Vie privée

Politique de protection des données

1. Cette Politique définit les exigences pour assurer la conformité avec les lois et réglementations applicables à la collecte, l’utilisation, le traitement et le transfert de Données Personnelles d’ATPI dans le monde entier.

2. Champ d’application

2.1 ATPI s’engage à respecter les lois applicables en matière de protection des données dans les pays où elle opère (la « Société »). En raison des différences entre ces juridictions, la Société a adopté cette politique de protection des données qui crée un noyau commun de valeurs, de politiques et de procédures visant à assurer une conformité générique, complétée (le cas échéant) par des instructions et des directives supplémentaires applicables dans les juridictions ayant des exigences spécifiques.

2.2 La présente politique est fondée sur le règlement (UE) 2016/679 et le règlement général sur la protection des données (RGPD), qui fournit un modèle générique solide pour le respect de la vie privée. La Société a également établi un accord intragroupe de transfert de données (IGDTA) basé sur les clauses modèles reconnues de l’UE, qui doit être autorisé pour le transfert mondial, et le sous-traitement ultérieur, des données dans l’ensemble de son réseau mondial de sociétés du groupe.

2.3 Cette Politique s’applique à tous les employés à temps plein et à temps partiel de la Société, aux employés d’agence, et à tous les fournisseurs et clients qui reçoivent des Données Personnelles de la Société, ont accès aux Données Personnelles collectées ou traitées par la Société, ou qui fournissent des informations à la Société, quelle que soit leur localisation géographique.

2.4 Conformément à son engagement politique, la Société ne traitera pas de données personnelles sans une base juridique reconnue pour un tel traitement. Afin de garantir la conformité aux lois sur la protection des données, la Société établira correctement son statut pour tout traitement de données en tant que responsable du traitement ou sous-traitant des données.

3. Conformité du groupe

3.1 Le programme de conformité des données de la Société sera supervisé par le responsable de la protection des données de la société, assisté par un responsable de la protection des données et par du personnel de conformité et des auditeurs internes nommés localement. Les responsabilités peuvent être déléguées par le DPO.

3.2 Le DPO mettra en œuvre la Politique et les procédures internationales de Protection des Données de la Société et l’IGDTA, ainsi que toutes les obligations requises par les Lois de Protection des Données, incluant :

3.2.1 Déterminer si une notification à une ou plusieurs autorités de protection des données est nécessaire en raison des activités de traitement des données de la Société, puis procéder à toute notification requise et tenir ces notifications à jour.

3.2.2 Concevoir et mettre en œuvre des programmes permanents de formation des employés afin de garantir le respect des lois sur la protection des données.

3.2.3 Établir (avec la participation des services informatiques et juridiques) des procédures et des dispositions contractuelles standard pour obtenir le respect de la présente politique par les sociétés du groupe, les clients, les fournisseurs et les tiers qui reçoivent des données à caractère personnel de la société, qui ont accès aux données à caractère personnel collectées ou traitées par la société, ou qui fournissent des informations à la société, quelle que soit leur situation géographique.

3.2.4 Mettre en place des mécanismes d’audit périodique du respect de la présente politique, des procédures de mise en œuvre et de la législation applicable.

3.2.5 Établir, maintenir et exploiter un système de réponses rapides et appropriées aux personnes concernées qui exercent leurs droits.

3.2.6 Établir, maintenir et exploiter un système de divulgation rapide et appropriée aux autorités compétentes et/ou aux personnes concernées, comme l’exigent les lois sur la protection des données.

3.2.7 Informer les cadres supérieurs, les dirigeants et les administrateurs de la Société des sanctions/amendes civiles et pénales potentielles pour les entreprises et les personnes qui peuvent être imposées à la Société et/ou à ses employés en cas de violation des lois applicables sur la protection des données.

3.2.8 Veiller à ce que les plans de gestion des risques liés à la protection des données soient mis en œuvre efficacement et rapidement.

3.2.9 Veiller à ce que le conseil d’administration, la direction et les autres parties prenantes reçoivent une assurance adéquate quant à l’efficacité des procédures et des audits en matière de protection des données.

4. Principes de protection des données

4.1 La Société a adopté les principes suivants pour régir son utilisation, sa collecte, son traitement et sa transmission de Données Personnelles, sauf disposition spécifique de cette Politique ou exigence des lois applicables :

4.1.1 Les données personnelles ne doivent être traitées que de manière équitable et licite.

4.1.2 Les Données Personnelles ne doivent être obtenues que pour des finalités spécifiées, explicites, légales et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

4.1.3 Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et/ou traitées.

4.1.4 Les données personnelles ne doivent pas être collectées ou traitées à moins qu’une base juridique pour le traitement ne soit correctement établie.

4.2 Des mesures physiques, techniques et procédurales appropriées doivent être prises pour :

4.2.1 Prévenir et/ou identifier la collecte, le traitement et la transmission non autorisés ou illégaux de Données Personnelles ; et

4.2.2 Prévenir la perte accidentelle ou la destruction de, ou les dommages aux, Données Personnelles

5. Transferts à des tiers

5.1 Les données personnelles ne doivent pas être transférées à une autre entité, un autre pays ou territoire, à moins que des mesures raisonnables et appropriées n’aient été prises pour établir et maintenir le niveau de sécurité des données requis.

5.2 Les Données Personnelles ne peuvent être communiquées à des tiers que pour des raisons cohérentes avec les finalités pour lesquelles les Données ont été initialement collectées ou d’autres finalités autorisées par la loi.

5.3 Tous les transferts de données personnelles à des tiers pour un traitement ultérieur doivent être soumis à des accords écrits, à une base juridique pour le transfert, ou en vertu de l’IGDTA de la Société pour les transferts de données internes et en pleine conformité avec les lois applicables sur la protection des données.

5.4 Les Données Personnelles UE ( RU) ne doivent pas être transférées vers un pays ou territoire en dehors de l’Espace Économique Européen (EEE) à moins que le transfert ne soit effectué vers un pays ou territoire reconnu par l’UE comme ayant un niveau adéquat de Sécurité des Données, ou vers les États-Unis sous le Cadre de Confidentialité des Données US.

6. Prévention des systèmes informatiques non conformes

6.1 Le responsable de la sécurité des systèmes d’information (RSSI) de la Société doit établir une procédure d’évaluation de l’impact de toute technologie nouvelle ou existante sur la confidentialité et la sécurité des données personnelles.

6.2 Aucun nouveau système ou nouvelle version d’un système existant ne doit être mis à disposition avant que le DPO n’ait obtenu une confirmation écrite du RSSI qu’il n’y aurait aucune violation des lois sur la protection des données.

7. Sources des données à caractère personnel

7.1 Les données personnelles ne doivent être collectées qu’auprès de la personne concernée, à moins que la nature de l’objectif commercial ne nécessite la collecte des données auprès d’autres personnes ou organismes.

7.2 Si les Données Personnelles sont collectées auprès de quelqu’un d’autre que la Personne Concernée, l’unité commerciale collectant les Données doit avoir confirmation, par écrit, du fournisseur des Données qu’il existe une base légale pour le traitement et le transfert des Données Personnelles à la Société.

8. Droits des personnes concernées

La Société répondra, conformément aux lois sur la protection des données, à toute demande d’accès/plainte à laquelle elle est confrontée. Pour faciliter une telle demande/plainte, la Société a créé un formulaire disponible ici.

9. Assurance de la qualité des données

9.1 Les données personnelles ne doivent être conservées que pendant la période nécessaire aux utilisations autorisées. L’entreprise a établi une politique de conservation des données qui détermine les délais applicables à la suppression des données.

9.2 Les données personnelles doivent être effacées si leur stockage viole une loi sur la protection des données ou si la connaissance des données n’est plus requise par la Société, ou à la demande de la personne concernée.

10. Traitement intragroupe

10.1 Lorsque la Société fait appel à une autre société du groupe pour l’aider dans ses activités de traitement, elle conclut un accord de transfert de données basé sur les clauses modèles de l’UE (ou les clauses modèles applicables requises par les lois sur la protection des données) avec cette autre société du groupe afin de s’assurer que la responsabilité des données est clairement identifiée, car les deux parties peuvent être considérées comme des responsables du traitement des données.

10.2 Lorsque l’autre société du groupe est située à l’étranger, les sociétés du groupe impliquées dans le traitement sont appelées respectivement exportateur de données et importateur de données, bien qu’il puisse y avoir plus d’un importateur de données impliqué dans le traitement.

11. Sous-traitants tiers

De même, lorsque la Société fait appel à des tiers pour l’aider dans ses activités de traitement, elle choisit un sous-traitant qui fournit des mesures de sécurité suffisantes et prend des mesures raisonnables pour assurer le respect de ces mesures.

12. Contrats écrits pour les sous-traitants tiers

12.1 La Société doit conclure un contrat écrit avec chaque sous-traitant lui demandant de se conformer aux lois sur la protection des données et aux exigences de sécurité imposées à la Société en vertu de la législation locale.

13. Audits des sous-traitants tiers

13.1 Dans le cadre du processus d’audit interne des données de la Société, celle-ci effectue des contrôles périodiques du traitement par des sous-traitants tiers, et en particulier en ce qui concerne les procédures de transfert des données, notamment en ce qui concerne les mesures de sécurité.

14. Sécurité des données

14.1 La Société a mis en œuvre une politique de gestion de la sécurité des données, en vertu de laquelle elle adopte des mesures physiques, techniques et organisationnelles pour assurer la sécurité des données personnelles, y compris la prévention de leur altération, perte, dommage, traitement ou accès non autorisé, en tenant compte de la nature des données et des risques auxquels elles sont exposées en raison d’une action humaine ou de l’environnement physique ou naturel. Ces mesures seront documentées dans la politique de gestion de la sécurité des données, qui sera réexaminée au moins une fois par an ou, le cas échéant, pour refléter des changements significatifs dans les dispositions en matière de sécurité.

14.2 Les mesures de sécurité adéquates doivent comprendre tous les éléments suivants :

14.2.1 Empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données dans lesquels des données personnelles sont traitées.

14.2.2 Empêcher les personnes autorisées à utiliser un système de traitement des données d’accéder à des données au-delà de leurs besoins et autorisations.

14.2.3 S’assurer que les données personnelles en cours de transmission électronique pendant le transport ou pendant le stockage sur un support de données ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation.

14.2.4 S’assurer que les données personnelles sont protégées contre la destruction ou la perte non souhaitée.

14.2.5 S’assurer que les données collectées à des fins différentes peuvent et seront traitées séparément.

14.2.6 S’assurer que les données ne sont pas conservées plus longtemps que stipulé dans la politique de conservation des données, notamment en exigeant que les données transférées à des tiers soient renvoyées ou détruites.

15. Mesure de la conformité

15.1 Le DPO doit établir un calendrier et mettre en œuvre un audit de conformité à la vie privée pour toutes les unités commerciales. Le DPO, en coopération avec les unités commerciales, doit élaborer un plan et un calendrier pour corriger toute lacune identifiée dans un délai raisonnable et fixe.

Chaque unité commerciale de la Société doit examiner chaque année ses pratiques de collecte, de traitement et de sécurité des données et doit déterminer quelles données personnelles l’unité commerciale collecte, y compris celles qui sont conservées dans des systèmes manuels qui constituent des « systèmes de classement pertinents ».

15.2 Les informations collectées dans le cadre de cet examen annuel doivent être transmises au DPO pour examen et mesures appropriées, y compris, sans s’y limiter, les éléments suivants :

15.2.1 Faire des recommandations d’amélioration des politiques et des procédures afin d’améliorer la conformité à la présente politique et au droit applicable.

15.2.2 Satisfaire aux exigences d’autocertification de la conformité au sein des autorités locales de protection des données et de conformité à l’IGDTA de la Société.

16. Utilisation de l’intelligence artificielle

16.1 Microsoft Copilot est déployé pour un usage interne par les employés de l’organisation. Copilot traite les données personnelles uniquement pour fournir une assistance intelligente, générer des réponses et soutenir la productivité au sein des systèmes commerciaux approuvés. Il peut accéder aux informations que les employés choisissent de connecter, telles que des documents, des e-mails, des calendriers, des contacts ou l’historique du navigateur, strictement dans le but de répondre aux demandes liées au travail. Copilot ne collecte ni ne partage indépendamment des données personnelles en dehors de ces interactions autorisées. Tout traitement est soumis aux lois applicables en matière de protection des données, y compris le RGPD, et est régi par les normes de confidentialité et de sécurité de Microsoft. Les employés gardent le contrôle de leurs données et peuvent gérer les autorisations, les services connectés et les fonctions de mémoire dans les paramètres de Copilot.

Toute utilisation de l’intelligence artificielle au sein de la Société sera effectuée dans le strict respect des lois sur la protection des données et conformément à la politique en matière d’intelligence artificielle.

17. Mise en œuvre

17.1 La présente politique est mise à la disposition des employés et autres personnes via le site Web de la Société.

17.2 La présente politique peut être révisée à tout moment, mais au moins une fois par an, par le DPO. Les révisions importantes sont notifiées aux employés par le biais du système de conformité de l’entreprise et aux autres personnes par le biais du site web de l’entreprise.

Nikki Matthews
Conseillère Juridique Générale Déléguée à la protection des données
Janvier 2026

Annexe

Un glossaire

Le consentement : On entend par consentement « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Néanmoins, le consentement peut être obtenu par un certain nombre de méthodes. Il peut s’agir de clauses dans les contrats de travail, de cases à cocher dans les réponses aux formulaires de demande ou d’achat, et de cases à cliquer dans les formulaires en ligne où des données à caractère personnel sont saisies.

Dans la plupart des pays de l’Union européenne, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu’une forme de consentement spécifique et actif est nécessaire. Cette exigence est parfois jugée moins claire en dehors de l’UE.

Données : Les données (qu’elles aient ou non une majuscule initiale), telles qu’elles sont utilisées dans la présente politique, sont des informations qui, soit

  • est traitée au moyen d’équipements fonctionnant automatiquement en réponse à des instructions données à cette fin ;
  • est enregistré dans l’intention d’être traité au moyen de ces équipements ;
  • est enregistré comme faisant partie d’un système d’archivage pertinent ou avec l’intention qu’il fasse partie d’un système d’archivage pertinent ;
  • ne relève d’aucune des catégories ci-dessus, mais fait partie d’un dossier facilement accessible concernant une personne.

Les données comprennent donc toutes les données numériques provenant d’un ordinateur ou d’un équipement automatisé, les enregistrements téléphoniques et toute information manuelle faisant partie d’un système de dépôt pertinent.

Responsable du traitement des données : Le responsable du traitement des données désigne une personne qui (seule ou avec d’autres) détermine les finalités pour lesquelles et la manière dont les données personnelles sont ou doivent être traitées. En général, la Société elle-même sera le responsable du traitement des données dans la plupart des cas.

Exportateur de données : L’exportateur de données désigne le responsable du traitement des données ou le sous-traitant qui transfère les données personnelles à l’étranger.

Importateur de données : L’importateur de données désigne le responsable du traitement des données ou le sous-traitant qui accepte de recevoir de l’exportateur de données des données personnelles pour un traitement ultérieur conformément aux termes de la présente politique et de l’accord de transfert de données pertinent.

Responsable du traitement des données : Le responsable du traitement des données désigne toute personne, autre qu’un employé du responsable du traitement des données, qui traite les données pour le compte du responsable du traitement des données. Une entreprise peut être un responsable du traitement des données si elle est définie comme telle dans les conditions contractuelles avec le responsable du traitement des données.

Autorité de protection des données : Organisme chargé de la protection des données et de la vie privée. Les autorités sont chargées de faire respecter les droits à l’information dans l’intérêt public et privé.

Lois sur la protection des données : La loi de 2018 sur la protection des données et le règlement général sur la protection des données (règlement UE 2016/679) ; toute législation sur la protection des données en dehors de l’UE dans les pays où ATPI opère ; et le règlement de 2003 sur les communications électroniques (directive CE) et toute révision de celui-ci.

Sécurité des Données : Mesures que le Responsable de Traitement et le Sous-traitant doivent mettre en œuvre pour la conformité avec les principes de protection des données par conception et par défaut et pour assurer un niveau de sécurité approprié au risque pour les droits et libertés des individus, en tenant compte de l’état de l’art, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Personne concernée : La personne concernée est la personne à laquelle les données se réfèrent. Les personnes concernées sont les clients et les utilisateurs du web, les personnes figurant sur les listes de contact/de courrier électronique ou les bases de données marketing, les employés, les sous-traitants et les fournisseurs.

Données à caractère personnel : Les données à caractère personnel désignent les données relatives à une personne vivante qui peut être identifiée à partir de ces données ou de ces données et d’autres informations en possession ou susceptibles d’entrer en possession d’un contrôleur de données ou d’un responsable du traitement des données. Les données personnelles ne comprennent pas les informations qui ont été anonymisées, codées ou autrement dépouillées de leurs identifiants, ou les informations qui sont accessibles au public, à moins qu’elles ne soient combinées avec d’autres informations personnelles non publiques.

Traitement : Le traitement couvre un large éventail d’opérations relatives aux données, y compris l’obtention, l’enregistrement ou la conservation des données ou l’exécution de toute opération ou série d’opérations sur les données, y compris :

  • Organisation, adaptation ou modification ;
  • la divulgation par transmission, diffusion ou autre ; et
  • L’alignement, la combinaison, le blocage, l’effacement ou le « traitement » doivent être interprétés en conséquence.

Système de classement pertinent : Un système de classement pertinent désigne tout ensemble d’informations relatives à des personnes,

qu’elles soient conservées dans des fichiers manuels ou électroniques, structurées, soit par référence à des personnes, soit par référence à des critères relatifs à des personnes, de telle manière que des informations spécifiques relatives à une personne particulière soient facilement accessibles.

Par conséquent, toute base de données numérique et/ou tout fichier manuel organisé relatif à des personnes vivantes identifiables relève du champ d’application des lois et réglementations sur la protection des données, tandis qu’une base de données d’informations purement statistiques ou financières (qui ne peuvent être liées directement ou indirectement à des personnes vivantes identifiables) n’en relèvera pas.

Données sensibles : Les données sensibles désignent les données personnelles contenant des informations relatives à :

  • Race ou origine ethnique ;
  • Croyances religieuses ou autres croyances de nature similaire ;
  • Opinions politiques ;
  • Santé ou état physique ou mental ;
  • Antécédents ou orientation sexuels ;
  • Adhésion à un syndicat ;
  • Commission ou commission présumée de toute infraction et tout tribunal connexe

Technologie : La technologie doit être interprétée au sens large, de manière à inclure tout moyen de collecte ou de traitement des données, y compris, sans s’y limiter, les ordinateurs et les réseaux, les systèmes de télécommunications, les dispositifs d’enregistrement vidéo et audio, les dispositifs biométriques, la télévision en circuit fermé, etc.

Lien vers le formulaire de demande de DSA
Lien vers l’avis de confidentialité GDPR