Choose another country/language to see content specific to your location.

ATPI Politique de protection des données

1.1 Cette Politique définit les exigences pour assurer le respect des lois et règlements applicables à la cueillette, l'utilisation, le traitement et le transfert des données personnelles d'ATPI à travers le monde.

2. Cadre

2.1 ATPI s'engage à respecter les lois applicables en matière de protection des données dans les pays dans lesquels elle (« la Société ») opère. En raison des différences au sein de ces juridictions, la Société a adopté cette politique de protection des données qui crée un ensemble commun de valeurs, de politiques et de procédures visant à assurer la conformité générique, complété (le cas échéant) par des instructions et des directives supplémentaires applicables dans ces juridictions avec des exigences uniques.

 

2.2 Cette politique est basée sur le Règlement 2016/679 de l'Union européenne et le Règlement général sur la protection des données (RGPD), qui fournit un modèle générique robuste pour le respect de la confidentialité. La Société a aussi mis en place un Accord de transfert de données intragroupe (ATDI) basé sur les clauses types reconnues de l'UE, qui doit être autorisé pour le transfert mondial et le sous-traitement ultérieur des données dans l'ensemble de son réseau mondial de filiales du groupe.

 

2.3 Cette politique s'applique à tous les employés à temps plein et à temps partiel de la Société, aux employés des agences et à tous les fournisseurs et clients qui reçoivent des données personnelles de la Société, ont accès aux données personnelles qui sont cueillies ou traitées par la Société, ou qui lui fournissent des informations, indépendamment du lieu de travail.

 

2.4 Comme engagement à la politique, la Société ne traitera pas les données personnelles sans un fondement juridique reconnu pour un tel traitement. Afin d'assurer le respect des lois sur la protection des données, la Société établira correctement son statut pour tous les traitements de données en tant que responsable du traitement des données, ou en tant que contrôleur des données, ou en agissant comme responsable du traitement des données pour un autre contrôleur des données.

 

3. Conformité du Groupe

3.1 Le programme de conformité des données de la Société sera supervisé par le chef de la conformité du groupe (CCG), assisté par le personnel de conformité et les vérificateurs internes nommés localement. Les responsabilités peuvent être déléguées par le CCG.

 

3.2 Le CCG mettra en application la politique et les procédures internationales de protection des données de la Société et l'ATDI, ainsi que toutes les obligations requises par les lois de protection des données, notamment :

 

3.2.1     Déterminer si une notification à une ou plusieurs autorités de protection des données est nécessaire en raison des activités de traitement des données de la Société, puis effectuer toute notification requise, et maintenir ces notifications à jour.

3.2.2     Concevoir et mettre en œuvre des programmes de formation continue pour les employés afin d'assurer le respect des lois sur la protection des données.

 

3.2.3     Établir (avec la participation du département informatique et du service juridique) des procédures et des dispositions contractuelles standard pour obtenir le respect de cette politique par les sociétés du groupe, clients, fournisseurs et tiers qui reçoivent des données personnelles de la Société, ont accès aux données personnelles recueillies ou traitées par celle-ci ou qui fournissent des informations à la Société, indépendamment de leur emplacement géographique.

 

3.2.4     Établir des mécanismes de vérification périodique de la conformité à la présente politique, aux procédures de mise en œuvre et aux lois applicables.

 

3.2.5     Établir, maintenir et exploiter un système permettant de répondre rapidement et de manière appropriée aux demandes des personnes concernées concernant l'exercice de leurs droits.

 

3.2.6     Établir, maintenir et exploiter un système pour la divulgation automatique, rapide et appropriée aux autorités compétentes et aux personnes concernées de toute perte de données personnelles.

 

3.2.7     Informer les cadres supérieurs, les dirigeants et les administrateurs de la Société des sanctions civiles et pénales qui pourraient être imposées à la Société et/ou à ses employés pour avoir enfreint les lois applicables de protection des données personnelles et corporatives.

 

3.2.8     Veiller à ce que les plans de gestion des risques liés à la protection des données soient mis en œuvre efficacement et rapidement.

 

3.2.9     Veiller à ce que le conseil d'administration, la direction et les autres parties prenantes soient suffisamment rassurés quant à l'efficacité des procédures et des audits en matière de protection des données.

 

4. Principes de protection des données

 

4.1 La Société a adopté les principes suivants pour régir l'utilisation, la cueillette, le traitement et la transmission des données personnelles, sauf dans les cas expressément prévus par la présente politique ou si les lois applicables l'exigent :

 

 4.1.1     Les données personnelles ne seront traitées que dans le cadre d'un traitement juste et licite.

 

 4.1.2     Les données personnelles ne seront obtenues qu'à des fins spécifiées, explicites, licites et légitimes, et ne seront pas traitées ultérieurement d'une manière incompatible avec ces fins.

 

 4.1.3     Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et/ou traitées.

 

 4.1.4     Les données personnelles ne seront pas cueillies ou traitées sans qu'un fondement juridique pour le traitement ne soit correctement établi.

 

4.2 Des mesures physiques, techniques et procédurales appropriées doivent être prises pour :

 

 4.2.1     Empêcher et/ou identifier la cueillette, le traitement et la transmission non autorisés ou illicites de données personnelles ; et

 

 4.2.2     Prévenir la perte accidentelle, la destruction ou l'endommagement des données personnelles.

 

5. Transfert à des tiers

 

5.1 Les données personnelles ne seront pas transférées à une autre entité, un autre pays ou territoire, à moins que des mesures raisonnables et appropriées n'aient été prises pour établir et maintenir le niveau requis de sécurité des données.

 

5.2 Les données personnelles ne peuvent être communiquées à des tiers que pour des raisons compatibles avec les finalités pour lesquelles elles ont été cueillies à l'origine ou d'autres finalités autorisées par la loi.

 

5.3 Tous les transferts de données personnelles à des tiers à des fins de traitement ultérieur doivent faire l'objet d'accords écrits, d'une base juridique pour le transfert ou d'un transfert interne de données en vertu de l'ATDI de la Société.

 

5.4 Les données personnelles de l'UE ne seront pas transférées vers un pays ou territoire en dehors de l'Espace économique européen (EEE) à moins que le transfert ne soit effectué vers un pays ou territoire reconnu par l'UE comme ayant un niveau adéquat de sécurité des données ou vers les États-Unis dans le cadre du Bouclier de protection des données UE-États-Unis, auquel la Société est enregistrée.

 

5.5 Sous réserve des dispositions ci-dessus, les données personnelles peuvent être transférées quand l'une des conditions suivantes s'applique :

 

5.5.1     La personne concernée a donné son consentement au transfert proposé ;

 

5.5.2     Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée (personnellement ou par l'intermédiaire de la Société dont elle relève comme client de la Société) et la Société ;

 

5.5.3     Le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre la Société et un tiers ou l'employeur de la personne concernée ;

 

5.5.4     Le transfert est nécessaire ou légalement requis pour des raisons importantes d'intérêt public, ou pour l'établissement, l'exercice ou la défense de droits légaux ;

 

5.5.5     Le transfert est requis par la loi ;

 

5.5.6     Le transfert est nécessaire afin de protéger les intérêts vitaux de la personne concernée.

 

6. Prévention des systèmes informatiques non conformes

 

6.1 Le directeur des systèmes d’information (DSI) de la Société doit établir une procédure d'évaluation des répercussions de toute technologie nouvelle ou existante sur la confidentialité et la sécurité des données personnelles.

 

6.2 Aucun nouveau système ou nouvelle version d'un système existant ne peut être mis à disposition avant que le CCG n'ait obtenu de la part du DSI la confirmation écrite qu'il n'y aurait aucune transgression des lois sur la protection des données.

 

7. Sources des données personnelles

 

7.1 Les données personnelles ne sont cueillies qu'auprès de la personne concernée, à moins que la nature de l'objectif commercial n'exige la collecte des données auprès d'autres personnes ou organismes.

 

7.2 Si des données personnelles sont cueillies auprès d'une personne autre que la personne concernée, l'unité commerciale qui cueille les données doit obtenir confirmation écrite du fournisseur des données qu'il existe un fondement juridique pour leur traitement et leur transfert à la Société.

 

8. Droits des personnes concernées

 

8.1 Les personnes concernées ont le droit d'obtenir des informations sur leurs propres données détenues par la Société en faisant une demande écrite dans le format indiqué ici, ce qui permet d'enregistrer cette demande.

 

8.2 La Société devra fournir sa réponse à une demande ci-dessus dans les 40 jours suivant la date de la demande écrite, ou dans un délai plus court si la législation applicable en matière de protection des données l'exige.

 

8.3 Les personnes concernées ont le droit d'exiger de la Société qu'elle corrige ou complète les données personnelles erronées, trompeuses, périmées ou incomplètes les concernant.

 

8.4 Veuillez consulter la déclaration de confidentialité des données sur le site Web de la Société pour en savoir plus sur les droits des personnes concernées.

 

9. Données sensibles (catégorie spéciale)

 

9.1 Les données personnelles sensibles ne doivent pas être traitées sauf si :

 

9.1.1     Ce traitement est expressément autorisé ou requis par la loi.

 

9.1.2     La personne concernée donne son consentement de manière formelle et sans ambiguïté.

 

9.1.3     Quand la personne concernée est physiquement ou légalement incapable de donner son consentement, mais que le traitement est nécessaire pour protéger un intérêt vital de la personne concernée. Cette exemption peut s'appliquer, par exemple, quand des soins médicaux d'urgence sont nécessaires.

 

9.1.4     Les données relatives aux infractions criminelles ne peuvent être traitées que par ou sous le contrôle du département juridique.

 

10. Assurance de la qualité des données

 

10.1 Les données personnelles ne doivent être conservées que pour la durée nécessaire aux utilisations autorisées. La Société a établi une politique de conservation des données qui détermine les délais applicables à la suppression des données.

 

10.2 Les données personnelles seront effacées si leur stockage enfreint toute loi sur la protection des données ou si la Société n'en a plus besoin, ou à la demande de la personne concernée.

 

11. Traitement intragroupe

11.1 Quand la Société fait appel à une autre société du groupe pour l'assister dans le cadre de ses activités de traitement, la Société conclura avec cette autre société du groupe un Accord de transfert de données basé sur les clauses types de l'UE afin de garantir que la responsabilité des données est clairement définie, les deux parties pouvant être considérées comme des contrôleurs de données.

 

11.2 Quand l'autre société du groupe est située à l'étranger, les sociétés du groupe impliquées dans le traitement sont respectivement appelées Exportateur de données et Importateur de données, bien qu'il puisse y avoir plus d'un Importateur de données impliqué dans le traitement.

 

12. Traitement par des tiers.

 

12.1 De même, quand la Société fait appel à des tiers pour l'assister dans ses activités de traitement, la Société choisira un responsable de traitement de données qui fournira des mesures de sécurité suffisantes et prendra des mesures raisonnables pour assurer le respect de ces mesures et, dans le cas de tout tiers aux États-Unis, qui sera aussi inscrit au Bouclier de protection de données UE-États-Unis.

 

13. Contrats écrits pour des tiers responsables du traitement.

13.1 La Société conclura un contrat écrit avec chaque responsable du traitement des données l'obligeant à se conformer aux lois sur la protection des données et aux exigences de sécurité imposées à la Société par la législation locale.

 

14. Vérification des tiers responsables du traitement.

14.1 Dans le cadre du processus de vérification interne des données de la Société, celle-ci procédera à des contrôles périodiques des traitements effectués par des personnes tierces, et en particulier pour les procédures de transfert des données surtout en ce qui concerne les mesures de sécurité.

 

15. Avis aux administrateurs, aux gestionnaires et aux agents des sanctions potentielles en cas de non-conformité

 

15.1 Le CCG doit aviser les administrateurs, les gestionnaires et les autres dirigeants de la Société que :

 

15.1.1     Le non-respect des lois applicables sur la protection des données peut entraîner des poursuites pénales et civiles, y compris des amendes, des peines d'emprisonnement et des dommages-intérêts ; et

 

15.1.2     Ils peuvent être tenus personnellement responsables quand une infraction est commise par la Société avec leur consentement ou leur complicité, ou est attribuable à toute négligence de leur part.

 

16. Sécurité des données

 

16.1 La Société a mis en place une politique de gestion de la sécurité des données, en vertu de laquelle elle doit adopter des mesures physiques, techniques et organisationnelles pour assurer la sécurité des données personnelles, y compris la prévention de leur altération, perte, dommage, traitement ou accès non autorisé, et ce, au vu de leur nature et aux risques auxquels elles sont exposées en raison de l'action humaine ou de l'environnement physique ou naturel. Ces mesures seront documentées dans la Politique de gestion de la sécurité des données, qui sera révisée au moins une fois par année ou, au besoin, pour tenir compte des changements importants apportés aux mesures de sécurité.

 

16.2 Les mesures de sécurité adéquates devraient comprendre toutes les mesures suivantes :

 

16.2.1     Prévenir l'accès de personnes non autorisées aux systèmes de traitement des données dans lesquels les données personnelles sont traitées.

 

16.2.2     Empêcher les personnes autorisées à utiliser un système de traitement de données d'accéder aux données au-delà de leurs besoins et autorisations.

 

16.2.3     Veiller à ce que les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation dans leur transfert électronique pendant le transport ou la conservation sur un support de données.

 

16.2.4     S'assurer que les données personnelles sont protégées contre la destruction ou la perte non désirée.

 

16.2.5     Veiller à ce que les données cueillies à des fins différentes puissent être et seront traitées séparément.

 

16.2.6     Veiller à ce que les données ne soient pas conservées plus longtemps que prévu dans la politique de conservation des données, notamment en exigeant que les données transférées à des tiers soient retournées ou détruites.

 

17. Mesure de la conformité.

 

17.1 Le CCG doit établir un calendrier et mettre en œuvre une vérification de la conformité en matière de protection de la confidentialité pour toutes les unités opérationnelles. Le CC, en collaboration avec les unités d'affaires, doit élaborer un plan et un calendrier pour corriger toute lacune identifiée dans un délai fixe et raisonnable.

 

17.2 Chaque unité d'affaires de la Société révisera annuellement ses pratiques de collecte, de traitement et de sécurité des données et déterminera les données personnelles qu'elle recueille, y compris celles qui sont conservées dans des systèmes manuels qui constituent des « systèmes de classement pertinents ».

 

17.3 L'information recueillie dans le cadre de cet exercice annuel doit être transmise au CCG à des fins d’examen et l’adoption de mesures appropriées, y compris, sans s’y limiter :

 

17.3.1   Faire des recommandations en vue d'améliorer les politiques et les procédures afin d'améliorer la conformité à la présente politique et aux lois applicables.

 

17.3.2 Satisfaire aux exigences d'autocertification de conformité au sein des autorités locales de protection des données et de conformité à l'ATDI de la Société.

 

18. Mise en œuvre

 

18.1 La présente politique doit être mise à la disposition des employés par l'intermédiaire du système de conformité de la Société, et une version publique abrégée doit être mise à la disposition des autres employés sur le site Web de la Société.

 

18.2 La présente politique peut être révisée en tout temps, mais au moins une fois par année, par le CCG. L'avis des révisions importantes doit être transmis aux employés par l'entremise du système de conformité de la Société et aux autres personnes par l'entremise du site Web de la Société.

 

Michael Beacher

Chef de la conformité du Groupe

Novembre 2018

 

 

Annexe A

 

Glossaire

 

Consentement : Par consentement, on entend « toute indication librement donnée, spécifique et informée de sa volonté par laquelle la personne concernée donne son accord au traitement des données personnelles qui la concernent ».

 

Néanmoins, le consentement peut être obtenu de plusieurs façons. Il peut s'agir de clauses dans les contrats de travail, de cases à cocher sur les réponses aux formulaires de demande ou d'achat, et de cases à cocher sur les formulaires en ligne où les données personnelles sont entrées.

 

Dans la plupart des pays de l'Union européenne, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu'une certaine forme de consentement spécifique et actif est requise. Cette exigence est parfois moins évidente en dehors de l'UE.

 

Données : Les données (qu'elles soient ou non accompagnées d'une majuscule initiale) telles qu'elles sont utilisées dans la présente politique sont des renseignements qui, selon le cas :

 

sont traités au moyen d'équipements fonctionnant automatiquement en réponse à des instructions données à cet effet ;

 

sont enregistrés dans l'intention d'être traités au moyen d'un tel équipement ;

 

sont enregistrés comme faisant partie d'un système de classement pertinent ou avec l'intention qu'ils fassent partie d'un système de classement pertinent ;

 

ne fait pas partie de l'une ou l'autre de ces catégories, mais fait partie d'un document facilement accessible couvrant une personne. Par conséquent, les données comprennent toutes les données numériques fournies par un ordinateur ou un équipement automatisé, les enregistrements téléphoniques et toute information manuelle qui fait partie d'un système de classement pertinent.

 

Contrôleur de données : Désigne une personne qui (seule ou avec d'autres) détermine les finalités et la manière dont les données personnelles sont, ou doivent être, traitées. Généralement, la Société elle-même sera le contrôleur de données dans la plupart des cas.

 

Exportateur de données : Par exportateur de données, on entend le contrôleur de données ou le responsable du traitement des données qui transfère les données personnelles à l'étranger.

 

Importateur de données : Désigne le contrôleur des données ou le responsable du traitement des données qui accepte de recevoir de l'exportateur de données des données personnelles à des fins de traitement ultérieur conformément aux dispositions de la présente politique et à l'accord de transfert de données applicable.

 

Responsable du traitement des données : Désigne toute personne, autre qu'un employé du contrôleur des données, qui traite les données au nom du contrôleur des données. Une société peut être un responsable du traitement des données si elle est définie comme tel dans le cadre d'un contrat conclu avec le contrôleur des données.

 

Autorité de protection des données : Organisme chargé de la protection des données et de la confidentialité. Les autorités sont créées pour faire valoir les droits de l'information dans l'intérêt tant public que privé.

 

Lois sur la protection des données : La loi de 2018 sur la protection des données et le Règlement général sur la protection des données (règlement 2016/679 de l’UE) ; toute législation sur la protection des données en dehors de l'UE dans les pays où ATPI opère ; et les règlements de 2003 sur les communications électroniques (directive de la CE) et toute révision de ceux-ci.

 

Sécurité des données : Mesures que le contrôleur et le responsable du traitement des données doivent mettre en œuvre pour assurer le respect des principes de protection des données par conception et par défaut et pour garantir un niveau de sécurité approprié au risque pour les droits et libertés des personnes, compte tenu de l'état de la technique, du coût de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

 

Personne concernée : La personne à laquelle les données se rapportent. Les personnes concernées sont les clients et les utilisateurs du Web, les personnes figurant sur les listes de contacts/courriel ou les bases de données marketing, les employés, les sous-traitants et les fournisseurs.

 

Bouclier de protection des données UE-États-Unis : Structure élaborée par le département américain du Commerce et la Commission européenne pour permettre les échanges transatlantiques de protection des données à des fins commerciales. Le Bouclier de protection des données UE-États-Unis permet aux entreprises de l'UE et des États-Unis de se conformer aux exigences en matière de protection des données au moment du transfert de données personnelles de l'UE vers les États-Unis.

 

Données personnelles : Désigne les données relatives à une personne vivante qui peuvent être identifiées à partir de ces données ou de ces données et d'autres informations en possession ou susceptibles d'entrer en possession d'un contrôleur de données ou d'un responsable du traitement des données. Les données personnelles ne comprennent pas les renseignements qui ont été rendus anonymes, encodés ou autrement dépourvus de leurs identificateurs, ni les renseignements qui sont accessibles au public, sauf s'ils sont combinés à d'autres renseignements personnels non publics.

 

Traitement : Le traitement couvre une grande variété d'opérations relatives aux données, y compris l'obtention, l'enregistrement ou la conservation des données ou l'exécution de toute opération ou tout ensemble d'opérations sur les données, notamment:

 

Organisation, adaptation ou modification ;

Divulgation par transfert, diffusion ou autre ; et

Alignement, combinaison, blocage, effacement ou destruction.

Le terme « transformé » doit être interprété en conséquence.

 

Système de classement pertinent : Tout ensemble de renseignements concernant des individus, qu'ils soient conservés dans des dossiers manuels ou électroniques, structurés, soit par référence à des individus, soit par référence à des critères concernant des individus, de telle sorte que des renseignements particuliers concernant un individu particulier soient facilement accessibles.

 

Par conséquent, toute base de données numérique et/ou tout fichier manuel organisé concernant des personnes vivantes identifiables relève du cadre législatif et réglementaire en matière de protection des données, tandis qu'une base de données contenant des informations purement statistiques ou financières (qui ne peuvent être directement ou indirectement liées à une personne vivante identifiable) ne le sera pas.

 

Données sensibles : Désigne les données personnelles contenant des informations de la personne concernée sur son/ses :

 

Origine ethnique ou raciale ;

Croyances religieuses ou autres croyances de nature similaire ;

Opinions politiques ;

Santé ou état physique ou mental ;

Antécédents sexuels ou orientation sexuelle ;

Appartenance syndicale ;

Toute infraction ou allégation de commission d'une infraction et toute procédure judiciaire connexe.

 

Technologie : La technologie doit être interprétée au sens large, pour inclure tout moyen de collecte ou de traitement des données, y compris, sans s'y limiter, les ordinateurs et les réseaux, les systèmes de télécommunications, les dispositifs d'enregistrement vidéo et audio, les dispositifs biométriques, la télévision en circuit fermé, etc.