs données dans un délai de 30 jours civils à compter de la réception de la demande, sauf si la législation locale en dispose autrement.
Afin d'être en mesure de répondre à la demande en temps utile, la personne concernée doit :
Soumettre sa demande en utilisant un formulaire de demande d'accès à des renseignements personnels (voir modèle ci-joint).
Fournir à MEBF des informations suffisantes pour valider son identité (pour s'assurer que la personne qui demande les informations est la personne concernée ou son représentant légal).
Sous réserve des exemptions mentionnées dans le présent document, MEBF fournira des informations aux personnes concernées dont les demandes sont écrites et proviennent d'une personne dont l'identité peut être validée par MEBF.
Toutefois, MEBF ne fournira pas de données si les ressources nécessaires à leur identification et à leur extraction sont excessivement difficiles ou prennent trop de temps. Les demandes ont plus de chances d'aboutir lorsqu'elles sont spécifiques et ciblées sur un élément d'information particulier.
Les facteurs qui peuvent aider à réduire la portée d'une recherche comprennent l'identification du détenteur probable de l'information (par exemple, en faisant référence à un service spécifique), la période au cours de laquelle l'information a été générée ou traitée (plus la période est courte, plus la demande a de chances d'aboutir) et la spécificité de la nature des données recherchées (par exemple, une copie d'un formulaire particulier ou des enregistrements de courrier électronique d'un service particulier).
Demande
Dès réception d'une demande, le délégué à la protection des données en accusera réception. Le demandeur peut être amené à remplir un formulaire de demande d'accès à des informations personnelles afin de permettre à MEBF de trouver les informations pertinentes.
Le délégué à la protection des données doit vérifier l'identité de toute personne faisant une demande afin de s'assurer que les informations ne sont communiquées qu'à la personne qui a le droit de les recevoir. Si l'identité d'un demandeur n'a pas encore été fournie, la personne recevant la requête demandera a la personne faisant la demande de s'identifier.
Si le demandeur n'est pas la personne concernée, une confirmation écrite que le demandeur est autorisé à agir au nom de la personne concernée est requise.
Dès réception des documents requis, la personne qui reçoit la demande fournit au délégué à la protection des données toutes les informations pertinentes à l'appui de la demande. Lorsque le délégué à la protection des données est raisonnablement satisfait des informations présentées par la personne qui a reçu la demande, il informe le demandeur qu'il aura répondu à sa demande dans un délai de 30 jours civils. Le délai de 30 jours commence à la date de réception des documents requis. Le délégué à la protection des données informera par écrit le demandeur de tout écart par rapport au délai de 30 jours dû à d'autres événements.
Le délégué à la protection des données contactera le(s) service(s) concerné(s) et lui demandera les informations requises dans la demande. Cela peut également impliquer une première réunion avec le service concerné afin d'examiner la demande si nécessaire. Le service qui détient les informations requises doit les renvoyer dans le délai imposé par le délégué à la protection des données et/ou une nouvelle réunion est organisée avec le service pour examiner les informations. Le délégué à la protection des données déterminera si certaines informations peuvent faire l'objet d'une dérogation et/ou s'il est nécessaire d'obtenir le consentement d'un tiers.
Le délégué à la protection des données doit s'assurer que les informations sont examinées/reçues dans le délai imposé afin de garantir le respect du délai de 30 jours civils.
Le délégué à la protection des données fournira la réponse finale avec les informations extraites du ou des services et/ou une déclaration indiquant que My Eco Best Friend ne détient pas les informations demandées ou qu'une exemption s'applique. Le délégué à la protection des données veillera à ce qu'une réponse écrite soit envoyée au demandeur. Celle-ci sera envoyée par courrier électronique, à moins que le demandeur n'ait spécifié une autre méthode pour recevoir la réponse (par exemple, par courrier postal).
Après l’envoi de la réponse au demandeur, la demande sera considérée comme close et sera archivée par le délégué à la protection des données.
En principe, My Eco Best Friend ne divulguera pas les types d'informations suivants en réponse à une demande :
Informations concernant d'autres personnes - Une demande peut porter sur des informations concernant une ou plusieurs personnes autres que la personne concernée. L'accès à ces données ne sera accordé que si les personnes concernées consentent à la divulgation de leurs données.
Demandes répétées - Lorsqu'une demande similaire ou identique concernant la même personne concernée a déjà été satisfaite dans un délai raisonnable et qu'il n'y a pas de changement significatif dans les données à caractère personnel détenues concernant cette personne, toute nouvelle demande sera considérée comme une demande répétée et My Eco Best Friend ne fournira normalement pas de nouvelle copie des mêmes données.
Informations accessibles au public - My Eco Best Friend n'est pas tenu de fournir des copies de documents qui sont déjà dans le domaine public.
Documents privilégiés - toute information protégée détenue par MEBF ne doit pas être divulguée. En général, les informations protégées comprennent tout document qui est confidentiel et qui est créé dans le but d’obtenir ou de donner un avis juridique.
La responsabilité générale du respect de cette procédure incombe au délégué à la protection des données.
Si My Eco Best Friend agit en tant que responsable du traitement des données à l'égard de la personne concernée par la demande, cette dernière sera traitée sur la base des dispositions de la présente procédure.
Si My Eco Best Friend agit en tant que sous-traitant, le délégué à la protection des données transmettra la demande au responsable du traitement approprié au nom duquel My Eco Best Friend traite les données personnelles de la personne concernée par la demande.
FR 
EN 
IT 
DE 