Politique de confidentialité
Préambule : l’entreprise
L’entreprise Les Compagnons du Compost est une SARL spécialisée dans le domaine du compostage.
Sa mission consiste à conseiller et accompagner les entreprises, les collectivités comme les particuliers dans la mise en oeuvre du compostage sur site avec pour objectif la valorisation des biodéchets et la réduction du gaspillage alimentaire.
Les Compagnons du Compost est désignée ciaprès l’entreprise.
I. Objectif de la Politique
Dans le cadre de son activité, L’ENTREPRISE est amenée à collecter et à traiter des données à caractère personnel relatives à ses employés, alternants, apprentis, intérimaires ou stagiaires et également des données de contact de ses fournisseurs et clients.
L’objectif principal de ce document est de regrouper dans un format concis, transparent, compréhensible et aisément accessible les informations concernant les traitements de données personnelles mis en oeuvre par L’ENTREPRISE, les droits des personnes concernées sur ces données et les mesures de sécurité mises en place pour protéger l’ensemble des informations traitées par L’ENTREPRISE.
La présente politique est susceptible d’être mise à jour, elle est tenue à la disposition des parties prenantes de L’ENTREPRISE sur son site web.
II. Champs d’application
La protection des données et la sécurité de l’information couvre les informations de toute nature, imprimées ou manuscrites, transmises par email ou sur un site web, etc.
La présente politique couvre l’ensemble des données y compris les données à caractère personnel traitées par L’ENTREPRISE conformément aux dispositions légales et règlementaires applicables.
III. Définitions
Utilisateur : désigne dans la présente politique, les salariés à temps plein et à temps partiel, les intérimaires, les stagiaires, le cas échéant les visiteurs ainsi que les prestataires ou soustraitants et les consultants qui interviennent sur le site physique de l’organisme ou ont accès d’une manière ou d’une autre aux données de l’organisme.
Personne concernée : personne concernée par le traitement de ses données personnelles : utilisateur (site web), prospect, client, apprenant, fournisseur…
Donnée à caractère personnel / ci-après dénommée « donnée » ou « donnée personnelle » : toute information se rapportant à une personne physique identifiée ou identifiable.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art 4.1 RGPD).
Traitement de données : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (art 4.2 RGPD).
Responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (art 4.7 RGPD).
Sous-traitant (RGPD) : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
La finalité d’un traitement : objectif dudit traitement de donnée, c’est-à-dire la raison pour laquelle la donnée est collectée et traitée.
Les autres termes relatifs aux données personnelles mentionnés dans le présent document ont le sens défini par le Règlement Général sur la Protection des Données – Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
IV. Traitements de données à caractère personnel
L’ENTREPRISE peut dans le cadre de ses activités être amené à traiter des données personnelles des personnes concernées.
Le cas échéant, les traitements de données sont réalisés pour des finalités spécifiques : chaque traitement de données mis en oeuvre poursuit une finalité légitime, déterminée et explicite.
Pour chacun des traitements mis en oeuvre, L’ENTREPRISE s’engage à ne collecter et n’exploiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’ENTREPRISE veille à ce que les données soient, si nécessaire mises à jour et à mettre en oeuvre des procédés pour permettre l’effacement ou la rectification des données inexactes.
Enfin, L’ENTREPRISE s’assure que les données ne soient pas conservées au-delà des durées nécessaires au regard des finalités respectives et au besoin des contrôles auxquels L’ENTREPRISE peut être soumise.
Les données sont destinées au personnel habilité de L’ENTREPRISE et à ses éventuels sous-traitants soumis à des exigences en matière de protection des données.
En aucun cas L’ENTREPRISE ne vend à des tiers les données personnelles des personnes concernées.
L’ENTREPRISE informe toutefois les personnes concernées que leurs données peuvent faire l’objet d’une communication aux tiers autorisés, autorités, instances, organismes et institutions se prévalant d’une disposition légale à cet effet.
Pour toute question relative aux traitements de données opérés par L’entreprise, les personnes concernées peuvent adresser leur demande par email à : contact@lescompagnonsducompost.fr ou par courrier : LES COMPAGNONS DU COMPOST – 12 PLACE LAFAYETTE 02100 SAINT-QUENTIN.
Principaux traitements de données personnelles mis en œuvre :
Les principaux traitements de données mis en oeuvre par L’ENTREPRISE sont les suivants :
Dans le cadre de l’exécution du contrat de travail, L’ENTREPRISE traite des données à caractère personnel relatives à son personnel.Les informations au sujet de ces traitements sont communiquées aux salariés au travers de sa Charte de Confidentialité et d’usage des systèmes d’information.
Données relatives aux candidatures pour un emploi
Les données collectées, outre les coordonnées du candidat et données liées à l’état civil, se limitent à ce qui servira à évaluer la capacité du candidat à occuper l’emploi proposé (qualification, expérience, etc.).
Les données liées aux recrutements sont traitées par la dirigeante de L’ENTREPRISE.
Ces traitements de données sont fondés sur l’intérêt légitime de L’ENTREPRISE de gérer les candidatures et disposer d’une cv-thèque pour la gestion des recrutements en cours et à venir.
Les candidatures qui ne sont pas retenues sont conservées 2 ans après le dernier contact entrant de la part du candidat, sauf s’il s’y oppose ou qu’il en demande la suppression lorsqu’il est informé de la réponse négative à sa candidature.
Les données liées aux candidats retenus sont conservées pendant la durée du contrat de travail augmentée des délais de prescription et durée de conservation obligatoire.
Données relatives aux clients et aux fournisseurs L’ENTREPRISE traite les données de contact de ses clients entreprise, des collectivités clientes, ses clients particuliers et de fournisseurs collectées directement auprès d’eux dans le cadre de la relation contractuelle ou précontractuelle.
Ces données sont collectées directement dans le cadre de la relation contractuelle liant L’ENTREPRISE à ses clients.
Ces données sont uniquement utilisées par L’ENTREPRISE dans le cadre des missions qui lui sont confiées.
Ces traitements de données reposent sur l’exécution du contrat de prestation pour lequel L’ENTREPRISE est partie.
Les données de contact des clients, collectivités, fournisseurs ou clients particuliers sont conservées sur consentement pour retour d’expérience sur une durée de 10 ans charge à l’entreprise si le besoin d’analyse perdure de renouveler le consentement.
Ensuite les données personnelles seront anonymisées pour une conservation en archive sans à des fins d’échanges d’expérience, d’analyses comparatives, d’analyses d’évolution comportementale et d’enrichissement des données d’étude.
Données relatives aux formations
L’ENTREPRISE traite les données de contact des particuliers et salariés de ses clients entreprise ou collectivités, dans le cadre des formations ou animations qu’elle propose.
Ces données sont collectées directement dans le cas de particuliers et directement ou indirectement dans le cas de salariés dont les données sont parfois fournies par le client entreprise ou la collectivité.
Le traitement de ces données s’inscrit dans le cadre de la relation contractuelle liant L’ENTREPRISE à ses clients.
Ces données sont uniquement utilisées par L’ENTREPRISE dans le cadre des missions qui lui sont confiées.
Elles sont traitées par des moyens informatiques sécurisés et sont réservées à l’usage du personnel habilité.
Elles sont conservées dans le dossier client.
Données relatives aux visiteurs du site internet
Les visiteurs du site web sont informés qu’un ou plusieurs cookies sont susceptibles d’être déposés sur leurs équipements terminaux lors de leur visite sur le site internet de L’ENTREPRISE, sous réserve des choix et options qu’ils ont exprimés lors de leur première visite et qu’ils peuvent modifier à tout moment.
Le détail des informations liées aux cookies est tenu à disposition des utilisateurs dans la section Cookies de la présente Politique.
L’ENTREPRISE collecte, par ailleurs, les données relatives aux formulaires de contact de son site web.
Il s’agit des données d’identification et coordonnées qui permettront à L’ENTREPRISE de répondre à la demande de contact.
Ces données sont traitées par des moyens informatiques sécurisés et sont réservées à l’usage du personnel habilité.
Ces données de contact sont conservées pour une durée de trois ans; ensuite ces données sont supprimées.
V. Transfert de données hors UE
Les données à caractère personnel collectées par L’ENTREPRISE sont hébergées par un prestataire situé en dehors de l’Union européenne.
Il s’agit de la société Infomaniak située Rue Eugène-Marziano 25, 1227 Genève, Suisse.
N° IDE & TVA : CHE-103.167.648 La Suisse ne fait pas partie de l’Union Européenne.
Cependant les entreprises suisses sont tenues de respecter la loi fédérale sur la protection données (« LPD »).
Par ailleurs, la Suisse bénéficie d’une décision d’adéquation de la Commission européenne.
Ainsi, la Suisse est considérée comme offrant un niveau de protection adéquat, et le transfert de données peut être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.
Si L’ENTREPRISE était amenée à réaliser d’autres traitements de données en dehors de l’Union Européen, elle informerait les personnes concernées des garanties concernant ce traitement de données, et leur demanderait le cas échéant, leur consentement préalable
Enfin, lorsque L’ENTREPRISE est amenée à sous-traiter des données personnelles, L’ENTREPRISE veille à ce que les sous-traitants soient basés dans l’Union européenne.
Droits des personnes concernées Conformément à la règlementation en matière de protection des données personnelles, en particulier le RGPD – Règlement (UE) 2016/679, les personnes concernées disposent de droits sur leurs données personnelles
- Un droit d’accès : le droit d’obtenir la confirmation que les données personnelles font ou ne font pas l’objet d’un traitement, et d’en obtenir la communication ;
- Un droit de rectification : le droit d’obtenir la rectification de données personnelles inexactes, périmées ou de pouvoir compléter des données incomplètes ;
- Un droit d’effacement : le droit d’obtenir la suppression des données personnelles lorsque l’un des motifs ci-dessous s’applique.
– les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées ;
– la personne retire le consentement préalablement donné ;
– la personne s’oppose au traitement de ses données lorsqu’il n’existe pas de motif légitime impérieux pour le traitement ;
– le traitement de données n’est pas conforme aux dispositions de la législation et de la règlementation applicable.
- Un droit à la limitation : le droit de demander le gel des données du traitement pour une période donnée ;
- Un droit d’opposition : le droit de s’opposer à tout moment pour des raisons tenant à votre situation particulière, au traitement de ses données personnelles, quand celui-ci est fondé sur notre intérêt légitime ;
- Un droit à la portabilité : le droit de recevoir, en vue de les stocker ou de les transmettre à un tiers, les données personnelles fournies, dans le cadre de l’exécution d’un contrat, sous un format ouvert et lisible par machine et qui font l’objet d’un traitement automatisé ;
- Un droit au retrait du consentement : lorsque le traitement des données est fondé sur le consentement, la personne peut exercer ce droit à tout moment sans avoir à en justifier la raison.
Les personnes estimant, après avoir contacté L’ENTREPRISE, que leurs droits ne sont pas respectés, peuvent adresser une réclamation à la CNIL : https://www.cnil.fr/fr/plaintes
VI. Sécurisation des données
L’ENTREPRISE s’engage, conformément à la règlementation française et européenne en matière de protection des données, à prendre les mesures de sécurité d’ordre technique et organisationnel qui sont nécessaires pour protéger la confidentialité, l’intégrité et la disponibilité des données qu’elle traite, compte tenu de l’état de la technologie, de la nature des données stockées et des risques auxquels celles-ci sont soumises.
L’ensemble des mesures et règles de sécurité appliquées mises en œuvre par L’ENTREPRISE sont décrites ci-après.
Périmètre d’application des mesures de sécurité
Les mesures de sécurité s’appliquent à l’ensemble de systèmes d’information interconnectés par le réseau : – les systèmes d’information (bureautique, traitement des données, toutes applications, le site Web institutionnel, la messagerie … – l’ensemble du matériel informatique destiné au personnel.
Les mesures de sécurité englobent également l’hébergement physique des supports papiers tout au long de leur cycle de vie.
Sécurité organisationnelle
– Obligation Confidentialité du personnel (Charte de Confidentialité et d’usage des systèmes d’information signée)
– Assurance que le personnel connaisse les règles de sécurité à appliquer, physiques et logiques (Charte de Confidentialité et d’usage des systèmes d’information signée)
– Clauses spécifiques contrats de soustraitance
Sécurité physique des accès aux données
– Accès restreint aux locaux
– Accès restreint aux données papier (sécurisation des dossiers actifs, sécurisation des archives)
– Sécuriser l’accès aux équipements informatiques (mise en veille automatique)
Sécurité logique des accès aux données
– Identification et authentification (structure des mots passe renforcées)
– Suivi de la création et suppression des comptes utilisateurs
– Gestion des privilèges (par fonction)
– Travail à distance sur cloud sécurisé
Sécurité opérationnelle des données
– Système de sauvegarde
– Mesures de protection contre logiciels malveillants (antivirus)
– Mises à jour régulières
– Sécurisation des flux (pare-feu)
– Sécurisation des transmissions de données (Cloud sécurisé)
Sécurité Site web
– Sécurisation du site web
– Hébergement des données en Suisse (niveau de protection des données adéquat)
Conservation limitée et sécurisation de l’archivage
La limitation de conservation des informations répond aux exigences du RGPD en ce qui concerne les données à caractère personnel mais permet également de réduire le volume de données sur lequel portent les risques de sécurité.
En ce sens elle est considérée dans la présente politique comme une mesure de sécurité administrative.
– Conservation des données pour une durée définie.
– Archivage en zone distincte et sécurisée, (données numériques et données papier).
– Gestion de la confidentialité des suppressions (broyeur papier).
Gestion de la sous-traitance
Mesures de sécurité spécifiques concernant les prestataires intervenant sur les systèmes ou amenés à avoir accès aux données de l’organisme.
– Les contrats de sous-traitance impliquant des traitements de données personnelles comprennent une clause spécifique responsabilisant le prestataire sur la protection des données.
Une convention est signée pour les contrats pré-existants.
– La restitution ou destruction des données est cadrée.
Identification des incidents
Si, malgré les mesures mises en place, L’ENTREPRISE constate une violation des données des personnes concernées, L’ENTREPRISE s’engage à prendre toutes les dispositions possibles pour limiter l’impact potentiel pour ces personnes.
Conformément à la règlementation, lorsque les risques pour les droits et libertés des personnes sont élevés, L’ENTREPRISE en informera, dans les meilleurs délais, la CNIL et le cas échéant les personnes concernées.
Exercice des droits en matière de données personnelles
Conformément aux réglementations en vigueur en matière de protection des données, et notamment aux dispositions du règlement (UE) n°2016/679 et de la loi 78-17 du 6 janvier 1978 modifiée relatives à l’informatique, aux fichiers et aux libertés, l’utilisateur dispose d’un droit d’information, d’accès, de rectification, de limitation ou d’effacement des informations le concernant et peut s’opposer au traitement de ses données personnelles dans les conditions prévues par le RGPD.
Pour exercer leurs droits ou pour adresser toute question sur le traitement de leurs données, les personnes concernées, peuvent adresser leur demande par email à : contact@lescompagnonsducompost.fr
ou par courrier : LES COMPAGNONS DU COMPOST – 12 PLACE LAFAYETTE 02100 SAINT-QUENTIN.
Si l’utilisateur n’est pas satisfait du traitement de sa demande d’exercice de droits en matière
