Breaking news: view our certificates and awards page

Breaking news: view our certificates and awards page

Vie privée

Politique de protection des données

1. Objet

1. Cette Politique définit les exigences pour assurer la conformité avec les lois et réglementations applicables à la collecte, l’utilisation, le traitement et le transfert de Données Personnelles d’ATPI dans le monde entier.

2. Champ d’application

2.1 ATPI s’engage à respecter les lois sur la protection des données en vigueur dans les pays où elle (la « Société« ) exerce ses activités. En raison des différences au sein de ces juridictions, la Société a adopté cette Politique de Protection des Données qui crée un socle commun de valeurs, politiques et procédures destiné à atteindre une conformité générique, complété (le cas échéant) par des instructions et orientations supplémentaires applicables dans les juridictions ayant des exigences uniques

2.2 Cette Politique est basée sur le Règlement UE 2016/679 et le Règlement Général sur la Protection des Données (RGPD), qui fournit un modèle générique robuste pour la confidentialité. La Société a également établi un Accord de Transfert de Données Intra-Groupe (IGDTA) basé sur les Clauses Modèles UE reconnues, pour être autorisé au transfert mondial, et au sous-traitement ultérieur, de Données dans l’ensemble de son réseau mondial de sociétés du groupe.

2.3 Cette Politique s’applique à tous les employés à temps plein et à temps partiel de la Société, aux employés d’agence, et à tous les fournisseurs et clients qui reçoivent des Données Personnelles de la Société, ont accès aux Données Personnelles collectées ou traitées par la Société, ou qui fournissent des informations à la Société, quelle que soit leur localisation géographique.

2.4 En tant qu’engagement politique, la Société ne traitera pas de Données Personnelles sans base légale reconnue pour un tel traitement. Pour assurer la conformité avec les Lois de Protection des Données, la Société établira correctement son statut pour tout Traitement de Données soit comme Responsable de Traitement, soit comme Sous-traitant agissant pour un autre Responsable de Traitement

3. Conformité du groupe

3.1 Le programme de conformité aux données de la Société sera supervisé par le Délégué à la Protection des Données de la société assisté par le personnel de conformité nommé localement et interne. Les responsabilités peuvent être déléguées par le DPO.

3.2 Le DPO mettra en œuvre la Politique et les procédures internationales de Protection des Données de la Société et l’IGDTA, ainsi que toutes les obligations requises par les Lois de Protection des Données, incluant :

3.2.1 Déterminer si une notification à une ou plusieurs Autorités de Protection des Données est requise suite aux activités de Traitement de Données de la Société, puis effectuer toute notification requise, et maintenir ces notifications

3.2.2 Concevoir et mettre en œuvre des programmes continus de formation des employés pour assurer la conformité avec la Protection des Données

3.2.3 Établir (avec la participation des services informatiques et juridiques) des procédures et des dispositions contractuelles standard pour obtenir le respect de la présente politique par les sociétés du groupe, les clients, les fournisseurs et les tiers qui reçoivent des données à caractère personnel de la société, qui ont accès aux données à caractère personnel collectées ou traitées par la société, ou qui fournissent des informations à la société, quelle que soit leur situation géographique.

3.2.4 Établir des mécanismes pour des audits périodiques de conformité avec cette Politique, mettre en œuvre des procédures, et applicable

3.2.5 Établir, maintenir et exploiter un système pour des réponses rapides et appropriées aux demandes des Personnes Concernées d’exercer leurs droits

3.2.6 Établir, maintenir et exploiter un système pour la divulgation rapide et appropriée aux autorités compétentes et/ou aux Personnes Concernées de toute perte de Données Personnelles.

3.2.7 Informer les cadres supérieurs, dirigeants et administrateurs de la Société des sanctions civiles et pénales potentielles d’entreprise et personnelles qui peuvent être imposées contre la Société et/ou ses employés pour violation des Lois de Protection des Données applicables

3.2.8 S’assurer que les plans de gestion des risques en relation avec la Protection des Données sont mis en œuvre efficacement et

3.2.9 S’assurer qu’une assurance adéquate concernant l’efficacité des procédures et audits de Protection des Données est fournie au Conseil d’administration, à la direction et aux autres

4. Principes de protection des données

4.1 La Société a adopté les principes suivants pour régir son utilisation, sa collecte, son traitement et sa transmission de Données Personnelles, sauf disposition spécifique de cette Politique ou exigence des lois applicables :

4.1.1 Les Données Personnelles ne doivent être traitées que de manière équitable et

4.1.2 Les Données Personnelles ne doivent être obtenues que pour des finalités spécifiées, explicites, légales et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

4.1.3 Les Données Personnelles doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées et/ou

4.1.4 Les Données Personnelles ne doivent pas être collectées ou traitées à moins qu’une base légale pour le traitement ne soit correctement

4.2 Des mesures physiques, techniques et procédurales appropriées doivent être prises pour :

4.2.1 Prévenir et/ou identifier la collecte, le traitement et la transmission non autorisés ou illégaux de Données Personnelles ; et

4.2.2 Prévenir la perte accidentelle ou la destruction de, ou les dommages aux, Données Personnelles

5. Transferts à des tiers

5.1 Les Données Personnelles ne doivent pas être transférées à une autre entité, pays ou territoire, à moins que des mesures raisonnables et appropriées n’aient été prises pour établir et maintenir le niveau requis de Protection des Données

5.2 Les Données Personnelles ne peuvent être communiquées à des tiers que pour des raisons cohérentes avec les finalités pour lesquelles les Données ont été initialement collectées ou d’autres finalités autorisées par la loi.

5.3 Tous les transferts de Données Personnelles à des tiers pour traitement ultérieur doivent être soumis à des accords écrits, une base légale pour le transfert, ou sous l’IGDTA de la Société pour les transferts de Données internes.

5.4 Les Données Personnelles UE ( RU) ne doivent pas être transférées vers un pays ou territoire en dehors de l’Espace Économique Européen (EEE) à moins que le transfert ne soit effectué vers un pays ou territoire reconnu par l’UE comme ayant un niveau adéquat de Sécurité des Données, ou vers les États-Unis sous le Cadre de Confidentialité des Données US.

5.5 Sous réserve des dispositions ci-dessus, les données à caractère personnel peuvent être transférées dans les cas suivants :

5.5.1 La personne concernée a donné son consentement au transfert proposé ;

5.5.2 Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée (soit personnellement, soit par l’intermédiaire de son employeur en tant que client de la société) et la société ;

5.5.3 Le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre la société et un tiers ou l’employeur de la personne concernée ;

5.5.4 Le transfert est nécessaire ou légalement requis pour des motifs d’intérêt public important, ou pour l’établissement, l’exercice ou la défense de réclamations légales ;

5.5.5 Le transfert est exigé par la loi ;

5.5.6 Le transfert est nécessaire pour protéger les intérêts vitaux de la Personne Concernée

6. Prévention des systèmes informatiques non conformes

6.1 Le Responsable de la Sécurité de l’Information (CISO) de la Société doit établir une procédure pour évaluer l’impact de toute Technologie nouvelle ou existante sur la confidentialité et la sécurité des Données Personnelles

6.2 Aucun nouveau système ou nouvelle version d’un système existant ne doit être mis à disposition pour utilisation jusqu’à ce que le DPO ait obtenu confirmation écrite du CISO qu’il n’y aurait aucune violation de toute Loi de Protection des Données

7. Sources des données à caractère personnel

7.1 Les Données Personnelles ne doivent être collectées qu’auprès de la Personne Concernée à moins que la nature de l’objectif commercial ne nécessite la collecte des Données auprès d’autres personnes ou

7.2 Si les Données Personnelles sont collectées auprès de quelqu’un d’autre que la Personne Concernée, l’unité commerciale collectant les Données doit avoir confirmation, par écrit, du fournisseur des Données qu’il existe une base légale pour le traitement et le transfert des Données Personnelles à la Société.

8. Droits des personnes concernées

8.1 Les personnes concernées ont le droit d’obtenir des informations sur leurs propres données personnelles détenues par la société en faisant une demande écrite au format
ici
La demande sera enregistrée.

8.2 La société répondra à la demande susmentionnée dans un délai de 40 jours à compter de la date de la demande écrite, ou dans un délai plus court si les lois applicables en matière de protection des données l’exigent.

8.3 Les personnes concernées ont le droit d’exiger de la Société qu’elle corrige ou complète les données personnelles erronées, trompeuses, périmées ou incomplètes détenues à leur sujet.

9. Données sensibles (catégorie spéciale)

9.1 Les données à caractère personnel sensibles ne doivent être traitées que si

9.1.1 Ce traitement est spécifiquement autorisé ou requis par la loi.

9.1.2 La personne concernée y consent expressément et sans ambiguïté.

9.1.3 Lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement, mais que le traitement est nécessaire pour protéger un intérêt vital de la personne concernée. Cette exemption peut s’appliquer, par exemple, lorsque des soins médicaux d’urgence sont nécessaires.

9.1.4 Les données relatives aux infractions pénales ne peuvent être traitées que par le service juridique ou sous son contrôle.

10. Assurance de la qualité des données

10.1 Les données à caractère personnel ne doivent être conservées que pendant la période nécessaire aux utilisations autorisées. L’entreprise a établi une politique de conservation des données qui détermine les délais applicables à la suppression des données.

10.2 Les données personnelles seront effacées si leur stockage enfreint une loi sur la protection des données ou si la connaissance des données n’est plus nécessaire à la Société, ou à la demande de la personne concernée.

11. Traitement intra-groupe

11.1 Lorsque la Société s’appuie sur une autre société du groupe pour l’aider dans ses activités de traitement, elle conclura un accord de transfert de données basé sur les clauses types de l’UE avec cette autre société du groupe afin de garantir que la responsabilité des données est clairement identifiée, étant donné que les deux parties peuvent être considérées comme des contrôleurs de données.

11.2 Lorsque l’autre société du groupe est située à l’étranger, les sociétés du groupe impliquées dans le traitement seront connues respectivement comme Exportateur de Données et Importateur de Données, bien qu’il puisse y avoir plus d’un Importateur de Données impliqué dans le traitement.

12. Tiers responsables du traitement.

12.1 De même, lorsque la Société s’appuie sur des tiers pour l’assister dans ses activités de traitement, la Société choisira un Sous-traitant qui fournit des mesures de sécurité suffisantes et prend des mesures raisonnables pour assurer la conformité avec ces mesures, et dans le cas de tout tiers aux États-Unis, qu’ils sont également enregistrés pour le Cadre de Confidentialité des Données US (anciennement connu sous le nom de Privacy Shield).

13. Contrats écrits pour les sous-traitants tiers.

13.1 L’entreprise conclut un contrat écrit avec chaque responsable du traitement des données, lui imposant de se conformer aux lois sur la protection des données et aux exigences de sécurité imposées à l’entreprise en vertu de la législation locale.

14. Audits des sous-traitants tiers.

14.1 Dans le cadre du processus d’audit interne des Données de la Société, la Société doit effectuer des vérifications périodiques sur le traitement par des Sous-traitants tiers, et en particulier concernant les procédures de transfert pour les Données, spécialement en ce qui concerne les mesures de sécurité.

15. Avis aux administrateurs, dirigeants et cadres sur les sanctions potentielles en cas de non-conformité

15.1 Le DPO doit notifier aux directeurs, managers et autres dirigeants de la Société que :

15.1.1 Le non-respect des lois sur la protection des données peut entraîner une responsabilité pénale et civile, y compris des amendes, des peines d’emprisonnement et des dommages-intérêts ; et

15.1.2 Ils peuvent être personnellement responsables lorsqu’une infraction est commise par l’entreprise avec leur consentement ou leur connivence ou est imputable à une négligence de leur part.

16. Sécurité des données

16.1 La Société a mis en œuvre une Politique de Gestion de la Sécurité des Données, sous laquelle elle doit adopter des mesures physiques, techniques et organisationnelles pour assurer la sécurité des Données Personnelles, incluant la prévention de leur altération, perte, dommage, traitement ou accès non autorisé, en tenant compte de la nature des Données, et des risques auxquels elles sont exposées en raison de l’action humaine ou de l’environnement physique ou naturel. Ces mesures seront documentées dans la politique de gestion de la sécurité des données, qui sera réexaminée au moins une fois par an ou, le cas échéant, pour refléter des changements significatifs dans les dispositions en matière de sécurité.

16.2 Des mesures de sécurité adéquates doivent comprendre tous les éléments suivants :

16.2.1 Prévention de l’accès de personnes non autorisées aux systèmes de Traitement de Données dans lesquels les Données Personnelles sont

16.2.2 Empêcher les personnes autorisées à utiliser un système de Traitement de Données d’accéder aux Données au-delà de leurs besoins et

16.2.3 S’assurer que les Données Personnelles au cours de la transmission électronique pendant le transport ou pendant le stockage sur un support de Données ne peuvent pas être lues, copiées, modifiées ou supprimées sans

16.2.4 S’assurer que les Données Personnelles sont protégées contre la destruction ou

16.2.5 Veiller à ce que les données collectées à des fins différentes puissent être et soient traitées séparément.

16.2.6 Veiller à ce que les données ne soient pas conservées plus longtemps que prévu dans la politique de conservation des données, y compris en exigeant que les données transférées à des tiers soient renvoyées ou détruites.

17. Mesure de la conformité.

17.1 Le DPO doit établir un calendrier pour et mettre en œuvre un audit de conformité à la confidentialité pour toutes les unités commerciales. Le DPO, en coopération avec les unités commerciales, doit concevoir un plan et un calendrier pour corriger toute déficience identifiée dans un délai fixe et raisonnable

17.2 Chaque unité commerciale de la Société doit réviser annuellement ses pratiques de Collecte de Données, de Traitement de Données et de Sécurité des Données et doit déterminer quelles Données Personnelles l’unité commerciale collecte, y compris celles détenues dans des systèmes manuels qui constituent des « Systèmes de Classement Pertinents ».

17.3 Les informations collectées dans cette révision annuelle doivent être remises au DPO pour examen et action appropriée incluant, sans limitation, ce qui suit :

17.3.1 Faire des recommandations d’amélioration aux politiques et procédures afin d’améliorer la conformité avec cette Politique et applicable

17.3.2 Satisfaire les exigences d’auto-certification de conformité auprès des Autorités locales de Protection des Données, et la conformité avec les propres

18. Mise en œuvre.

18.1 Cette Politique doit être disponible aux employés et autres via le site web de la Société.

18.2 Cette Politique peut être révisée à tout moment mais au moins annuellement par le. Un avis de révisions significatives doit être fourni aux employés via le système de conformité de la société et aux autres via le site web de la Société.

Nikki Matthews
Conseillère Juridique Générale Déléguée à la protection des données
Décembre 2024

Annexe A

Glossaire

Le consentement : On entend par consentement « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Néanmoins, le consentement peut être obtenu par un certain nombre de méthodes. Il peut s’agir de clauses dans les contrats de travail, de cases à cocher dans les réponses aux formulaires de demande ou d’achat, et de cases à cliquer dans les formulaires en ligne où des données à caractère personnel sont saisies.

Dans la plupart des pays de l’Union européenne, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu’une forme de consentement spécifique et actif est nécessaire. Cette exigence est parfois jugée moins claire en dehors de l’UE.

Données : Les données (qu’elles aient ou non une majuscule initiale) utilisées dans la présente politique de protection des données sont des informations qui, soit

  • est traitée au moyen d’équipements fonctionnant automatiquement en réponse à des instructions données à cette fin ;
  • est enregistré dans l’intention d’être traité au moyen de ces équipements ;
  • est enregistré comme faisant partie d’un système d’archivage pertinent ou avec l’intention qu’il fasse partie d’un système d’archivage pertinent ;
  • ne relève d’aucune des catégories ci-dessus, mais fait partie d’un dossier facilement accessible concernant une personne.

Les données comprennent donc toutes les données numériques provenant d’un ordinateur ou d’un équipement automatisé, les enregistrements téléphoniques et toute information manuelle faisant partie d’un système de dépôt pertinent.

Contrôleur des données : Un contrôleur de données est une personne qui (seule ou avec d’autres) détermine les finalités et la manière dont les données à caractère personnel sont ou doivent être traitées. Dans la plupart des cas, c’est l’entreprise elle-même qui est le contrôleur des données.

Exportateur de Données ;
Exportateur de Données signifie le Responsable de Traitement ou le Sous-traitant qui transfère des données personnelles à l’étranger.

Importateur de Données ;
Importateur de Données signifie le Responsable de Traitement ou le Sous-traitant qui accepte de recevoir de l’Exportateur de Données des données personnelles pour traitement ultérieur conformément aux termes de cette Politique et de l’Accord de Transfert de Données pertinent.

Responsable du traitement des données : Le responsable du traitement des données désigne toute personne, autre qu’un employé du responsable du traitement des données, qui traite les données pour le compte du responsable du traitement des données. Une entreprise peut être un responsable du traitement des données si elle est définie comme telle dans les conditions contractuelles avec le responsable du traitement des données.

Autorité de protection des données : Organisme chargé de la protection des données et de la vie privée. Les autorités sont chargées de faire respecter les droits à l’information dans l’intérêt public et privé.

Lois sur la protection des données : La loi sur la protection des données de 2018 et le règlement général sur la protection des données (règlement UE 2016/679) ; toute législation sur la protection des données en dehors de l’UE au sein des pays dans lesquels ATPI opère ; et les règlements sur les communications électroniques (directive CE) de 2003 et toutes leurs révisions.

Sécurité des Données : Mesures que le Responsable de Traitement et le Sous-traitant doivent mettre en œuvre pour la conformité avec les principes de protection des données par conception et par défaut et pour assurer un niveau de sécurité approprié au risque pour les droits et libertés des individus, en tenant compte de l’état de l’art, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Personne concernée : La personne concernée est la personne à laquelle les données se réfèrent. Les personnes concernées sont les clients et les utilisateurs du web, les personnes figurant sur les listes de contact/de courrier électronique ou les bases de données marketing, les employés, les sous-traitants et les fournisseurs.

Bouclier de protection de la vie privée UE-États-Unis : Cadre élaboré par le ministère américain du commerce et la Commission européenne pour permettre les échanges transatlantiques en matière de protection des données à des fins commerciales. Le bouclier de protection de la vie privée UE-États-Unis permet aux entreprises de l’UE et des États-Unis de se conformer aux exigences en matière de protection des données lorsqu’elles transfèrent des données à caractère personnel de l’UE vers les États-Unis.

Données à caractère personnel : Les données à caractère personnel désignent les données relatives à une personne vivante qui peut être identifiée à partir de ces données ou de ces données et d’autres informations en possession ou susceptibles d’entrer en possession d’un contrôleur de données ou d’un responsable du traitement des données. Les données à caractère personnel ne comprennent pas les informations qui ont été rendues anonymes, codées ou autrement dépouillées de leurs identifiants, ni les informations qui sont accessibles au public à moins qu’elles ne soient combinées avec d’autres informations personnelles non publiques.

Traitement : Le traitement couvre un large éventail d’opérations relatives aux données, y compris l’obtention, l’enregistrement ou la conservation des données ou l’exécution de toute opération ou série d’opérations sur les données, y compris :

  • Organisation, adaptation ou modification ;
  • la divulgation par transmission, diffusion ou autre ; et
  • Alignement, combinaison, blocage, effacement ou destruction.

Le terme « traité » est interprété en conséquence.

Système de classement pertinent : On entend par « système de classement pertinent » tout ensemble d’informations relatives à des personnes physiques, conservées dans des fichiers manuels ou électroniques, structurées, soit par référence à des personnes physiques, soit par référence à des critères relatifs à des personnes physiques, de manière à ce que les informations spécifiques relatives à une personne physique donnée soient facilement accessibles.

Par conséquent, toute base de données numérique et/ou tout fichier manuel organisé se rapportant à des personnes vivantes identifiables relève du champ d’application des lois et règlements relatifs à la protection des données, alors qu’une base de données contenant de pures informations statistiques ou financières (qui ne peuvent être directement ou indirectement liées à des personnes vivantes identifiables) ne relève pas de ce champ d’application.

Données sensibles : Les données sensibles sont des données à caractère personnel contenant des informations sur les personnes concernées :

  • Race ou origine ethnique ;
  • Croyances religieuses ou autres croyances de nature similaire ;
  • Opinions politiques ;
  • Santé ou état physique ou mental ;
  • Antécédents ou orientation sexuels ;
  • Adhésion à un syndicat ;
  • La commission ou la prétendue commission d’une infraction et toute procédure judiciaire y afférente.

Technologie : La technologie doit être interprétée au sens large, de manière à inclure tout moyen de collecte ou de traitement des données, y compris, sans s’y limiter, les ordinateurs et les réseaux, les systèmes de télécommunications, les dispositifs d’enregistrement vidéo et audio, les dispositifs biométriques, la télévision en circuit fermé, etc.

Lien vers le formulaire de demande de DSA
Lien vers l’avis de confidentialité GDPR