Politique de confidentialité
Déclaration de la politique de protection des données personnelles
TEAMWILL place la protection des données à caractère personnel au cœur de ses missions et des services qui vous sont proposés. C’est pourquoi ces valeurs l’engagent, conformément à la règlementation en vigueur, à mettre en œuvre des mesures adéquates pour assurer la protection, la confidentialité et la sécurité des données à caractère personnel de toute personne auprès de laquelle des données sont collectées.
La présente politique de protection des données a donc pour objectif de vous informer sur les engagements pris par TEAMWILL afin de veiller au respect de vos données à caractère personnel. Le respect des droits fondamentaux et des règles de protection des données personnelles fait partie intégrante des valeurs éthiques de TEAMWILL.
Le Règlement Général sur la Protection des Données(« RGPD ») applicable dans l’ensemble des États membres de l’Union européenne, renforce les droits des personnes physiques sur leurs données personnelles grâce à un régime harmonisé des principes de protection au sein de l’Union européenne.
Le RGPD prévoit un nouveau principe de « responsabilité » (Accountability) des acteurs du secteur privé et du secteur public, à charge pour ces derniers de démontrer qu’ils ont mis en œuvre les mesures appropriées, afin de garantir le respect des règles de protection.
Ces nouvelles exigences se matérialisent notamment par la désignation d’un délégué à la protection des données (« DPO »), la tenue d’un registre afin de documenter la conformité des traitements dedonnées personnelles et la mise en œuvre de mesures de sécurité renforcées.
Afin de respecter ses engagements vis-à-vis de sesclients surtout dans l’Union européenne, TEAMWILL est tenu de se conformer au règlement RGPD et ne pas respecter ces règles peut conduire à de lourdes sanctions et à dégrader l’image de l’entreprise.
Face à ces nouveaux enjeux, La direction générale de TEAMWILL a décidé de se doter d’une politique destinée à garantir la protection des données personnelles des collaborateurs, des clients et des fournisseurs, dans le respect de sa Charte éthique.
La protection des données personnelles constitue un atout au service de notre transformation digitale et contribue à pérenniser la confiance de nos collaborateurs, de nos clients et de nos partenaires. Il s'agit d’un enjeu significatif pour l’exercice durable de nos activités.
Le DPO, rattaché à la DSI, est en charge de faire appliquer cette Politique au nom de TEAMWILL.
Je demande donc à l’ensemble des collaborateurs de se mobiliser pour garantir sa bonne application.
Directeur général
1. Objectifs
Règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27/04/2016 relatif à la protection des personnes physiques à l’égard du traitement de leurs données personnelles et à la libre circulation de ces données, abrogeant la Directive 95/46/CE, publié le 04/05/2016 au Journal Officiel de l’Union.
2. Termes et définition
RGPD
Règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27/04/2016 relatif à la protection des personnes physiques à l’égard du traitement de leurs données personnelles et à la libre circulation de ces données, abrogeant la Directive 95/46/CE, publié le 04/05/2016 au Journal Officiel de l’Union.
Donnée personnelle
Désigne toute information relative à une personne physique identifiée ou identifiable, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement de données personnelles
Désigne toute opération appliquée à des données personnelles, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l’interconnexion, la limitation, l’effacement ou la destruction.
3. Champ d’application
Entités, collaborateurs et sous-traitants soumis à la Politique
La présente politique s’applique aux parties prenantesde TEAMWILL exerçant leurs activités sur le territoire national et international.
La présente Politique s’applique à tous lescollaborateurs, même occasionnels et à tous les sous-traitants (dataprocessors), au sens du RGPD, qui traitent des données personnelles.
Données personnelles et traitements concernés par la politique
La politique vise les données personnelles présentes sur tout support papier ou dématérialisé, qui sont hébergées ou traitées notamment :
- sur tout support informatique : serveur dans un data center ou dans le cloud, un poste de travail ou un smartphone ;
- via des applicatifs, bases de données ou entrepôts de données ;
- via des portails exposés sur internet ou sur l’intranet ;
- via des objets communicants ou smart grids ainsi que les projets de digitalisation.
La politique s’applique à tous les traitements qui portent sur les données personnelles des collaborateurs, clients, fournisseurs ou partenaires collectées, utilisées ou transférées par les collaborateurs de TEAMWILL.
4. Pilotage & Gouvernance
Chaque collaborateur doit se conformer à la présentepolitique. Le DPO s’assure de la diffusion de la politique au sein del’entreprise et des équipes. Il est garant de sa mise en œuvre.
Le DPOmet en place une gouvernance visant à décliner les mesures organisationnellesprévues par leRGPDet à permettre un déploiement efficace dela dite politique.
a. Informer et sensibiliser, diffuser une culture « Informatique et Libertés » :
Le Délégué à la protection des données :
– mène ou pilote, de façon maîtrisée, des actionsvisant à sensibiliser la direction, les collaborateurs – dont le personnel participant aux opérations de traitement – aux règles à respecter en matière deprotection des données à caractère personnel ;
– fait en sorte de présenter les efforts de mise enconformité comme productifs et positifs, et non comme seulement descontraintes ;
–s’assure que les personnes concernées sont informées des traitements opérésimpliquant leurs données personnelles, ainsi que de leurs droits.
b. Veiller au respect du cadre légal :
Le Délégué à la protection des données veille en touteindépendance au respect du Règlement tunisien, européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres et des règlesinternes du responsable du traitement ou du sous-traitant en matière deprotection des données à caractère personnel, y compris en ce qui concerne larépartition des responsabilités. Ses analyses et conseils s’étendent auxsous-traitants et prestataires prenant part aux traitements décidés par leresponsable de traitement.
Le DPO porte conseil auprès des équipes métiers concernées et, si besoin, auprès du Responsable de traitement, et émet des avis et recommandations motivés et documentés. Pour mener à bien ses tâches, leDélégué à la protection des données se fait communiquer par le Responsable detraitement l’ensemble des informations nécessaires et dispose des moyensadéquats.
Le Délégué à la protection des données est, notamment,étroitement associé aux sujets suivants :
- EIVP (Étude d’impacts sur la vie privée) ;
- «Privacy by Design» (prise en compte des impacts sur la vie privée dès la conception) ;
- Notification des violations de données et communication aux personnes concernées via l’adresse E-mail : dpo@teamwillgroup.com
Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement encours et peut faire toute recommandation au Responsable de traitement.
c. Informer et responsabiliser, alerter si besoin, son responsable de traitement :
Le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives desopérationnels ou le non-respect de ses recommandations feraient courir àl’organisme et à ses dirigeants. À cette fin, il peut faire touterecommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre laresponsabilité de mettre en œuvre un traitement malgré les recommandations duDPO) Le professionnel veille à formaliser une procédure pour informerdirectement le Responsable de traitement d’une non-conformité majeure.
d. Analyser, investiguer, auditer, contrôler :
Le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant dejuger du degré de conformité de l’organisme, de mettre en évidence leséventuelles non-conformités (gravité, impacts possibles pour les personnesconcernées, origine, responsabilité, etc.), de vérifier le respect du cadrelégal ou la bonne application de procédures, méthodes ou consignes relatives àla protection des données personnelles.
e. Établiret maintenir une documentation au titre de « l’Accountability » :
Le Délégué à la protection des données établit etmaintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité àl’autorité de contrôle.
f. Assurer la médiation avec les personnes concernées :
Le Délégué à la protection des données reçoit, vial’adresse E-mail : dpo@teamwillgroup.com, les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille aurespect du droit des personnes. Il traite ces réclamations et plaintes avecimpartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.
g. Interagir avec l’autoritéde contrôle :
Le Délégué à la protection des données est le point decontact privilégié de l’autorité de contrôle, avec laquelle il communique entoute indépendance sur les questions relatives aux traitements mis en œuvre parl’organisme qui l’a désigné, y compris la consultation préalable visée àl’article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.
5. Principes deprotection énoncés par le RGPD
Principe deresponsabilité (Accountability)
En vertu du principe de responsabilité prévu par le RGPD,TEAMWILL s’engage à :
- Être en mesure de documenter à tout moment la manière dont elle assure la protection des données personnelles ;
- Mettre en œuvreles mesures techniques et organisationnelles appropriées afin de pouvoir démontrer que chaque traitement de données personnelles est conforme au RGPD et à la législation nationale et international applicable.
En pratique, ce principe est mis en œuvre au travers des mesures suivantes :
- Désignation d’un DPO, lorsque cette désignation est rendue obligatoire en vertu du RGPD ou de la réglementation applicable ;
- Tenue d’un registre interne des traitements de données personnelles reprenant la cartographie des traitements effectués par les collaborateurs ;
- Analyses d’impact relatives à la protection des données personnelles, dans les cas obligatoires prévus par le RGPD ;
- Protection des données personnelles dès la conception de tout nouveau projet concerné ;
- Mise en œuvre par les collaborateurs de procédures appropriées, en cas de risques générés par les traitements de données personnelles liés à leurs activités.
Finalités déterminées, explicites et légitimes
Les données personnelles doivent être traitées demanière licite, loyale et transparente. Elles doivent être collectées pour desfinalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec les finalités d’origine.
Chaque collaborateur doit porter une attention particulière au traitement des catégories particulières de données personnelles (données sensibles) qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou biométriques, les données concernant la santé, la vie ou l’orientation d’une personne.
Chaque collaborateur ne pourra traiter ce type dedonnées personnelles qu’avec le consentement explicite de la personne concernée ou dans les cas expressément autorisés par les législations et le RGPD.
Pertinence, proportionnalité et minimisation des données personnelles collectées
Les données personnelles traitées par les collaborateurs doivent être exactes, pertinentes et limitées aux finalités pour lesquelles elles sont collectées.
Licéité du traitement de données personnelles
Chaque collaborateur demeure garant de la licéité des traitements de données personnelles qu’elle réalise.
Un traitement de données personnelles licite, au sensdu RGPD, doit répondre à l’un des fondements suivants :
- Respect d’une obligation légale à laquelle TEAMWILL est soumise ;
- Exécution d’un contrat auquel la personne concernée est partie ;
- Intérêts légitimes poursuivis par TEAMWILL, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée ;
- Consentement exprès de la personne concernée pour une ou plusieurs finalités spécifiques, dans les cas prévus par le RGPD.
- Transparenceet droit à l’information
Le DPO doit veiller à informer les personnes concernées par les traitements de données personnelles, au moyen des mentionsexigées par le RGPD, sur tout support permettant une communication concise, transparente, intelligible et aisément accessible.
Lorsque la collecte est effectuée directement auprès de la personne concernée, l’information doit intervenir au moment où lesdonnées personnelles sont obtenues.
Lorsque la collecte est effectuée de manière indirecte, l’information des personnes doit être effectuée dans un délairaisonnable ne dépassant pas un mois à compter de la collecte et, dans tous lescas, au plus tard lors de la première communication avec la personne concernée ou avant toute communication à un tiers.
- Durée de conservation limitée
Il incombe à chaque collaborateur au sein de TEAMWILL de ne pas conserver les données personnelles traitées au-delà de la durée nécessaire auregard des finalités pour lesquelles ces données sont traitées, dans le respectde chaque la législation applicable.
Lorsque les données personnelles ne sont plus nécessaires aux finalités légitimant leur traitement, elles doivent être effacées ou rendues anonymes.
6. Droits des personnes concernées
TEAMWILL s’engage à faciliter l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22 du RGPD.
- Droit d’accès, de rectification, de limitation, d’effacement et d’opposition
Les personnes concernées par les traitements de données personnelles disposent d’un droit d’accès, de rectification, delimitation des données personnelles qui les concernent, d’un droit à l’effacement des données personnelles (droit à l’oubli), d’un droitd’opposition au traitement et d’un droit à la portabilité de leurs données personnelles, dans les conditions prévues par le RGPD.
Elles peuvent exercer ces droits à tout moment. Les modalités de réponse à l’exercice de ces droits sont précisées par le DPO.
Chaque collaborateur doit s’assurer que les personnes concernées par ses traitements de données personnelles sont effectivement enmesure d’exercer leurs droits.
7. Sécurité des données à caractère personnel
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques,dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, TEAMWILL s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau desécurité adapté au risque.
Classification, niveau de confidentialité et sécurité des Données personnelles
Les données personnelles sont classées conformément àla « Politique de classification de l’information de TEAMWILL », qui est disponible sur l’intranet de TEAMWILL.
Les documents contenant des données personnelles courantes sont à classer au niveau « interne ».
Les documents contenant des catégories particulières de données personnelles (données sensibles), sont à classer au niveau « confidentiel».
En outre, chaque collaborateur doit prendre les mesures nécessaires en fonction de la nature des données personnelles, du contexte et des finalités du traitement de données personnelles, de façon à garantir un niveau de sécurité adapté aux risques identifiés.
Le niveau de sécurité doit permettre de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles et delimiter tout risque de destruction, de perte, d’altération, de divulgation etd’accès non autorisé aux données personnelles.
Les données personnelles traitées doivent être protégées conformément aux directives sécurité et à la politique de control d’accès, consultables sur l’intranet de TEAMWILL.
Intégration de la protection des données personnelles dans la gestion des projets
La protection des données personnelles doit être intégrée dans la gestion des projets et, dès leur conception, pour les nouveaux services.
Analyse d’impact relative à la protection des données personnelles
Le responsable de traitement procède à une analysed’impact relative à la protection des données personnelles avant la mise en œuvre de tout nouveau traitement de données personnelles, lorsque les critères prévus par le RGPD sont réunis, en particulier en cas de traitements àgrande échelle de catégories particulières de données personnelles (données sensibles) ou de recours à de nouvelles technologies.
Relations avecles sous-traitants
Les collaborateurs au sein de TEAMWILL qui confient la collecte, l’utilisation ou le traitement de données personnelles à des sous-traitants, au sens du RGPD, demeurent responsables de laprotection de ces données. Ces collaborateurs doivent veiller à ce que les sous-traitants offrent des garanties suffisantes au regard de la présente Politique et du RGPD. Tout contrat conclu avec chaque sous-traitant doit définir ses obligations, y compris les mesures de sécurité et deconfidentialité, conformément aux exigences du RGPD.
8. Mise en œuvre opérationnelle
Le DPO, la Direction des Systèmes d’Information et le Responsable Sécurité des Systèmes d’Information assistent les collaborateurs de TEAMWILL dans la mise en œuvre de la politique.
Les actions suivantes sont mises en œuvre afin d’atteindre ses objectifs :
Sensibilisation et formation
Le DPO doit s’assurer que les collaborateurs ont les connaissances suffisantes pour remplir leurs obligations au titre du RGPDet de la réglementation applicable, en fonction de leur degré d’implicationdans les traitements de données personnelles.
Compte-tenu des enjeux associés à la protection desdonnées personnelles, l’ensemble du personnel concerné participe aux actions desensibilisation organisées par le DPO.
Mise à disposition de procédures et livrables
La Politique est déployée par l’intermédiaire deméthodologies, procédures, sensibilisations adaptées aux spécificités des réglementations applicables.
TEAMWILL publie régulièrement des guides thématiques destinés à diffuser les bonnes pratiques et à permettre ladéclinaison opérationnelle des objectifs visés par le RGPD.
Traçabilité des événements de sécurité
Conformément aux règles de sécurité de TEAMWILL, une traçabilité automatisée des événements de sécurité est mise en place. Le DPO peut décider des événements à tracer, en fonction du contexte, des supports (tels que postes de travail, équipements de réseau, serveurs), des risques et des exigences de chaque législation applicable.
Gestion des incidents de sécurité et des violations de données personnelles
Le DPO met en place une procédure de remontée desincidents de sécurité et de gestion des violations de données personnelles, y compris pour la gestion de crise, en conformité avec le RGPD et les réglementations applicables.
Le DPO est informé sans délai de toute violation dedonnées personnelles, au sens du RGPD. Si la violation ainsi constatée est susceptible de porter sérieusement atteinte aux droits et libertés des personnes concernées, le DPO avise l’autorité de contrôle compétente (et, sinécessaire, les personnes concernées) dans les meilleurs délais (si possible,72 heures après en avoir pris connaissance).
Examen de conformité, contrôles, audits et sanctions
Les mesures techniques et organisationnelles de mise en conformité des traitements de données personnelles sont testées, analysées et évaluées, afin de vérifier leur efficacité.
Des contrôles internes de conformité au RGPD, aux réglementations locales et à la politique sont réalisés régulièrement. Les sous-traitants doivent communiquer les informations nécessaires à la démonstration du respect des obligations légales.
La réalisation effective des contrôles internes peut,si nécessaire, faire l’objet de revues par le responsable sécurité, avec l’appui éventuel de la DSI de TEAMWILL.
Les résultats de ces contrôles peuvent être communiqués aux personnes concernées et au « CODIR ». Ils peuvent être mis à disposition de l’autorité de contrôle compétente, conformément auRGPD.
Les mesures correctives adoptées en cas d’insuffisances constatées lors de l’examen de conformité sont documentées etmises à jour régulièrement.
TEAMWILL supporte directement les sanctions susceptibles de découler du non-respect du RGPD et des réglementations applicables, du fait de ses traitements de données personnelles.