Voir les tarifs

POLITIQUE GENERALE DE PROTECTION DES DONNEES PERSONNELLES

1. Objectifs et champ d’application

Les termes commençant par une majuscule utilisée dans la présente politique générale de protection des Données personnelles (ci-après la « Politique ») sont définis dans l’Annexe « Définitions ».

1.1. Objectifs de la Politique

THERALOG s’engage à garantir la protection des Données personnelles obtenues dans le cadre de son activité, ainsi qu’à se conformer aux lois et réglementations applicables en matière de Traitement de Données à caractère personnel et Données à caractère personnel sensibles.
Cette Politique a pour objectifs de :
définir les engagements de THERALOG au sujet des principes imposés par la Législation
applicable, et notamment le Règlement Européen n°2016/679 relatif à la protection des
Données à caractère personnel, en date du 27 avril 2016, applicable depuis le 25 mai 2018 ;
définir les rôles et responsabilités des principaux contributeurs ; et
d’assurer la mise en place de méthodes et procédures adéquates ainsi que des structures de gouvernance et de contrôle appropriées pour garantir le respect des engagements et de la Législation applicable.

Les engagements de THERALOG sont résumés dans les encarts de règle R0X. La conformité de THERALOG avec ces règles sera auditée dans les conditions définies à la Section « Contrôle de la conformité ».

Cette Politique est complétée par les politiques et procédures suivantes :
– Procédure de gestion des droits des personnes
– Procédure de gestion des violations de Données personnelles
– Procédure de gestion des durées de conservation
– Politique privacy by design
– Politique de confidentialité

1.2. Champ d’application

La politique a vocation à s’appliquer à THERALOG et à tous les traitements réalisés dans le cadre de
son activité.
En cas de conflits entre la présente politique et la Législation applicable, les règles suivantes s’appliqueront :

  • Si la politique est plus protectrice, elle a vocation à primer sur la Législation applicable.
  • Si la Législation applicable est plus protectrice, elle s’appliquera sur les points concernés en
    lieu et place de la Politique.

Si un doute subsiste, le collaborateur de THERALOG sollicitera les conseils du DPO.

1.3. Révision

Cette politique est mise à jour par le DPO de THERALOG en cas de :
– Changements significatifs du contexte métier ou de la stratégie de protection des Données à
caractère personnel de THERALOG ;
– Changements significatifs de l’exposition aux risques (par exemple, nouvelles menaces,
nouvelles tendances…) ;
– Evolution significative de la Législation applicable.
Ces modifications sont soumises à la validation de … . Une communication adéquate sera effectuée aux collaborateurs de THERALOG en cas de modifications.

 

2. Organisation et gouvernance de la protection des Données personnelles

Chaque personne au sein THERALOG est responsable de la protection des Données personnelles. Cette protection doit être une préoccupation constante, reflétée dans les politiques, procédures et pratiques opérationnelles.
Les contributeurs clés identifiés dans cette section adoptent les rôles et responsabilités qui leurs incombent afin de s’assurer que cette Politique est mise en œuvre de manière cohérente et coordonnée au sein de THERALOG.

2.1. Contributeurs clés

2.1.1. La Direction générale
La Direction générale garantit un engagement fort de THERALOG en faveur de la protection des Données personnelles en tant qu’actif stratégique de l’entreprise. A ce titre, la Direction générale doit :
– S’assurer de la mise en place une gouvernance de la protection des Données personnelles appropriée, définissant les rôles et responsabilités au sein de THERALOG et permettant au DPO d’être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données ;
– Communiquer auprès de l’ensemble des collaborateurs sur la nomination d’un DPO, ses missions et les moyens de le contacter ;
– Veiller à ce que le DPO :

    o Dispose des ressources et moyens nécessaires à l’exercice de ses missions;
    o Ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions;
    o Reçoive la formation adaptée;
    o Soit en mesure de faire directement rapport à la Direction générale.

2.1.2. Les Directions métiers
Chaque responsable d’une Direction métier en charge de la mise en œuvre d’un ou plusieurs Traitements doit :
– Veiller au respect des principes et règles édictés dans la présente Politique et les procédures et politiques complémentaires ;
– Associer le DPO dès la phase de conception dans tous les nouveaux projets impliquant un Traitement de Données personnelles ;
– Réaliser si nécessaire une Analyse d’impact sur la vie privé, avec l’assistance du DPO et de tout autre expert technique ;
– Documenter et justifier par écrit les raisons pour lesquelles l’avis du DPO n’a pas été suivi le cas échéant ;
– Répondre à toute demande d’information du DPO sur tous les sujets ayant un impact sur la vie privée des personnes ;
– Fournir toute documentation relative aux Traitements dans leur périmètre d’intervention ;
– Inscrire tout nouveau Traitement dans le registre des Traitements de THERALOG.

2.1.3. Le Délégué à la protection des données (« DPO »)
THERALOG a désigné un Délégué à la protection des données (DPO) pour garantir la conformité de THERALOG à la Législation applicable et le respect des engagements pris aux termes de la présente Politique.

Le DPO a plusieurs missions au sein de THERALOG :
– Informer et sensibiliser les collaborateurs aux règles à respecter en matière de protection des
Données à caractère personnel ;
– Veiller au respect de la Législation applicable ainsi que des engagements pris aux termes de la
présente Politique ;
– Conseiller les Directions métiers sur l’application concrète des principes aux projets de
Traitement ;
– Informer et responsabiliser, voire alerter si besoin, la Direction générale de THERALOG des
risques que les initiatives des opérationnels ou le non-respect de ses recommandations
feraient courir à l’organisme ;
– Etablir si une Analyse d’impact sur la vie privée doit être réalisée et conseiller la Direction
métier dans la réalisation de l’AIPD ;
– Assister en cas de Violation de Données personnelles pour évaluer le risque de la Violation et
agir en point de contact en cas de notification à l’Autorité de contrôle compétente et/ou les
Personnes concernées ;
– Analyser, investiguer, auditer et contrôler le degré de conformité de THERALOG et
accompagner les Directions métiers dans la définition et la mise en œuvre d’un plan de
remédiation le cas échéant ;
– Établir et maintenir une documentation au titre de l’« accountability » ;
– Garantir la gestion adéquate des droits des Personnes concernées telle que définie dans la
procédure afférente ;
– Présenter un rapport annuel à la Direction générale ;
– Interagir avec l’autorité de contrôle.

Le DPO a la possibilité de nommer un ou plusieurs suppléants au sein des collaborateurs de THERALOG. Une communication adéquate est effectuée par le DPO sur cette nomination.

2.1.4. La direction juridique
La direction juridique apporte son soutien et son expertise sur les sujets suivants :
– Compréhension et mise en œuvre des exigences de la Législation applicable ;
– Conseils sur les impacts juridiques potentiels ;
– Assistance sur les aspects juridiques de l’AIPD
– Rédaction de la documentation juridique appropriée (ex. notice d’information, BCR, etc.
– Rédaction et négociation de contrats avec des parties externes (Contrats, NDA, LOI, accords
commerciaux, accords de transfert de données, etc.)

2.1.5. La direction des systèmes d’information/le RSSI
Pour chaque projet, la DSI/le RSSI apporte son soutien et son expertise sur les sujets suivants :
– Évaluation du contexte et de la criticité du projet ;
– Analyse des risques, notamment dans le cadre de l’évaluation préalable à l’Analyse d’impact
sur la vie privée ;
– Conseil sur les mesures de sécurité pour réduire, éviter ou transférer les risques :
– Évaluation du niveau de sécurité des tiers intervenant et négociation avec ces derniers pour
intégrer les exigences de THERALOG en la matière dans le contrat ;
– Coordination de la surveillance, détection et gestion des incidents de sécurité, avec les
conseils du DPO en cas de Violation de Données.

2.2. Rapport annuel du DPO

Le DPO établit et publie un rapport annuel sur les activités liées à la protection de la vie privée au sein de THERALOG. À cette fin, le DPO définit, recueille et publie des indicateurs qui mettent en évidence le niveau de conformité aux politiques et procédures internes en la matière ainsi qu’à la Législation applicable.
 

3. Les principes à respecter en matière de Traitement des Données personnelles

Conformément à la Législation applicable, THERALOG s’engage à respecter les principes établis ci- après lors de la collecte et du Traitement de Données personnelles.

3.1. Licéité, loyauté et transparence

Les Données à caractère personnel doivent être collectées et traitées de manière licite, loyale et
transparente.
A ce titre, THERALOG garantit que tout Traitement repose une base légale reconnue par la Législation applicable telles que :
– La Personne concernée a donné son Consentement au Traitement de ses Données personnelles pour une ou plusieurs finalités spécifiques (sous réserve du respect des exigences supplémentaires détaillées à la section « Consentement ») ;
– Le Traitement est nécessaire à l’exécution d’un contrat auquel la Personne concernée est partie ou pour prendre les mesures appropriées à la demande de la Personne concernée avant de conclure un contrat ;
– Le Traitement est nécessaire au respect des obligations légales auxquelles THERALOG est soumis ;
– Le Traitement est nécessaire aux fins d’intérêts légitimes poursuivis par THERALOG ;
– Le Traitement est nécessaire afin de protéger les intérêts vitaux de la Personne concernée ;
– Le Traitement est nécessaire pour l’exécution d’une mission d’intérêt public.

Lorsqu’un Traitement est basé sur l’intérêt légitime, THERALOG procède à une analyse pour déterminer si cet intérêt légitime prime ou non sur les intérêts ou les droits et libertés fondamentaux des Personnes concernées. Cette évaluation et ses résultats doivent être documentés et consignés à des fins probatoires (accountability).

Exceptionnellement, THERALOG peut traiter des Données personnelles sensibles, auquel cas THERALOG veille à respecter les exigences de la Section « Traitement des Données personnelles sensibles » de la présente Politique.

R01 Tout Traitement repose sur une base légale clairement identifiée et documentée dans le registre.
De plus, THERALOG s’assure que les activités de Traitement des Données personnelles sont effectuées de manière apparente et transparente. À cette fin, THERALOG fournit des informations accessibles et intelligibles aux Personnes concernées sur la façon dont leurs Données personnelles sont utilisées, conformément aux termes et exigences de la procédure de gestion des droits des personnes (cf. Section « Relations avec les Personnes concernées » de cette Politique).

3.2. Consentement

Lorsque le Traitement est fondé sur le Consentement de la Personne concernée, THERALOG s’assure que ce Consentement a été obtenu légalement (voir Section sur les « Conditions de validité du Consentement ») et est correctement géré pendant toute la durée du Traitement (voir Section « Gestion du Consentement »).

3.2.1. Les conditions de validité du Consentement (caractéristiques et modalités de collecte)
THERALOG s’assure que le Consentement obtenu de la part de la Personne concernée répond aux critères suivants :

Libre
Véritable liberté de choix sans conséquences négatives en cas de refus
Eclairé
Consentement donné en toute connaissance de cause
Spécifique
Consentement donné pour une finalité/traitement particulier
Univoque
Aucun doute sur l’intention de donner le consentement
+
Explicite
Condition supplémentaire pour tous les traitements à risque élevé
En outre, THERALOG doit le cas échéant s’assurer du respect des lois locales sur les conditions de validité du Consentement.
Ce Consentement doit être obtenu avant la collecte des Données et, a minima, concomitamment à la collecte des Données. La demande de Consentement doit être distinguée de tout autre demande/ sujet, sous une forme intelligible et facilement accessible, dans un langage clair et simple.
R02 Lorsque la base légale est le Consentement, le Consentement obtenu répond aux conditions de validité de fond (caractéristiques) et de forme (collecte).
3.2.2. La gestion du Consentement (durée, preuve)
THERALOG veille à la durée de validité du Consentement : lorsque les modalités de Traitement changent ou évoluent, le Consentement original n’est plus valide. Un nouveau Consentement doit alors être obtenu.

THERALOG assure le suivi, dans la mesure du possible, des déclarations de Consentement reçues, c’est-à-dire qui a donné son Consentement, comment et quand le Consentement a été obtenu, ainsi qu’une copie des informations fournies à la personne concernée à l’époque.

R03 Les Consentements sont renouvelés en cas de modification significative des modalités de Traitement.
R04 Un suivi des déclarations de Consentement est mis en place.
3.2.3. Le retrait du Consentement
La Personne concernée doit être en mesure de retirer son Consentement à tout moment. THERALOG doit donner à la Personne concernée les moyens de retirer son Consentement aussi facilement qu’il a été donné, dans la mesure du possible par une méthode équivalente à celle utilisée pour obtenir le Consentement.

Une fois le Consentement révoqué, THERALOG doit s’assurer que le retrait est enregistré dans ses systèmes et bases de données dès que possible, de telle sorte que les Données personnelles ne soient plus traitées pour la finalité en question (par exemple, un client qui révoque son Consentement pour recevoir une publicité ne devrait plus en recevoir). En outre, ce changement de statut doit être relayé chez tous les tiers intervenants, en particulier les Sous-traitants, de sorte qu’aucun d’entre eux ne traite plus les Données personnelles concernées pour la finalité en question.

Une fois le Consentement révoqué, THERALOG ne peut plus se fonder sur le Consentement comme base légale pour le Traitement t. Toutefois, le retrait du Consentement :
– n’affecte pas la licéité du Traitement fondé sur le Consentement avant son retrait, et
– n’exige pas nécessairement la suppression des Données personnelles concernées dans la mesure où elles peuvent encore être utiles pour un autre Traitement et/ou présenter un intérêt administratif.

R05 La Personne concernée a la possibilité de retirer son Consentement à tout moment aussi facilement qu’il a été donné.
R06 Le retrait du Consentement est pris en compte de façon effective dans les outils de Traitement.

3.3. Limitation des finalités

Avant toute collecte de Données personnelles, THERALOG définit de façon claire la ou les finalités poursuivies par la collecte, lesquelles doivent être déterminées, explicites et légitimes. THERALOG s’assure également que la ou les finalités ainsi définies sont compatibles avec ses activités.

Les Données personnelles ne doivent pas être traitées pour une finalité ultérieure incompatible avec la finalité initiale pour laquelle les Données ont été collectées. A ce titre, THERALOG effectue un test de compatibilité pour vérifier si la finalité ultérieure est compatible avec la finalité initiale. Ce test prend en compte :
– L’existence d’un lien entre les deux finalités ;
– Le contexte dans lequel les Données personnelles ont été collectées, en particulier en ce qui
concerne la relation entre les Personnes concernées et THERALOG ;
– La nature des Données Personnelles, en particulier si des Données personnelles sensibles
sont traitées ;
– Les conséquences possibles du Traitement ultérieur envisagé pour les Personnes concernées ;
– L’existence de garanties appropriées.

Lorsque la finalité ultérieure est incompatible avec la finalité initiale, THERALOG s’assure de recueillir le Consentement de la Personne concernée, conformément aux exigences de la Législation applicable (Article 6 (4) du RGPD).

R07 Les Données personnelles ne sont collectées qu’à des fins spécifiques, explicites et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec cette ou ces finalités.

3.4. Minimisation et exactitude

Les Données personnelles collectées doivent être adéquates, pertinentes et non excessives par rapport à la finalité poursuivie par le Traitement. En d’autres termes, THERALOG s’assure que la collecte porte uniquement sur les Données strictement nécessaires pour atteindre la finalité.

En outre, THERALOG s’assure que les Données personnelles sont exactes et, le cas échéant, mises à jour. A cette fin et compte tenu de la finalité pour laquelle elles sont traitées et de la nécessité qui en résulte de disposer de Données exactes, THERALOG prend des mesures raisonnables pour effacer ou rectifier sans délai toute Donnée personnelle inexacte.

R08 Les Données personnelles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le Traitement. Elles sont exactes, complètes et mises à jour si nécessaire.

3.5. Conservation limitée

THERALOG s’assure que les Données personnelles traitées ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont collectées.

Les Données personnelles peuvent être conservées :
1) Sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées par THERALOG. Une fois la finalité atteinte, les Données doivent donc être supprimées.
2) Au-delà de la durée nécessaire à la finalité du Traitement, lorsqu’elles présentent encore un intérêt administratif. La durée de conservation des Données peut alors être prolongée au- delà du délai jugé pertinent pour la finalité de collecte initiale. Ce prolongement doit être dûment justifié et documenté.
Les Données peuvent encore être conservées en vue de respecter des durées légales de prescription, des durées de conservation particulières (conservation des documents comptables et pièces justificatives, archivage des contrats électroniques, etc.), essentiellement à des fins probatoires, ou encore afin d’être en capacité de répondre aux demandes de communication susceptibles d’être adressées par certains tiers légalement habilités (l’administration fiscale, les organismes sociaux, etc.).
3) Pour des durées plus longues dans la mesure où les Données personnelles seront traitées exclusivement par THERALOG à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés de la personne concernée, telles que l’anonymisation ou la pseudonymisation.

Afin d’assurer le respect de ce principe, THERALOG définit les durées de conservations applicables à chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :
– les obligations légales ;
– les recommandations de la CNIL ;
– les meilleures pratiques dans chaque domaine concerné ;
– les besoins opérationnels de l’organisme.

Ces durées sont revues et mises à jour en tant que de besoin pour refléter les évolutions de la Législation applicable et/ou des pratiques au sein de THERALOG.

Au terme de cette durée, les Données sont supprimées sans délai indu. Cette suppression peut être opérée par destruction des Données et/ou anonymisation. En cas de suppression par destruction, THERALOG s’assure que les Données sont effectivement détruites des systèmes (en ce inclus lorsque les systèmes concernés sont ceux d’un tiers).

Les exigences et modalités de mise en œuvre du principe de conservation limitée des Données personnelles sont détaillées dans la « Politique de conservation/suppression des Données personnelles » de THERALOG.

R09 Des durées de conservation sont définies et implémentées.

3.6. Sécurité des Données personnelles

THERALOG prend des mesures techniques et organisationnelles dans le but d’assurer la sécurité, la confidentialité et l’intégrité des Données personnelles pendant toute la durée du Traitement. Sont pris en compte dans la détermination de ces mesures :
– la gravité et la probabilité du préjudice éventuel pouvant résulter de la perte, de l’altération et/ou de l’accès non autorisé aux Données ;
– les éléments caractéristiques du Traitement concerné ;
– le cas échéant, les résultats de l’analyse d’impact sur la vie privée menée ;
– l’état de l’art ;
– les coûts d’implémentation.

THERALOG a établi une politique de sécurité du système d’information (PSSI) détaillant l’ensemble des mesures de sécurité techniques et organisationnelles mises en œuvre. Cette PSSI est régulièrement revue et mise à jour.

THERALOG s’engage à réviser de façon régulière les mesures de sécurité afin de tester, d’évaluer et de mesurer leur efficacité et d’entreprendre toute amélioration nécessaire.

THERALOG s’assure également que toute Violation des Données est gérée correctement conformément à la Section « Gestion des Violations de Données » de la présente Politique.

R10 Des mesures techniques et organisationnelles appropriées sont mises en œuvre afin d’assurer la sécurité, l’intégrité et la confidentialité des Données personnelles.

3.7. Transfert des Données personnelles en dehors de l’Union européenne

Les Transferts de Données personnelles exigent une attention et des garanties supplémentaires. THERALOG s’assure que tout Transfert de Données personnelles est sécurisé de façon adéquate et encadré juridiquement conformément aux exigences de la Législation applicable.

A ce titre, THERALOG veille à :
Identifier tout Transfert de Données personnelles, y compris, dans la mesure du possible, les Transferts ultérieurs opérés par les Sous-traitants (de 1er rang) ;
Encadrer dans le contrat avec le prestataire les Transferts de Données ainsi que, le cas échéant, le lieu d’hébergement des Données (lequel doit être par principe sur le territoire de l’Union européenne). Le prestataire doit ainsi garantir l’application de mesures permettant d’assurer un niveau de protection des Données personnelles équivalent à celui fourni par le RGPD ;
Sécuriser tout Transfert par des mesures techniques et organisationnelles adaptées ;
– Lorsque le Transfert n’est pas à destination d’un pays reconnu comme d’adéquat (en vertu d’une décision d’adéquation de la Commission européenne), encadrer juridiquement le Transfert par un mécanisme approprié.

Dans la mesure du possible, les Données à caractère personnel ne doivent pas être transférées dans un pays situé hors de l’Union Européenne de manière automatique sans l’autorisation du DPO de THERALOG.

R11 Tout Transfert de Données personnelles est sécurisé de façon adéquate et encadré juridiquement conformément aux exigences de la Législation applicable.

3.8. Traitement de Données personnelles sensibles

En plus de la base légale générique (voir section « Licéité, loyauté et transparence »), les Données personnelles sensibles ne peuvent être collectées QUE SI l’une des conditions spéciales suivantes s’applique :
– La Personne concernée a donné son Consentement explicite ;
– Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits
propre à THERALOG ou à la personne concernée en matière de droit du travail, sécurité
sociale et protection sociale ;
– Le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ;
– Le Traitement porte sur des Données personnelles qui sont manifestement rendues publiques par la Personne concernée ;
– Le Traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
– Le Traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union européenne ou d’un Etat membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des Données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne concernée ;
– Le Traitement est nécessaire aux fins de la médecine préventive, ou de médecine du travail, de l’appréciation de la capacité de travail du travailleur, des diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et services de soins de santé ;
– Une condition spécifique prévue par une loi locale s’applique.

THERALOG doit prévoir des mesures de sécurité particulières pour ces Données au regard du risque qu’elles peuvent représenter pour la Personne concernée.

Les Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne doivent pas, par principe, être recueillies, sauf dans des cas très exceptionnels et avec la validation du DPO (par exemple la collecte du casier judiciaire pour vérifier les informations concernant un candidat à un emploi en raison de la nature spécifique de l’offre d’emploi). En tout état de cause, ce type de Données personnelles sensibles ne peut pas être traité (ainsi la copie du casier judiciaire, si elle peut être collectée, ne peut être conservée).

R12 Le Traitement de Données sensibles est par principe interdit. Toute exception doit être réalisées dans les conditions requises par la Législation applicable et validée par le DPO.
 

4. Documentation et gestions des risques

Toutes les preuves du respect de la règlementation doivent être conservées afin de pouvoir démontrer la conformité de THERALOG à l’Autorité de contrôle.

4.1. Protection des Données dès la conception et par défaut (« Privacy by Design/by default”)

Pour tout nouveau projet impliquant le Traitement de Données personnelles, THERALOG met en place des mesures visant à protéger les Données personnelles dès la conception du Traitement, mais aussi tout au long du projet et du cycle de vie de la Donnée personnelle (de la collecte à la destruction).

A cette fin, tout collaborateur de THERALOG pilotant un projet devra suivre les étapes suivantes :
1. Vérifier que les principes définis en Section 3 de la présente Politique sont bien respectés.
2. Liste les mesures techniques et organisationnelles existantes et envisagées permettant
d’assurer la sécurité, l’intégrité et la confidentialité des Données personnelles.
3. Réaliser l’évaluation préalable à l’Analyse d’impact sur la vie privée.
4. Réaliser si nécessaire l’Analyse d’impact sur la vie privée.
5. Implémenter les mesures de sécurité adaptées au niveau de risque.

Le processus à suivre est détaillé dans la « Procédure Privacy by design/by default » de THERALOG.

Lorsque le projet implique de confier tout ou partie du Traitement à un Sous-traitant, THERALOG s’assure que les exigences de la section « Gestion des tiers intervenant » sont respectées.

R13 Tout projet prend en compte la protection des Données personnelles dès la conception et par défaut.

4.2. L’Analyse d’impact sur la vie privée (AIPD)

Lorsqu’un Traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des Personnes concernées, THERALOG effectue une Analyse d’impact sur la vie privée (AIPD) sur le Traitement, en amont de la mise en place du Traitement.

Aussi, THERALOG s’assure qu’une évaluation préalable est réalisée pour tout nouveau Traitement afin de déterminer le niveau de risque du Traitement et, partant, si une AIPD doit être conduite. Cette évaluation préalable prend en compte :
– Les cas obligatoires définis dans le RGPD et l’Autorité de contrôle ;
– Les critères établis par le Comité européen de la protection des données ;
– Les hypothèses d’exemption prévues par le RGPD et l’Autorité de contrôle.

L’AIPD doit être documentée et doit à minima :
– décrire la nature, la portée, le contexte et les finalités du Traitement ;
– évaluer la nécessité, la proportionnalité et les mesures de conformité ;
– déterminer et évaluer les risques pour les personnes ;
– déterminer toute mesure supplémentaire visant à atténuer ces risques.

Pour plus de renseignements : Fiche pratique de la CNIL sur l’AIPD

R14 La nécessité d’effectuer une Analyse d’impact sur la vie privée est identifiée pour chaque nouveau projet et une AIPD est effectué si nécessaire, avant le début du Traitement.
L’AIPD est un processus continu et devra être revue régulièrement pour assurer que le niveau de risque reste acceptable tout au long de la vie du Traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.

De même, si un Traitement ne nécessite pas une AIPD dans un premier temps mais que les opérations de Traitement évoluent, une AIPD pourra devoir être effectué dans un second temps.

R15 La nécessité de mettre à jour une AIPD existante ou d’effectuer une AIPD est prise en compte pour chaque changement majeur dans une opération de Traitement.

Après approbation de la direction générale, le DPO consulte l’Autorité de contrôle si l’AIPD indique que le Traitement entraînerait un risque élevé pour les droits et libertés des personnes concernées, c’est-à-dire si le risque résiduel est encore élevé une fois que le plan de remédiation des risques a été défini et implémenté.
R16 Lorsque l’AIPD montre qu’un risque résiduel élevé persiste, la CNIL est consultée.

4.3. Le registre des Traitements

En qualité de Responsable de Traitement, THERALOG tient à jour un registre des Traitements conforme aux exigences de la Législation applicable.

A cette fin, THERALOG détermine les acteurs clés de la tenue et mise à jour du registre, leurs rôles et responsabilités.

R17 Un registre des Traitements mis en œuvre est tenu à jour.
 

5. Formation et sensibilisation du personnel

THERALOG s’assure que l’intégralité de ses collaborateurs est sensibilisée à la problématique de la protection des Données personnelles et comprend l’intention et la portée de la Législation applicable ainsi que les risques en cas de non-conformité.

Dans la mesure du possible, THERALOG assure également une formation spécifique des collaborateurs qui ont vocation à traiter des Données personnelles au quotidien.

Les collaborateurs sont régulièrement informés et/ou formés des évolutions législatives ou jurisprudentielles en matière de protection des Données à caractère personnel ainsi que des mises à jour des règles internes applicables.

Tout nouveau collaborateur suit une sensibilisation/formation appropriée eu égard à ses missions et à son niveau de connaissance.

R18 L’ensemble des collaborateurs sont sensibilisés aux principes et enjeux de la protection des Données personnelles. Une formation plus approfondie est dispensée aux collaborateurs traitant des Données personnelles au quotidien.
 

6. Relations avec les Personnes concernées

THERALOG s’engage à garantir l’exercice effectif des droits des Personnes concernées qui leur sont accordés par la Législation applicable. La Législation applicable accorde aux Personnes concernées les droits suivants :

  • Droit à l’information : le droit d’avoir une information claire, précise et complète sur l’utilisation des Données personnelles par THERALOG.
  • Droit d’accès : le droit d’obtenir une copie des Données personnelles que le Responsable de Traitement détient sur le demandeur.
  • Droit de rectification : le droit de faire rectifier les Données personnelles si elles sont inexactes ou obsolètes et/ou de les compléter si elles sont incomplètes.
  • Droit à l’effacement / droit à l’oubli : le droit, dans certaines conditions, de faire effacer ou supprimer les Données, à moins que THERALOG ait un intérêt légitime à les conserver.
  • Droit d’opposition : le droit de s’opposer au Traitement des Données Personnelles par THERALOG pour des raisons tenant à la situation particulière du demandeur (sous conditions).
  • Droit de retirer son Consentement : le droit à tout moment de retirer le Consentement lorsque le Traitement est fondé sur le Consentement.
  • Droit à la limitation du traitement : le droit, dans certaines conditions, de demander que le Traitement des Données personnelles soit momentanément suspendu.
  • Droit à la portabilité des Données : le droit de demander que les Données personnelles soient transmises dans un format réexploitable permettant de les utiliser dans une autre base de Données.
  • Droit de ne pas faire l’objet d’une décision automatisée : le droit pour le demandeur de refuser la prise de décision entièrement autorisée et/ou d’exercer les garanties supplémentaires offertes en la matière.
  • Droit de définir des directives post-mortem : le droit pour le demandeur de définir des directives relatives au sort des Données Personnelles après sa mort.

A cette fin, THERALOG définit et met en œuvre une procédure de gestion des droits des personnes conformes aux exigences de la Législation applicable. Cette procédure établit :
– Les standards à respecter pour assurer l’information transparente des personnes ;
– Les exigences légales qui doivent être respectées ;
– Les moyens autorisés pour présenter une demande pour chaque droit, selon la catégorie de
Personnes concernées ;
– Les processus opérationnels pour traiter ces demandes conformément aux exigences
susmentionnées ;
– Les parties impliquées dans ces processus, leurs rôles et responsabilités.

Les demandes soumises par les Personnes concernées en application de leurs droits sont consignées dans un registre à des fins de preuve de la conformité. La procédure de gestion des droits des personnes susmentionnée définit le contenu et les modalités de tenue de ce registre.

R19 Une procédure relative à la gestion des droits des Personnes concernées est établie et appliquée, les demandes éligibles étant enregistrées dans un registre dédié.
 

7. Gestion des Violations de Données personnelles

Conformément à son obligation de sécurité, THERALOG définit, documente et met en œuvre un processus pour détecter, qualifier et répondre aux Violations de Données personnelles. La procédure documentée doit comprendre :
– une matrice d’évaluation des risques pour les droits et libertés des Personnes concernées, en tenant compte des critères définis par l’Autorité de contrôle et le Comité européen de protection des Données ;
– une répartition des rôles et des responsabilités entre toutes les parties concernées par le plan de réponse, y compris celles des Sous-traitants de THERALOG ;
– les conditions, modalités et délais concernant la notification d’une Violation de Données à l’Autorité de contrôle compétente et/ou aux Personnes concernées.

Des moyens techniques et organisationnels adéquats sont mis en œuvre pour détecter, enquêter et signaler les Violations de Données personnelles. De plus, afin de mieux détecter et gérer les Violations, les employés de THERALOG sont sensibilisés et formés à la procédure à suivre en cas de Violation avérée ou suspectée.

R20 Une procédure de gestion des Violations de Donnes personnelles est définie et mise en œuvre.
De plus, THERALOG établit un registre des Violations de Données personnelles à des fins d’accountability, pour notifier l’ensemble des Violations, qu’une notification soit requise ou non.
R21 Un registre des Violations est tenu à jour.
 

8. Gestion des tiers intervenant

Conformément à la Législation applicable, THERALOG s’engage à choisir des prestataires qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

A ce titre, THERALOG vérifie en amont les garanties présentées par tout prestataire tiers envisagé, au moyen notamment de questionnaires et/ou analyse de documentation. Cette vérification doit permettre d’évaluer les conditions de mise en œuvre du Traitement chez le prestataire : modalités de réalisation des opérations de Traitement confiées, sécurité et confidentialité des Données personnelles, maturité du prestataire tiers sur la question de la protection des Données personnelles.

R22 Un contrôle des garanties offertes par chaque prestataire tiers est réalisé préalablement à la mise en œuvre des activités de Traitement.
THERALOG s’assure que le tiers intervenant est correctement qualifié (Responsable de Traitement distinct, co-responsable ou Sous-traitant) et s’assure qu’un contrat écrit définit clairement les rôles et responsabilités de chacune des parties. Ce contrat intègre au minimum les clauses requises par la Législation applicable (notamment le RGPD).

Lorsque le tiers intervient en qualité de Sous-traitant, le contrat signé détaille le ou les Traitements confiés au Sous-traitant en déterminant :
– l’objet et la durée du Traitement ;
– la nature et la finalité du Traitement ;
– la ou les catégories de Données à caractère personnel ;
– la ou les catégories de Personnes concernées ;
– les instructions relatives aux opérations de Traitement.

R23 Un contrat écrit est signé avec chaque tiers impliqué dans le Traitement des Données. Cet accord comprend des clauses contractuelles adéquates, conformes à la Législation applicable.
Les Sous-traitants sont audités régulièrement pour vérifier leur conformité continue aux obligations contractuelles et réglementaires, selon une récurrence et des modalités définies en fonction de la nature et sensibilité des opérations de Traitement confiées, des coûts nécessaires et des ressources disponibles.
R24 Les Sous-traitants sont audités régulièrement pour vérifier leur conformité continue aux obligations contractuelles et réglementaires.
 

9. Relations avec l’Autorité de contrôle

THERALOG coopère pleinement avec toute Autorité de contrôle lorsque cela est requis et fournit toutes les preuves de sa conformité avec la Législation applicable.

Le Délégué à la protection des données de THERALOG agit en qualité de point de contact de l’Autorité de contrôle et pilote à ce titre :
– La consultation de l’Autorité de contrôle concernée dans le cas où un Traitement de Données personnelles implique un risque résiduel élevé pour la vie privée ;
– Le signalement d’une Violation de Données à l’Autorité de contrôle lorsque cela est requis ;
– Le Traitement de toutes demandes (telles que les demandes d’accès aux registres de
Traitements, les demandes d’information, etc.)

THERALOG définit une procédure en cas d’audit par une Autorité de contrôle, laquelle définit les rôles et responsabilités des acteurs clés dans le cadre de ces contrôles.

R25 THERALOG coopère avec l’Autorité de contrôle compétente et définit une procédure en cas de contrôle.
 

10. Contrôle de la conformité

THERALOG garantit respect de la présente Politique générale de protection des Données personnelles ainsi que des procédures de mise en œuvre et des politiques supplémentaires relatives à la protection des Données personnelles.

A cette fin, un contrôle annuel de conformité est réalisé sur le respect des règles édictées et la concordance des activités de Traitement mises en œuvre avec le registre des Traitements. Ce dispositif de contrôle est porté par le DPO et la Direction Générale.

Lorsque des manquements sont identifiés, un plan de remédiation est défini par le DPO et toutes les parties prenantes concernées afin de remédier aux déficiences détectées, en tenant compte des risques encourus, des coûts de mise en œuvre, des contraintes opérationnelles existantes et prévisibles et des ressources humaines disponibles. Les mesures correctives du plan de remédiation sont mises en œuvre sans retard injustifié par les parties prenantes concernées, sous la supervision du DPO.

R26 Un dispositif de contrôle de la conformité est mis en place.
R27 Un plan de remédiation est défini et mis en œuvre pour corriger toute non-conformité détectée.
 

11. Engagements de THERALOG en qualité de Sous-traitant

11.1.Le registre des Traitements Sous-traitant

Conformément à la Législation applicable, THERALOG s’engage à tenir à jour un registre des activités de Traitement mis en œuvre pour le compte de tiers Responsables de traitement. Ce registre doit comporter les informations suivantes :
– Le nom et les coordonnées du Sous-traitant, ainsi que du Responsable de Traitement pour le compte duquel il traite des Données personnelles, ainsi que les coordonnées du DPO ;
– La (les) catégorie(s) de Traitement effectué pour le compte de chaque Responsable de Traitement ;
– Le cas échéant, les transferts de Données personnelles vers un pays tiers ou de cette organisation internationale ainsi que les documents attestant de l’existence de garanties appropriées ;
– Une description générale des mesures de sécurités techniques et organisationnelles mises en œuvre.

Ce registre de Traitement doit être actualisé en tant que de besoin pour être exact et exhaustif.

R28 Un registre des activités de Traitement mis en œuvre en qualité de Sous-traitant est tenu à jour.

11.2.Obligations additionnelles de THERALOG en qualité de Sous-traitant

Dans le cadre de ses activités, THERALOG intervient en qualité de Sous-traitant de tiers Responsables de traitement. A ce titre, des obligations spécifiques s’imposent à THERALOG en application desquelles THERALOG s’assure de :
Tenir à jour un registre des activités de Traitement mis en œuvre au nom et pour le compte des Responsables de Traitement (cf. Section précédente) ;
Agir dans le cadre des instructions licites du Responsable de traitement ;
Etablir un contrat avec le Responsable de Traitement conforme aux dispositions de la
Législation applicable ;
Veiller à l’application des principes de protection des Données personnelles dès la conception et par défaut ;
– Soumettre les collaborateurs en charge des activités de Traitement à une obligation de confidentialité ;
– Respecter les obligations contractuelles concernant le recrutement d’un sous-traitant ultérieur ;
– Intégrer à la procédure de gestion des violations de données les mesures nécessaires pour notifier toute Violation de Données au(x) Responsable(s) de traitement concerné(s) ;
– Prendre les mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité adapté aux risques ;
– Sur les instructions du Responsable de Traitement, supprimer ou restituer l’ensemble des Données personnelles du Responsable de Traitement, sauf obligation légale de les conserver (les données non personnelles attestant de la bonne exécution des prestations peuvent être
conservées pendant la durée de la prescription des actions commerciales) ;
– Assister, alerter et conseiller le Responsable de Traitement en :

    o L’informant lorsqu’une instruction est susceptible de constituer une violation de la Législation applicable ;
    o Aider le Responsable de Traitement à répondre aux demandes des Personnes concernées (une compensation financière pouvant être demandée au Responsable de traitement) ;
    o Fournir les informations à sa disposition pour permettre au Responsable de Traitement de conduire une Analyse d’impact sur la vie privée et de respecter ses obligations en matière de gestion des Violations de Données (une compensation financière pouvant être demandée au Responsable de traitement) ;

– Mettre à la disposition du Responsable de Traitement les preuves de sa conformité et permettre la réalisation d’audit (dans les termes et conditions prévues au Contrat.)

R29 Les obligations additionnelles en qualité de Sous-traitant sont mises en œuvre.

Annexe 1 Définitions

Analyse d’impact relative à la protection des données (AIPD) : analyse à effectuer par THERALOG pour les Traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Autorité de contrôle : autorité publique indépendante instituée par un Etat membre en vertu de l’article 51 du RGPD, chargée de surveiller l’application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du Traitement et de faciliter le libre flux des Données à caractère personnel de l’Union européenne.

Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données à caractère personnel la concernant fassent l’objet d’un Traitement.

Délégué à la protection des données (ou « DPO ») : la personne désignée par THERALOG en charge de la protection des Données personnelles au sein de THERALOG et de la conformité de THERALOG à la Législation applicable.

Destinataire : personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un Tiers.

Données à caractère personnel/Données personnelles : toute information se rapportant à une Personne concernée notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, un numéro de carte d’identité, un salaire, des dossiers de santé, des informations de compte bancaire, des habitudes de conduite ou de consommation, des Données de localisation, un identifiant en ligne, etc. Le terme « Données personnelles » inclut les Données à caractère personnel sensibles.

Données à caractère personnel sensibles/Données personnelles sensibles : désigne les Données à caractère personnel révélant ou reposant sur :
– L’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques
– L’appartenance à une organisation syndicale
– La santé physique ou mentale
– L’orientation sexuelle ou la vie sexuelle
– Les Données génétiques et biométriques
– Des Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté
connexes.

Législation applicable : ensemble de réglementation relative à la protection des Données personnelles et applicable aux Traitements de Données personnelles effectués par THERALOG, à savoir le Règlement européen n°2016/679 relatif à la protection des Données à caractère personnel (RGPD), la Loi informatique et libertés modifiée, et toute autre réglementation qui y serait relative, applicable à THERALOG.

Personne concernée : individu sur lequel porte les Données à caractère personnel et qui peut être identifié ou identifiable, directement ou indirectement, grâce à ces Données personnelles. Cela inclut les clients, prospects, et collaborateurs anciens et actuels.

Responsable de Traitement : personne physique ou morale qui, individuellement ou conjointement, décide quelles Données à caractère personnel sont collectées, pourquoi et comment elles sont collectées et traitées.

RGPD : abréviation du Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Sous-traitant : toute personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs).

Tiers : toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la Personne concernée, le Responsable du Traitement, le Sous-traitant et les personnes qui, sous l’autorité directe du Responsable du Traitement ou du Sous-traitant, sont habilitées ou autorisées à traiter les Données.

Traitement : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données personnelles telle que la collecte, l’accès, l’enregistrement, la copie, le transfert, la conservation, le stockage, le croisement, la modification, la structuration, la mise à disposition, la communication, l’enregistrement, la destruction, que ce soit de manière automatique, semi-automatique ou autre. CeVe liste n’étant pas exhaustive.

Transfert de Données : toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau, ou toute communication, toute copie ou déplacement de ces Données d’un support à un autre, quel que soit ce support, de Données personnelles vers un pays tiers à l’Union européenne ou à une organisation internationale qui font ou sont destinées à faire l’objet d’un Traitement après ce transfert.

Violation de Données à caractère personnel : violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données.