CHARTE PROTECTION DES DONNEES A CARACTERE PERSONNEL
PREAMBULE
Le cadre légal de la présente charte :
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.
Le RGPD renforce les droits et les obligations des responsables de traitements, des salariés, des sous-traitants, des personnes concernées et des destinataires des données.
Dans le cadre de son activité, la société TPF INGENIERIE (ci-après « TPFI ») est amenée à traiter des données à caractère personnel.
Pour une bonne compréhension de la présente charte, il est précisé que :
Le « responsable du traitement » s’entend de la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente charte, le responsable du traitement est la SAS TPF INGENIERIE (ci-après dénommée « TPFI »), ayant son siège social à : Immeuble le Balthazar 2 quai d’Arenc à MARSEILLE (13002).
Le « sous-traitant » s’entend de toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Les « personnes concernées » ou « tiers » s’entendent des personnes qui peuvent être identifiées directement ou indirectement, et dont les données à caractère personnel font l’objet d’une collecte par le responsable du traitement. Au titre de la présente politique, les « personnes concernées » ou « tiers » sont les différentes personnes physiques ayant la qualité d’interlocuteurs de TPFI parmi ses salariés, ses clients, contacts et partenaires appréhendés en leur qualité de personne morale, les candidats à un poste auprès de TPFI.
Les « destinataires » des données s’entendent des personnes physiques ou morales qui reçoivent la communication des données à caractère personnel de la part de TPFI.
Les destinataires des données peuvent donc être aussi bien des destinataires internes que des destinataires externes.
L’objet de la présente charte :
La présente charte a pour objet de satisfaire à l’obligation d’information à laquelle TPFI est tenue en application du RGPD et de formaliser les droits et les obligations des personnes concernées au regard du traitement de leurs données à caractère personnel.
La portée de la présente charte :
La présente charte de protection des données à caractère personnel a vocation à s’appliquer dans le cadre de la mise en place des traitements de données à caractère personnel relatives à tous les salariés de TPFI et tiers à TPFI, ce qui englobe ainsi les personnes physiques qui sont ses interlocuteurs auprès de chacun de ses clients, partenaires et contacts, utilisateurs de son site carrière.
La présente charte ne porte que sur les traitements dont TPFI est responsable du traitement et ne vise donc pas les traitements qui ne seraient pas créés ou exploités par TPFI.
Les traitements de données à caractère personnel peuvent être gérés directement par TPFI ou par le biais d’un sous-traitant spécifiquement désigné par TPFI.
Cette charte est indépendante de tout autre document pouvant s’appliquer entre TPFI et ses clients, partenaires, contacts ou candidats.
Les principes généraux :
Tous les traitements mis en œuvre au sein de TPFI se rapportant aux données des personnes concernées par la présente charte portent sur des données à caractère personnel collectées par ou pour les services de TPFI ou traitées en relation avec ses services et répondent aux principes généraux du RGPD.
Une liste des traitements de données à caractère personnel existants est jointe en annexe en fin de la présente charte.
Tout nouveau traitement, toute modification ou suppression d’un traitement existant sera porté à la connaissance des personnes concernées par le biais d’une modification de la présente charte.
Durée de conservation :
La durée de conservation des données est définie par TPFI au regard des contraintes légales et en fonction de ses besoins.
A l’expiration des durées de conservation fixées par TPFI, les données sont soit supprimées, soit éventuellement conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.
Elles peuvent être conservées en cas de précontentieux et contentieux.
Il est rappelé aux personnes concernées que la suppression ou l’anonymisation sont des opérations irréversibles et que TPFI n’est plus, par la suite, en mesure de les restaurer.
Sécurité :
Il appartient à TPFI de définir et de mettre en œuvre les mesures techniques de sécurité, physiques ou logistiques, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Parmi ces mesures figurent principalement :
• La gestion des habilitations pour l’accès aux données
• Les mesures de sauvegarde interne
• Les processus d’identification
• L’adoption d’une politique de sécurité des systèmes d’information
• L’adoption de plans de continuité / de reprise d’activité s’il y a lieu
• L’utilisation d’un protocole ou de solutions de sécurité
• Une assurance cyber-sécurité.
Violation de données :
En cas de violation de données à caractère personnel, TPFI s’engage à en notifier l’autorité de
contrôle compétente dans les conditions prescrites par le RGPD.
Si ladite violation fait peser un risque élevé sur les personnes concernées, TPFI en avisera les
personnes concernées et leur communiquera les informations et recommandations nécessaires.
Registre des traitements :
TPFI, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.
Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par TPFI en tant que responsable du traitement.
TPFI s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.
Evolution :
La présente charte peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de l’autorité de contrôle ou des usages. Toute nouvelle version de la présente charte sera portée à la connaissance des personnes concernées par tout moyen défini par TPFI, notamment sur son site web.
Conclusion :
Pour toutes informations complémentaires, les personnes concernées peuvent contacter le référent RGPD à l’adresse suivante : rgpd@tpfi.fr
Pour toute autre information plus générale sur la protection des données personnelles, les personnes concernées peuvent consulter le site de l’autorité de contrôle :
CNIL – Service des plaintes
3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 / Tél : 01 53 73 22 22
La présente Charte est applicable à compter de sa publication.
1. POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES DES SALARIES DE TPFI
La réglementation en matière de protection des données personnelles définit les conditions dans lesquelles des traitements de données personnelles peuvent être effectués et impose une utilisation des données personnelles qui soit responsable, pertinente et limitée aux stricts besoins d’une entreprise ou de tout autre organisme. Ainsi, toute information se rapportant directement ou indirectement à un salarié ne peut être utilisée que de manière transparente et en respectant ses droits sur les données le concernant.
L’entreprise utilise les données personnelles de ses salariés dans un cadre bien défini, conformément à la réglementation sur la protection des données personnelles.
Collecte et utilisation des données :
Les données personnelles des salariés peuvent être collectées par l’employeur :
Dans le cadre de l’exécution du contrat de travail (gestion du recrutement, gestion de la paie, gestion de la carrière, mise à disposition d’outils informatiques, gestion des déplacements professionnels) ;
À des fins de sécurité dans les locaux professionnels (contrôles d’accès, vidéosurveillance); Afin de répondre à une obligation légale ou réglementaire (prélèvement à la source, désignation en cas de contravention routière, contrôle d’accès en zone de sûreté).
Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités indiquées ci-dessus.
La durée de conservation des données personnelles est liée à la finalité du traitement pour lequel les données sont collectées.
Partage des données :
Les données personnelles sont destinées à l’employeur. Elles peuvent toutefois être communiquées à des prestataires externes auxquels l’employeur fait appel, notamment pour l’accès au restaurant d’entreprise, la gestion des outils informatiques, téléphoniques, la gestion de la paie ou encore la souscription d’une mutuelle, la gestion des infractions routières. L’utilisation de ces données par des tiers est alors strictement limitée à la gestion du service en question.
Dans le cas où les données sont collectées par l’employeur afin de répondre à une obligation légale, elles sont transmises aux tiers légalement autorisés à recevoir communication de ces données (administrations, Trésor Public, police…).
Sécurité des données :
TPFI met en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles des salariés de TPFI contre tout accès, utilisation ou modification non autorisés, toute suppression involontaire ou encore contre le vol des données.
Les droits et informations des salariés :
Conformément à la réglementation applicable en matière de données à caractère personnel, les salariés de TPFI disposent d’un droit d’accès, de rectification, d’opposition, de limitation du traitement, d’effacement et de portabilité des données exerçable par mail à l’adresse suivante : rgpd@tpfi.fr, en précisant leurs nom, prénom et adresse.
En cas de difficulté en lien avec la gestion de ces données personnelles, les salariés peuvent adresser une réclamation auprès du service des Ressources Humaines ou auprès de la CNIL ou de toute autre autorité compétente.
2. POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES DES TIERS
Origines des données :
Les données relatives aux personnes concernées sont généralement collectées directement auprès de ces dernières (hypothèse d’une candidature) ou auprès des clients, partenaires et contacts.
Dans certains cas particuliers, la collecte peut également être indirecte via d’autres partenaires et/ou fournisseurs de TPFI, auquel cas TPFI prend le plus grand soin à s’assurer de la pertinence et de l’adéquation des données qui lui sont communiquées au regard du traitement concerné (principe de minimisation).
Finalités :
Selon les cas, TPFI traite les données notamment pour les finalités suivantes :
• Gestion de la relation clients et partenaires (notamment suivi des contrats, comptabilité, fourniture de services, facturation, etc.)
• Gestion de la relation contacts
• Alimentation des logiciels CRM et gestion avec les coordonnées de ses interlocuteurs
auprès des clients, contacts et partenaires
• Etablissement d’actes en la forme administrative (états parcellaires, acquisitions et
cessions immobilières, servitudes, études acoustiques…)
• Gestion des newsletters
• Mailings commerciaux (vœux, invitations…)
• Réponses à des appels d’offres publics ou privés
• Alimentation d’une éventuelle CVthèque de TPFI notamment dans notre logiciel Recrutement contenant les CV des candidats qui y auront consenti
• Contrôle éventuel de l’accès aux locaux TPFI, siège et agences (sécurité des biens et des personnes, identification des auteurs de vols, dégradations ou agressions)
Ces finalités reposent sur les fondements suivants :
• Exécution d’un contrat conclu entre TPFI et son client ou partenaire
• Exécution de mesures précontractuelles au profit d’un candidat auprès de TPFI
• Intérêt légitime de TPFI de disposer de données concernant ses utilisateurs et ses contacts et de répondre aux demandes formulées par les internautes via le formulaire de contact en ligne sur son site internet, à des administrations pour finaliser des procédures réglementaires et foncières, ainsi que des procédures acoustiques et de vidéosurveillance.
En dehors des fondements susmentionnés et lorsque cela apparaît nécessaire, TPFI recueille le consentement des personnes concernées.
Destinataires des données – habilitation et accessibilité :
TPFI s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.
Destinataires internes :
• Le personnel habilité des services chargés de traiter la relation client et partenaires et la prospection, tels que notamment les services marketing, communication et commercial
• Le personnel habilité des services chargés de gérer le recrutement
• Le personnel habilité des services administratifs, des services informatiques, ainsi que
leurs responsables hiérarchiques
• Le personnel habilité des services chargés du contrôle (services chargés des procédures internes du contrôle, etc.).
Destinataires externes :
• Les filiales du groupe TPF
• Les organismes, les auxiliaires de justice et les officiers ministériels, dans le cadre de leur mission
• Les administrations (service de la publicité foncière…)
• Les commissaires aux comptes et les avocats
• Les sous-traitants
• Les prospects et clients
• Les partenaires
• Les cabinets de recrutement
• Les compagnies d’assurance.
Les destinataires, au sein de TPFI, des données à caractère personnel des personnes concernées sont soumis à une obligation de confidentialité.
TPFI n’est en aucun cas responsable des dommages de toute nature qui peuvent résulter d’un accès illicite aux données à caractère personnel chez des destinataires externes.
Droit de confirmation et droit d’accès :
Les personnes concernées disposent du droit de demander à TPFI la confirmation que des données les concernant sont ou non traitées.
Les personnes concernées disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :
• La demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité à jour
• La demande est formulée par écrit à l’adresse email suivante : rgpd@tpfi.fr
Les personnes concernées ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de TPFI.
Toutefois, en cas de demande de copie supplémentaire, TPFI pourra exiger la prise en charge financière de ce coût par les personnes concernées elles-mêmes.
Si les personnes concernées présentent leur demande de copie des données par voie électronique, les informations demandées leur seront fournies sous une forme électronique d’usage courant, sauf demande contraire.
Les personnes concernées sont enfin informées que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive, c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.
Mise à jour – actualisation et rectification :
TPFI satisfait aux demandes de mise à jour de leurs données personnelles émises par les personnes concernées :
Automatiquement pour les modifications faites en ligne sur des champs qui techniquement ou légalement peuvent être mis à jour.
Sur demande écrite émanant de la personne concernée elle-même qui doit justifier de son identité.
Droit à l’effacement :
Le droit à l’effacement des personnes concernées ne sera pas applicable dans les cas où le traitement serait mis en œuvre pour répondre à une obligation légale.
En dehors de cette situation, les personnes concernées pourront demander l’effacement de leurs données dans les cas limitatifs suivants :
Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.
Lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement.
La personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par TPFI et qu’il n’existe pas de motif légitime impérieux pour le traitement
La personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection.
Les données à caractère personnel ont fait l’objet d’un traitement illicite.
Conformément à la législation sur la protection des données à caractère personnel, les personnes concernées sont informées qu’il s'agit d'un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné devra donc vérifier son identité afin d'éviter toute communication d'informations confidentielles à une autre personne que la personne concernée.
Droit d’usage :
TPFI se voit conférer par les personnes concernées un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées en annexe.
Sous-traitance :
TPFI informe les personnes concernées qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.
Dans ce cas, TPFI s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.
TPFI s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données qu’elle-même.
Référent RGPD :
TPFI a désigné un référent RGPD, interlocuteur unique en matière de protection des données à caractère personnel. Il peut être contacté à l’adresse mail : rgpd@tpfi.fr
Si les personnes concernées souhaitent obtenir une information ou souhaitent poser une question particulière, il leur sera possible de saisir le référent RGPD qui leur donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.
Droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :
Les personnes concernées par le traitement de leurs données à caractère personnel sont informées de leur droit d’introduire une plainte auprès d'une autorité de contrôle si elles estiment que le traitement de données à caractère personnel les concernant n'est pas conforme à la règlementation de protection des données.
Les coordonnées de l’organisme de contrôle sont visées en Préambule de la présente charte.