Pour les Candidats
Pour les Collaborateurs
Politique de protection des données à caractère personnel des candidats auprès du groupe OGIC
1. Préambule
Parce qu’un candidat qui confie sa candidature à une des sociétés du groupe Ogic témoigne de son véritable intérêt et de sa confiance à notre égard, nous nous engageons à traiter sa candidature en respectant un haut niveau de sécurité et de confidentialité et ce, conformément à la législation applicable en matière de protection des données (Règlement général sur la protection des données n°2016/679 et Loi informatique et libertés n°78-17 actualisée).
Pour pouvoir accompagner au mieux les candidats (ci-après « vous ») dans leurs démarches, cette politique leur présente les modalités et les conditions de traitement de leurs données à caractère personnel auxquelles nous avons accès à l’occasion de la procédure de sélection et de recrutement.
Il est important que vous preniez connaissance de la présente politique, car en nous soumettant votre candidature, vous reconnaissez l’avoir lu, comprise et approuvée.
2. Identité du responsable de traitement
La société FINANCIERE OGIC – N° RCS : Nanterre 505 235 143, 155 rue Jean-Jacques Rousseau, 92130 Issy-les-Moulineaux, administre le recrutement pour l’ensemble des sociétés du groupe Ogic. En sa qualité de responsable de traitement de vos données à caractère personnel, il s’agit de l’entité compétente pour traiter vos données lorsque vous postulez à une offre ou que vous nous adressez une candidature spontanée sur le site www.groupe-ogic.fr/carrieres.
3. Type de données collectées
Si vous souhaitez connaître le type de donnée à caractère personnel que nous sommes susceptibles de collecter, sachez que nous traitons uniquement les données que vous nous communiquez lors de votre candidature, lesquelles sont requises à titre obligatoire ou optionnel. À ce titre, nous traitons et utilisons les données suivantes :
• identité, état civil, coordonnées (nom, prénom, téléphone personnel fixe et/ou portable, adresse postale, courrier électronique, etc.) ;
• données relatives à la vie professionnelle (embauche, carrière, coordonnées des actuels et anciens employeurs, informations relatives aux formations, informations relatives aux parcours universitaire, expériences professionnelles antérieures, etc.) ;
• image (photographie susceptible de figurer sur votre CV, bien que cela soit facultatif) ;
• autres données susceptibles de figurer à votre sujet sur les réseaux sociaux professionnels ;
• informations recueillies lors des entretiens et éventuels tests d’évaluation.
De façon plus générale, nous sommes susceptibles de collecter et traiter toute donnée à caractère personnel que vous nous transmettez dans le cadre de la mise en œuvre de notre service de recrutement.
Nous signalons les informations obligatoires par la présence d’un astérisque et vous informons des conséquences éventuelles de l’absence de communication de ces informations.
4. Vos données sensibles
Nous ne sollicitons pas de la part des candidats qu’ils nous communiquent des données sensibles du type origine raciale ou ethnique, opinion politiques, convictions religieuses, préférences ou orientation sexuelle, appartenance syndicale etc.
Ces données n’étant pas nécessaires pour la sélection et le recrutement de candidats, nous vous prions de bien vouloir limiter les informations que vous nous communiquez à ce qui est strictement professionnel et utile à votre recrutement. Veillez donc à ne pas faire figurer dans les documents que vous nous transmettez des informations sensibles telles qu’énoncées ci-dessus.
5. TECHNIQUES DE COLLECTE
- La collecte de vos données à caractère personnel peut se réaliser de deux façons :
la collecte directe de vos données : cela concerne l’hypothèse dans laquelle vous nous communiquez directement vos données, notamment lorsque vous contactez notre service RH ou lorsque vous répondez à une annonce postée sur notre site ou sur une plateforme d’annonces en ligne ou via un réseau social professionnel ; - La collecte indirecte de vos données : elle est réalisée via l’intervention d’une entreprise spécialisée, soit notamment un cabinet de recrutement ou chasseur de têtes, ou lorsque votre image est captée dans le cadre du dispositif de vidéosurveillance déployé dans nos locaux lorsque vous accédez à ceux-ci.
6. Finalités du traitement
Rassurez-vous, nous utilisons et traitons vos données uniquement dans le cadre du processus de sélection et de recrutement, à savoir :
• administration et traitement de vos données,
• évaluation de l’adéquation de la candidature au poste via un test en ligne puis un entretien,
• vérification de vos antécédents,
• prise de contact avec vous pour l’organisation d’un ou plusieurs entretiens,
• préparation d’un contrat de travail / stage dans l’hypothèse où votre candidature serait retenue.
7. Bases légales du traitement
La législation en vigueur impose que le traitement de vos données à caractère personnel ait un ou plusieurs fondement(s) juridique(s). À ce titre, le traitement que nous réalisons à partir de vos données a pour base légale l’exécution de mesures précontractuelles susceptibles d’aboutir à la signature d’un contrat de travail entre vous et l’une des sociétés du groupe Ogic.
8. Accès à vos données à caractère personnel
Nous nous assurons que l’accès à vos données soit réservé aux seules personnes intervenant dans le processus de recrutement, à savoir notamment, en interne, les membres du département des ressources humaines, et à l’extérieur, les éventuels sous-traitants auprès desquels tout ou partie de la procédure de recrutement est susceptible d’être externalisée.
À titre occasionnel, notre service informatique est susceptible d’avoir accès à vos données à caractère personnel lors d’opérations d’entretien et de maintenance de notre système informatique.
Les destinataires de vos données à caractère personnel ainsi que le service informatique sont tous individuellement soumis à une obligation de confidentialité.
Vos données à caractère personnel ne seront sous aucun prétexte communiquées à des tiers, excepté lorsque nous y serons contraints par une autorité gouvernementale ou judiciaire ou par un organisme de réglementation.
9. Transferts en-dehors de l’Union Européenne
Vos données ne sont pas susceptibles d’être transférées et traitées dans un pays tiers à l’Union européenne.
10. Durée de conservation
Lorsqu’à l’issue du processus de recrutement une candidature est retenue, les données relatives à cette dernière sont conservées dans les conditions et pendant la durée telles que définies dans la politique relative aux données à caractère personnel des salariés, laquelle est communiquée au salarié nouvellement embauché au moment de la signature de son contrat de travail.
Au contraire, lorsque la candidature n’est pas retenue, les données communiquées sont immédiatement supprimées. Néanmoins, nous nous réservons le droit, pour certains profils, de les conserver en vue de futures opportunités. Dans une telle hypothèse, les données pourront être conservées pendant un délai de maximum deux ans à compter du dernier contact, sauf opposition du candidat concerné.
11. Vos droits
La collecte de vos données à caractère personnel ne signifie pas que vous en êtes dépossédés. Au contraire, en tant que candidat dont les données à caractère personnel sont traitées par le groupe Ogic, vous bénéficiez des droits suivants :
• droit d’accès et de copie : vous avez le droit d’obtenir de notre part la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données. Vous pouvez obtenir de notre part des informations relatives à la finalité du traitement, aux catégories de données concernées et aux destinataires ou catégories de destinataires.
Votre droit d’accès est strictement limité aux données que vous nous fournissez à l’exception de tout élément établi par nos services relativement à l’analyse de votre candidature et notamment des raisons éventuelles qui fonderaient notre décision d’embauche ou de non-embauche.
Vous disposez également du droit d’obtenir une copie des données à caractère personnel vous concernant faisant l’objet d’un traitement par le groupe Ogic. Pour toute demande de copie supplémentaire, nous sommes susceptibles d’exiger de votre part que vous supportiez la charge financière de ce coût. Si votre demande est exprimée par voie électronique, les informations fournies le seront sous une forme électronique d’usage courant sauf demande contraire.
• droit de rectification et droit à l’effacement : vous pouvez nous obtenir de notre part, dans les meilleurs délais, la rectification de données vous concernant qui seraient inexactes ou incomplètes.
Vous avez également le droit d’obtenir l’effacement dans les meilleurs délais des données qui vous concernent, notamment lorsque ses données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.
• droit à la limitation du traitement : vous disposez d’un droit à la limitation du traitement, lequel s’exerce notamment lorsque vous contestez l’exactitude de vos données à caractère personnel, étant précisé que la limitation de traitement dure pendant le temps nécessaire à la vérification par nos services de l’exactitude desdites données. Vous pouvez également obtenir de notre part la limitation du traitement lorsque nous n’avons plus besoin des données aux fins de traitement.
• droit à la portabilité des données : nous vous informons que vous ne disposez pas de ce droit dès lors que les trois conditions cumulatives nécessaires à sa mise en œuvre ne sont pas réunies.
• Droit d’opposition : là encore, nous vous informons que vous ne disposez pas de ce droit dès lors que les trois conditions nécessaires à sa mise en œuvre ne sont pas réunies.
• droit d’organiser le sort des données à caractère personnel en cas de décès : vous pouvez définir des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès.
• droit d’introduire une réclamation auprès d’une autorité de contrôle : vous pouvez introduire une réclamation auprès de la Cnil si vous considérez que le traitement de vos données à caractère personnel constitue une violation de la réglementation applicable en la matière. Le contact se fait à l’adresse suivante :
Cnil –Service des plaintes
3 place de Fontenay – TSA 80715
75334 Paris Cedex 07
Tél : 01.53.73.22.22
12. Exercice de vos droits
Si vous souhaitez exercer personnellement l’un de vos droits, il vous suffit de nous contacter à l’adresse suivante : rgpdrh@ogic.fr.
Pour que votre demande soit gérée efficacement et rapidement, n’oubliez pas :
• de faire en sorte qu’il n’existe aucun doute quant à votre identité, à défaut de quoi nous serions susceptibles de solliciter de votre part la communication d’un justificatif d’identité visant à établir que vous êtes bien la personne concernée par le traitement, étant précisé que nous ne conserverons en aucun cas les données issues de ce justificatif ;
• d’indiquer le(s) droit(s) que vous souhaitez exercer afin que nous puissions vous répondre au plus vite et de façon exhaustive.
13. Sécurité et protection de vos données
Le groupe Ogic définit est met en œuvre des mesures de sécurité pour lutter contre toute destruction, perte, altération ou divulgation non autorisée de données à caractère personnel.
Les systèmes informatiques et les supports papier utilisés aux fins de traiter vos données à caractère personnel sont organisés et protégés de manière à garantir la sécurité et la confidentialité de vos données.
14. Mise à jour de la politique
Nous nous réservons le droit de modifier la présentation et le contenu de la présente politique. Toute nouvelle version de la politique publiée sur notre site internet relatif à la gestion des candidatures www.groupe-ogic.fr/carrieres viendra se substituer à la précédente.
15. Dispositions générales
Vous avez besoin d’une information supplémentaire relative aux données à caractère personnel ?
N’hésitez pas à nous contacter à l’adresse rgpdrh@ogic.fr.
Politique relative aux données à caractère personnel des salariés
1. Préambule
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personne et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.
Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Pour une bonne compréhension de la présente politique il est précisé que :
- le « responsable du traitement » s’entend de la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est la société Financière Ogic (ci-après désignée « l’entreprise ») ;
- le « sous-traitant » s’entend de toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels l’entreprise travaille et qui interviennent sur les données à caractère personnel de l’entreprise ;
- les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement et leurs données à caractère personnel font l’objet d’une collecte par le responsable du traitement, c’est-à-dire l’ensemble des salariés de l’entreprise ;
- les « destinataires » des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des salariés de l’entreprise que des organismes extérieurs (URSSAF, Mutuelle d’entreprise, établissement bancaire, centre des impôts, etc.).
Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
Par ailleurs l’article L. 1222-4 du Code du travail prescrit que « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
2. Définitions
- « donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
- « données enrichies » : les données à caractère personnel enrichies s’opposent à la notion de données à caractère personnel « brutes » fournies par la personne concernée. Il s’agit des données qui sont générées par le responsable du traitement, telles qu’un profil d’utilisateur créé par l’analyse des données brutes collectées à partir d’un compteur intelligent. Il peut également s’agir de données déduites et/ou dérivées créées par le responsable du traitement sur la base des données « fournies par la personne concernée ».
- « traitement de données à caractère personnel » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
- « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
3. Objet
Pour satisfaire à son bon fonctionnement, notre entreprise est tenue de mettre en œuvre et d’exploiter des traitements de données à caractère personnel relatifs aux salariés de l’entreprise.
La présente politique a pour objet de satisfaire à notre obligation d’information de l’entreprise et de rappeler les droits dont vous disposez en matière de données à caractère personnel.
4. Portée
La présente politique de protection des données à caractère personnel a vocation à s’appliquer à tout salarié quel que soit leur statut (CDI, CDD, autres formes de contrat, etc.). Le cas échéant, la présente politique s’applique également aux stagiaires et personnels détachées intervenant au sein de l’entreprise si leurs données font l’objet d’un traitement au sein de celle-ci.
La présente politique ne porte que sur les traitements dont l’entreprise est responsable et ne vise donc pas les traitements qui ne seraient pas créés ou exploités par l’entreprise elle-même (traitement dit « sauvages »).
Le traitement de données à caractère personnel peut être géré directement par l’entreprise ou par le biais d’un sous-traitant spécifiquement désigné par l’entreprise.
Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de l’entreprise, notamment les chartes des systèmes d’information, les chartes administrateur ou encore les chartes liées à la déconnexion ou au télétravail.
5. Principes généraux
Aucun traitement n’est mis en œuvre dans l’entreprise concernant des données de salariées s’il n’a pas été préalablement approuvé par la Direction générale et s’il ne répond pas aux principes généraux du RGPD.
Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des salariés par tous moyens à la convenance de l’entreprise.
6. Finalités et bases légales
Selon les cas, l’entreprise traite notamment les données des salariés pour les finalités suivantes :
Gestion des ressources humaines | – Gestion du personnel
– Gestion des carrières – Gestion des congés – Évaluation du personnel – Gestion des accidents du travail et maladie professionnelle et suivi des visites médicales |
Mise à disposition des outils de travail
|
– Gestion des annuaires internes, organigrammes et agendas professionnels
– Gestion des dotations individuelles en fournitures et équipements (ex : téléphonie mobile) – Suivi et maintenance du parc informatique – Gestion de la messagerie électronique professionnelle et tout autre moyen de communication (chat par exemple) – Gestion des réseaux privés virtuels internes permettant la diffusion de données des personnels (intranet) – Mise à disposition de véhicules de fonction |
Formation / Sensibilisation | – Suivi des demandes de formation
– Inscription aux formations – Données d’identification à des formations en ligne (Mooc, Webex, e-learning) – Feuilles d’émargement papier ou électronique – Mesure de la satisfaction |
Gestion des élections professionnelles | – Établissement des listes
– Mise en œuvre et contrôle des élections – Déploiement du vote électronique |
Aspect financier et comptable | Le calcul et le paiement des rémunérations et accessoires et des frais professionnels ainsi que le calcul des retenues déductibles ou indemnisables opérées conformément aux dispositions légales et conventionnelles applicables
Réalisation des opérations résultant de dispositions légales, de conventions collectives ou de stipulations contractuelles concernant : · déclarations à l’administration fiscale et aux organismes de protection sociale, de retraite et de prévoyance ; · calcul des cotisations et versements donnant lieu à la retenue à la source ; · tenue des comptes individuels relatifs à l’intéressement et à la participation des travailleurs à l’entreprise ; · fourniture des écritures de paie à la comptabilité. Gestion des indemnités de départ à la retraite et calcul des engagements de départ |
Évènements | – Invitation à des évènements d’entreprise |
Sécurité des biens et des personnes
|
– Contrôle individuel de l’accès pour sécuriser l’entrée dans les bâtiments
– Contrôle individuel de l’accès pour sécuriser les locaux |
Réalisation d’états statistiques | – Statistiques internes
– Statistiques demandées par des autorités externes (Insee par exemple) |
7. Base légale
Les traitements mis en œuvre par notre entreprise au titre de la présente politique ont tous pour base légalement l’exécution du contrat de travail ou le respect d’une obligation légale.
8. Destinataires des données – Habilitation et traçabilité
L’entreprise s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.
Les destinataires des données à caractère personnel des salariés au sein de l’entreprise sont soumis à une obligation de confidentialité spécifique. L’entreprise dispose pour se faire de règles d’habilitations spécifiques. Pourront notamment être destinataires de ces données à caractère personnel :
Destinataires internes | Destinataires externes |
– DRH
– DAF – DSI – Moyens généraux – Contrôle interne – Représentant du personnel – Autres directions et personnels désignés à cet effet par l’entreprise |
– URSSAF – Pôle emploi
– Organismes de formation – Organismes sociaux – Organismes bancaires et financiers – Médecine du travail – Tutelle – Organismes de contrôle ou de certification |
Les salariés sont informés que tous les accès concernant des traitements relatifs à des données à caractère personnel de salariés font l’objet d’une mesure de traçabilité.
Si un salarié se rend compte qu’il dispose d’un accès à des données auxquelles il ne devrait pas avoir accès, il a pour obligation de prévenir sans délais la direction des systèmes d’information ou la direction des ressources humaines.
9. Durée de conservation
La durée de conservation des données est définie par l’entreprise au regard des contraintes légales et contractuelles qui pèsent sur elle et à défaut en fonction de ses besoins.
Traitement concerné | Durée de conservation des données collectées |
Gestion administrative des salariés |
Les données sont conservées par les services gestionnaires pour la période d’emploi de la personne concernée. Elles sont conservées 5 ans en archivage intermédiaire à compter du départ du salarié. |
Gestion de la paie | Gestion de la paie : 5 ans à compter du versement de la paie (article L3243-4 du Code du travail) ;
Les informations relatives aux motifs des absences ne sont pas conservées au-delà du temps nécessaire à l’établissement des bulletins de paie. Les informations nécessaires à l’établissement des droits du personnel, notamment des droits à la retraite sont conservées sans limitation de durée. |
Badges sur le lieu de travail | Éléments d’identification des salariés : 5 ans maximum après le départ du salarié de l’entreprise. |
Données de connexion | 2 mois |
Passés les délais fixés, et sauf procédure précontentieuse et contentieuse, ou demande d’une autorité compétente, les données sont soient supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.
La suppression ou l’anonymisation sont des opérations irréversibles que l’entreprise n’est plus, par la suite, en mesure de restaurer.
10. Droit de confirmation et droit d’accès
Le salarié dispose d’un droit de demander à l’entreprise la confirmation que des données le concernant sont ou non traitées.
Le salarié dispose également d’un droit d’accès, ce dernier étant conditionnée au respect des règles suivantes :
- la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité ;
- être formulée par écrit à l’adresse suivante : rgpdrh@ogic.fr – 155 rue Jean-Jacques Rousseau, 92130 Issy-les-Moulineaux
Le salarié a le droit de demander une copie de ses données à caractère personnel faisant l’objet du traitement auprès de l’entreprise. Toutefois, en cas de demande de copie supplémentaire, l’entreprise pourra exiger la prise en charge financière de ce coût par le salarié.
Si le salarié présente sa demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.
Le salarié est enfin informé que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.
11. Mise à jour – Actualisation et rectification
Afin de permettre une mise à jour régulière des données à caractère personnel collectées par l’entreprise, celle-ci pourra solliciter le salarié qui aura pour obligation de satisfaire aux demandes de l’entreprise.
En cas de modification des informations du salarié par l’entreprise, ce dernier en sera spontanément informé.
Le salarié est informé que l’entreprise ne procédera à aucune modification dite de « confort », seules des modifications substantielles sur l’état civil, l’identité et les coordonnées de la personne concernée seront réalisées.
12. Droit à l’effacement
Le salarié est informé qu’il ne dispose pas du droit à l’effacement du traitement de ses données à caractère personnel dans la mesure où les motifs énoncés à l’article 17 du RGPD sont inopérants en l’espèce.
13. Droit à la limitation
Le salarié est informé qu’il ne dispose pas du droit à la limitation du traitement de ses données à caractère personnel dans la mesure où le traitement opéré par l’entreprise est licite et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution du contrat de travail.
14. Droit à la portabilité
Le salarié est informé qu’il ne dispose pas du droit à la portabilité de ses données à caractère personnel dans la mesure où le traitement opéré par l’entreprise n’est pas systématiquement fondé à l’aide de procédés automatisés.
15. Décision individuelle automatisée
L’entreprise ne procède à aucune décision individuelle automatisée concernant ses salariés.
16. Droit post mortem
Les salariés sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse rgpdrh@ogic.fr ou par courrier postal à l’adresse suivante 155 rue Jean-Jacques Rousseau, 92130 Issy-les-Moulineaux, accompagné d’une copie d’un titre d’identité signé.
17. Droit d’usage
L’entreprise se voit conférer par le salarié un droit d’usage et de traitement de ses données à caractère personnel pour les finalités exposées précédemment.
Toutefois, les données enrichies qui sont le fruit d’un travail de traitement et d’analyse de l’entreprise, autrement appelées les données enrichies, demeurent la propriété exclusive de l’entreprise (analyse d’usage, statistiques, etc.).
18. Données issues des réseaux sociaux
L’entreprise s’interdit d’exploiter, sans l’accord préalable du salarié, les données et les informations d’ordre privée, même si elle sont rendues publiques, diffusées par le salarié sur les réseaux sociaux.
19. Sous-traitance
L’entreprise informe les salariés qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement des données à caractère personnel du salarié.
Dans ce cas, l’entreprise s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.
L’entreprise s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données qu’elle-même. De plus, l’entreprise se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.
20. Sécurité
Il appartient à l’entreprise de définir et de mettre en œuvre les mesures techniques de sécurité, physique ou logique, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Pour ce faire, l’entreprise peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’elle estimera nécessaire, à des audits de vulnérabilité ou des tests d’intrusion.
En tout état de cause, l’entreprise s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, l’entreprise s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.
21. Violation de données
En cas de violation de données à caractère personnel, l’entreprise s’engage à en notifier à la Cnil dans les conditions prescrites par le RGPD.
Si ladite violation fait porter un risque élevé pour les salariés et que les données n’ont pas été protégées, l’entreprise :
- en avisera les salariés concernés ;
- communiquera aux salariés concernés les informations et recommandations nécessaires.
22. Registre des traitements
L’entreprise, en tant que responsable du traitement, tient à jour un registre de toutes les activités de traitement effectuées.
Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par l’entreprise, en tant que responsable du traitement.
L’entreprise s’engage à fournir à la Cnil, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.
23. Droit d’introduire une réclamation auprès de la Cnil
Les salariés concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la Cnil, si celui-ci estime que le traitement de données à caractère personnel le concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :
Cnil – Service des plaintes
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
24. Évolution
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des salariés par tout moyen défini par l’entreprise, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).
25. Pour plus d’informations
Pour toutes informations complémentaires, vous pouvez contacter la direction des ressources humaines et/ou la direction informatique du Groupe OGIC.
Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr