Politique de confidentialité et de protection des données

  • 20 Oct, 2020

1. Objectif

1.1: La politique de confidentialité d'Expandigo (ci-après «la politique») définit les exigences pour assurer le respect des lois et réglementations applicables à la collecte, l'utilisation, le traitement et le transfert des données personnelles.

2. Portée

2.1: La Politique s'applique à tous les employés à temps plein et partiel de la Société, aux sous-traitants et à toute autre catégorie de collaborateurs, fournisseurs, partenaires, qui ont accès aux données personnelles collectées ou traitées la société, quelle que soit sa situation géographique.

2.2: La Société établira son statut pour tous les traitements de données en tant que contrôleur de données ou sous-traitant agissant pour un autre contrôleur de données.

3. Définitions

Consentement : le consentement signifie «toute indication spécifique et éclairée librement donnée de ses souhaits par laquelle la personne concernée signifie son accord sur le traitement des données personnelles la concernant.» Néanmoins, le consentement peut être obtenu par un certain nombre de méthodes. Celles-ci peuvent inclure des clauses dans les contrats de travail, des cases à cocher sur les réponses aux formulaires de candidature ou d'achat, et des cases à cocher sur les formulaires en ligne où des données personnelles sont saisies. Dans la plupart des pays de l'Union européenne, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu'une forme de consentement actif spécifique est requise.

Données : les données (comportant ou non une lettre majuscule initiale) telles qu'utilisées dans la Politique désignent les informations qui:

  • est traité au moyen d'un équipement fonctionnant automatiquement en réponse aux instructions données à cet effet;
  • is recorded with the intention that it should be processed by means of such equipment;
  • est enregistré dans le cadre d'un système de classement pertinent ou dans l'intention de faire partie d'un système de classement pertinent;
  • ne relève d'aucun des éléments ci-dessus, mais fait partie d'un enregistrement facilement accessible couvrant une personne.
  • Les données comprennent donc toutes les données numériques par ordinateur ou équipement automatisé, les enregistrements téléphoniques et toute information manuelle faisant partie d'un système de classement pertinent.

Responsable du traitement : responsable du traitement des données désigne une personne qui (seule ou avec d'autres) détermine les finalités pour lesquelles et la manière dont les données personnelles sont ou doivent être traitées. En général, la société elle-même sera le contrôleur des données dans la plupart des cas.

Exportateur de données : l'exportateur de données désigne le responsable du traitement ou le sous-traitant de données qui transfère les données personnelles à l'étranger.

Importateur de données : l'importateur de données désigne le responsable du traitement ou le sous-traitant de données qui accepte de recevoir de l'exportateur de données des données personnelles pour un traitement ultérieur conformément aux termes de la Politique et à l'accord de transfert de données pertinent. .

Processeur de données : sous-traitant de données, on entend toute personne, autre qu'un employé du responsable du traitement, qui traite les données pour le compte du responsable du traitement. Une entreprise peut être un processeur de données si elle est définie comme telle dans les conditions contractuelles avec le responsable du traitement.

Autorité de protection des données : un organisme chargé de la protection des données et de la vie privée. Les autorités sont créées pour faire respecter les droits à l'information dans l'intérêt tant public que privé.

Sécurité des données : mesures que le responsable du traitement et le sous-traitant doivent mettre en œuvre pour se conformer aux principes de protection des données dès la conception et par défaut et pour assurer un niveau de sécurité adapté au risque pour les droits et libertés des individus , en tenant compte de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Personne concernée : la personne concernée désigne la personne à laquelle les données se réfèrent. Les personnes concernées comprennent les clients et les utilisateurs Web, les personnes figurant sur des listes de contacts / e-mail ou des bases de données marketing, des employés, des sous-traitants et des fournisseurs.

Cadres de protection de la vie privée UE-États-Unis et Suisse-États-Unis : l'UE-États-Unis. et Suisse-États-Unis. Les cadres du bouclier de protection des données ont été conçus par le ministère américain du Commerce, la Commission européenne et l'administration suisse, respectivement, pour fournir aux entreprises des deux côtés de l'Atlantique un mécanisme permettant de se conformer aux exigences de protection des données lors du transfert de données personnelles depuis l'Union européenne et la Suisse. aux États-Unis pour soutenir le commerce transatlantique. Le 12 juillet 2016, la Commission européenne a estimé que l'UE-États-Unis. Cadre du bouclier de protection des données adéquat pour permettre les transferts de données en vertu du droit de l'UE. Le 12 janvier 2017, le gouvernement suisse a annoncé l'approbation de la Suisse-États-Unis. Privacy Shield Framework en tant que mécanisme juridique valide pour se conformer aux exigences suisses lors du transfert de données personnelles de la Suisse vers les États-Unis.

Données personnelles : les données personnelles désignent les données relatives à une personne vivante qui peuvent être identifiées à partir de ces données ou à partir de ces données et d'autres informations en possession de, ou susceptibles d'entrer en possession de, un contrôleur de données ou un processeur de données. Les données personnelles n'incluent pas les informations qui ont été anonymisées, encodées ou autrement dépouillées de leurs identifiants, ou les informations qui sont accessibles au public, à moins qu'elles ne soient combinées avec d'autres informations personnelles non publiques.

Traitement : le traitement recouvre une grande variété d'opérations relatives aux données, y compris l'obtention, l'enregistrement ou la conservation des données ou la réalisation de toute opération ou ensemble d'opérations sur les données, notamment:

  • Organisation, adaptation ou modification;
  • Divulgation par transmission, diffusion ou autre; et
  • Alignement, combinaison, blocage, effacement ou destruction

Système de dépôt pertinent : par système de dépôt pertinent, on entend tout ensemble d'informations relatives aux personnes, qu'elles soient conservées dans des fichiers manuels ou électroniques, structurées, soit par référence à des individus, soit par référence à des critères relatifs aux individus, dans un tel manière dont les informations spécifiques relatives à une personne en particulier sont facilement accessibles Par conséquent, toute base de données numérique et / ou fichiers manuels organisés relatifs à des personnes vivantes identifiables entrent dans le champ d'application des lois et règlements sur la protection des données, tandis qu'une base de données d'informations statistiques ou financières pures (qui ne peut pas être directement ou indirectement liée à des personnes vivantes identifiables) Ne fera pas.

Données sensibles : les données sensibles désignent les données personnelles contenant des informations sur la personne concernée:

  • Race ou origine ethnique;
  • Croyances religieuses ou autres croyances de même nature;
  • Opinions politiques;
  • Santé ou état physique ou mental;
  • Antécédents ou orientation sexuelle;
  • Appartenance à un syndicat;
  • Commission ou commission présumée d'une infraction et toute procédure judiciaire connexe.

Technologie : la technologie doit être interprétée au sens large, pour inclure tout moyen de collecte ou de traitement de données, y compris, sans limitation, les ordinateurs et réseaux, les systèmes de télécommunications, les appareils d'enregistrement vidéo et audio, les appareils biométriques, télévision en circuit fermé, etc.

4.Conformité du groupe

4.1: Le programme de conformité des données de la société sera supervisé par M. Steven Clay Turner (ci-après «responsable de la confidentialité des données -DPO»), l'un des deux fondateurs de la société. Le DPD peut être assisté par du personnel chargé de la conformité et des auditeurs internes désignés localement et déléguer des compétences à des spécialistes qualifiés de la protection des données.

4.2: Le DPD ou un spécialiste désigné de la protection des données mettra en œuvre la politique et les procédures internationales de protection des données de la Société, ainsi que toutes les obligations supplémentaires prévues par les lois sur la protection des données, y compris et sans s'y limiter:

  • Déterminer si une notification à une ou plusieurs autorités chargées de la protection des données est nécessaire à la suite du traitement des données de l'entreprise.
  • Définition de programmes permanents de formation des employés pour assurer le respect de la réglementation sur la protection des données
  • Établir des procédures et des dispositions standard pour se conformer à la Politique par les clients, les fournisseurs et tout tiers pouvant recevoir des données personnelles de la Société, avoir accès aux données personnelles collectées ou traitées par la Société, ou qui fournissent des informations à la Société , quelle que soit la situation géographique.
  • Mettre en place des mécanismes d'audits périodiques de conformité à la présente politique, aux procédures de mise en œuvre et à la loi applicable.
  • Mettre en place, maintenir et exploiter un système pour des réponses rapides et appropriées aux demandes des personnes concernées d'exercer leurs droits.
  • Établir, maintenir et exploiter un système pour la divulgation automatique rapide et appropriée aux autorités compétentes et aux personnes concernées de toute perte de données à caractère personnel.
  • Informer tous les employés, cadres supérieurs, dirigeants, sous-traitants, etc. de la Société des éventuelles sanctions civiles et pénales corporatives et personnelles qui pourraient être imposées à la Société et / ou à ses employés, collaborateurs, etc. pour violation des dispositions applicables législation sur la protection des données.
  • Veiller à ce que les plans de gestion des risques liés à la protection des données soient mis en œuvre efficacement et rapidement.

5. Principes de protection des données

5.1: La Société a adopté les principes suivants pour régir la collecte, l'utilisation, le traitement et la transmission des données personnelles:

  • Les données personnelles ne seront traitées que loyalement et licitement.
  • Les données personnelles ne seront obtenues qu'à des fins spécifiées, explicites, licites et légitimes, et ne seront pas traitées ultérieurement d'une manière incompatible avec ces finalités.
  • Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et / ou traitées.
  • Les données personnelles ne seront ni collectées ni traitées à moins qu'une base juridique de traitement ne soit correctement établie.

5.2: Toutes les mesures doivent être prises pour:

  • Empêcher et / ou identifier la collecte, le traitement et la transmission non autorisés ou illégaux de données personnelles; et
  • Empêchez la perte ou la destruction accidentelle ou l'endommagement des données personnelles.

6. Transferts à des tiers

6.1: Les données personnelles ne seront pas transférées à une autre entité, pays ou territoire, à moins que des mesures raisonnables et appropriées n'aient été prises pour établir et maintenir le niveau requis de sécurité des données.

6.2: Les données personnelles ne peuvent être communiquées à des tiers que pour des raisons compatibles avec les finalités pour lesquelles les données ont été initialement collectées ou à d'autres fins autorisées par la loi.

6.3: Tous les transferts de données personnelles à des tiers pour un traitement ultérieur doivent faire l'objet d'accords écrits.

6.4: Les données personnelles de l'UE ne seront pas transférées vers un pays ou territoire en dehors de l'Espace économique européen (EEE), sauf si le transfert est effectué vers un pays ou territoire reconnu par l'UE comme ayant un niveau adéquat de sécurité des données ou vers le États-Unis dans le cadre du bouclier de protection des données UE-États-Unis et Suisse-États-Unis.

6.5: Sous réserve des dispositions de ce qui précède, les données personnelles peuvent être transférées lorsque l'une des conditions suivantes s'applique:

  • La personne concernée a donné son consentement au transfert proposé;
  • Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et la Société;
  • Le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre la Société et un tiers;
  • Le transfert est nécessaire ou requis par la loi pour des motifs d'intérêt public importants, ou pour l'établissement, l'exercice ou la défense de réclamations légales;
  • Le transfert est requis par la loi;
  • Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée.

7. Prévention des systèmes informatiques non conformes

7.1: Le Chief Information Officer (CIO) de la Société établira une procédure pour évaluer l’impact de toute technologie nouvelle ou existante sur la confidentialité et la sécurité des données personnelles.

7.2: Aucun nouveau système ou nouvelle version d'un système existant ne sera mis à disposition pour utilisation jusqu'à ce que le DPD ait obtenu la confirmation, par écrit, du CIO qu'il n'y aurait pas de violation de la législation sur la protection des données.

8. Sources de données personnelles

8.1:Les données personnelles seront collectées uniquement auprès de la personne concernée, sauf si la nature de l'objectif commercial exige la collecte des données auprès d'autres personnes ou organismes.

8.2: Si des données personnelles sont collectées auprès d'une personne autre que la personne concernée, l'unité commerciale qui collecte les données doit avoir la confirmation, par écrit, du fournisseur des données qu'il existe une base légale pour le transfert et le traitement des données. données personnelles à la société.

9. Droits des personnes concernées

9.1: Les personnes concernées ont le droit d'obtenir les informations sur leurs propres données personnelles détenues par la Société en faisant une demande écrite.

9.2: La Société fournira sa réponse à une demande ci-dessus dans les 40 jours à compter de la date de la demande écrite, ou dans un délai plus court si la législation applicable en matière de protection des données l'exige.

9.3: Les personnes concernées ont le droit de demander à la Société de corriger ou de compléter les données personnelles erronées, trompeuses, obsolètes ou incomplètes détenues à leur sujet.

10. Données sensibles

10.1: Les données personnelles sensibles ne doivent pas être traitées à moins que:

  • Un tel traitement est spécifiquement autorisé ou requis par la loi.
  • La personne concernée y consent expressément et sans ambiguïté.
  • Lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement, mais que le traitement est nécessaire pour protéger un intérêt vital de la personne concernée.
  • Les données relatives aux infractions pénales ne peuvent être traitées que par ou sous le contrôle du service juridique.

11. Assurance qualité des données

11.1: Les données personnelles doivent être conservées uniquement pendant la période nécessaire aux utilisations autorisées.

11.2: Les données personnelles seront effacées si leur stockage enfreint une loi sur la protection des données ou à la demande de la personne concernée.

12. Traitement intra-groupe

12.1: Si la société compte sur une autre société du groupe pour l'aider dans ses activités de traitement, la société conclura un accord de transfert de données basé sur les clauses types de l'UE avec cette autre société du groupe afin de garantir que la responsabilité des données est clairement identifiée, à la fois les parties peuvent être considérées comme des contrôleurs de données.

12.2: Lorsque l'autre société du groupe est située dans un pays différent, les sociétés du groupe impliquées dans le traitement seront identifiées respectivement comme l'exportateur de données et l'importateur de données.

13. Processeurs tiers

13.1: De même, lorsque la société s'appuie sur des tiers pour l'aider dans ses activités de traitement, la société doit choisir un sous-traitant de données qui fournit des mesures de sécurité suffisantes et prend des mesures raisonnables pour assurer le respect de ces mesures, et dans le cas de tout tiers partie aux États-Unis, qu'ils sont également enregistrés pour le bouclier de protection des données UE-États-Unis, Suisse-États-Unis.

14. Contrats écrits pour les sous-traitants tiers

14.1: La Société doit conclure un contrat écrit avec chaque sous-traitant de données lui demandant de se conformer à la législation sur la protection des données et aux exigences de sécurité imposées à la Société en vertu de la législation locale.

15. Audits de processeurs de données tiers

15.1: Dans le cadre du processus d'audit interne des données de la Société, la Société procédera à des contrôles périodiques des traitements par des sous-traitants tiers, et notamment en ce qui concerne les procédures de transfert des données notamment en ce qui concerne les mesures de sécurité.

16. Avis aux employés et sous-traitants de sanctions potentielles pour non-conformité

16.1: Le DPD informera les employés et sous-traitants de la Société que:

  • Le non-respect de la législation pertinente en matière de protection des données peut entraîner une responsabilité pénale et civile, y compris des amendes, des peines d'emprisonnement et des dommages-intérêts; et
  • Ils peuvent être personnellement responsables lorsqu'une infraction est commise par la Société avec leur consentement ou connivence, ou est imputable à une négligence de leur part.
  • Empêcher les personnes non autorisées d'accéder aux systèmes de traitement de données dans lesquels des données personnelles sont traitées.
  • Empêcher les personnes autorisées à utiliser un système de traitement de données d'accéder aux données au-delà de leurs besoins et autorisations.
  • S'assurer que les données personnelles au cours de la transmission électronique pendant le transport ou pendant le stockage sur un support de données ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation.
  • Veiller à ce que les données personnelles soient protégées contre la destruction ou la perte indésirable.
  • S'assurer que les données collectées à des fins différentes peuvent et seront traitées séparément.
  • Veiller à ce que les données ne soient pas conservées plus longtemps que prévu dans la politique de conservation des données, notamment en exigeant que les données transférées à des tiers soient restituées ou détruites.

18. Mesure de conformité

18.1: Le DPD doit établir un calendrier et mettre en œuvre un audit de conformité en matière de confidentialité.

19. la mise en oeuvre.

19.1: Cette politique doit être disponible pour les employés

19.2: Cette politique peut être révisée à tout moment mais au moins une fois par an par le DPD. Un avis de révisions importantes doit être fourni aux employés via le système de conformité de l'entreprise et à d'autres via le site Web de l'entreprise.