Protection des données personnelles

ARTICLE 1 – PREAMBULE – DEFINITIONS

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après le « RGPD ») fixe, avec les autres textes applicables en la matière, le cadre juridique applicable aux traitements de données à caractère personnel.

Nous accordons une grande importance à vos données à caractère personnel, et à travers ce document, nous vous fournissons toutes les informations nécessaires afin que vous sachiez ce que nous faisons avec vos données à caractère personnel, et afin que vous ayez connaissance des droits que vous pouvez faire valoir à tout moment.

Pour une bonne compréhension de la présente politique il est précisé que chaque terme de la présente clause a la signification indiquée dans sa définition, qu’il soit au singulier ou au pluriel.

« RGPD » : désigne le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
« Données Personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable au sens de l’article 4 1 du RGPD.
« Responsable de Traitement » : personne morale qui détermine les finalités et les moyens des traitements de données à caractère personnel définies dans la présente politique. Au titre de cette dernière, le Responsable du traitement est la Société.
« Sous-traitant » : personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable du traitement. Il s’agit en pratique des prestataires avec lesquels la Société travaille et qui peuvent être amenés à avoir accès aux données à caractère personnel.
« Traitement » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Personne concernée » ou « Vous » : désigne toute personne physique dont les Données Personnelles ont été collectées par la Société dans le cadre de son activité.

ARTICLE 2 – PROTECTION DES DONNEES PERSONNELLES

Dans le cadre de l’exécution de ses Prestations, la Société GEMAD, dont le siège social est 565, Rue de Lannoy – 59100 ROUBAIX, inscrite au RCS de Lille Métropole sous le numéro 463 055 542 (la « Société ») collecte et traite les données personnelles relatives à ses contacts clients et fournisseurs.

Les traitements reposent sur :

• l’exécution d’un contrat auquel Vous êtes partie ou la mise en œuvre de mesures pré-contractuelles prises à votre demande,
• l’intérêt légitime de la Société,
• le respect de nos obligations légales.

2.1. Données traitées – Durées de conservations

Catégorie de Personnes Concernées :

• Clients/prospects
• Fournisseurs

Données traitées :

• Identification : nom / prénom / civilité / fonction le cas échéant
• Coordonnées : téléphone / adresse e-mail

Durée de conservation :

• 3 ans après la fin de la relation contractuelle ou après le dernier contact

Localisation des serveurs sur lesquels les données peuvent être conservées :

• Serveur comptabilité et gestion commerciale : OVH à Gravelines (59)
• Serveur Net exploreur : documentation technique en ligne – Région Parisienne
• Sauvegarde One drive Microsoft : Union Européenne
• Backup des PC : sauvegarde chiffrée des disques durs – Allemagne

2.2. Obligations de la Société

Par conséquent, la Société s’engage à traiter lesdites données personnelles dans le respect de la réglementation, et à cet égard, s’engage à :

• Ne collecter et traiter les données personnelles que pour les finalités suivantes :
  • 1. Gestion commerciale de la relation clients/fournisseurs ;
  • 2. Gestion comptable et fiscale.
• Préserver la sécurité, l’intégrité et la confidentialité des données personnelles ;
• Ne communiquer les données personnelles à aucun tiers quel qu’il soit, hormis les tiers auxquels il serait strictement nécessaire de transmettre les données personnelles en exécution d’une obligation légale ou
  GEMAD – SAS au capital de 43170 € – APE 7490B – Immatriculation 453 065 542 00038 LILLE METROPOLE
  contractuelle dès lors que celles-ci sont expressément énumérées et portés à la connaissance des personnes concernées par la Société ;
• Mettre en place tout système de sécurisation des données qui serait éventuellement requis en raison d’une analyse d’impact (PIA) en raison d’une législation spécifique imposant de recourir à des modalités déterminées de conservation des données ;
• Veiller à ce que les personnes autorisées au sein de la Société à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité.

En outre, les personnes concernées disposent sur les données personnelles les concernant des droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition, de droit à la limitation du traitement, de droit à la portabilité des données, de droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage) et peuvent à tout moment révoquer leurs consentements aux traitements.

Les Personnes concernées seront susceptibles de faire valoir leurs droits directement auprès de la Société, qui s’engage à y faire droit dans les délais réglementaires et à les en informer.

Lorsque les Personnes concernées exercent auprès de la Société des demandes sur leurs droits, les Personnes concernées doivent adresser ces demandes par courrier électronique à Mme Séverine Delestrain : severine.delestrain@gemad.fr

2.3. Destinataires des données

La Société s’assure que les données ne soient accessibles qu’aux destinataires internes ou externes autorisés suivants :

• selon le cas et en fonction des finalités du traitement : mandataires sociaux et salariés de la Société ;
• si nécessaire, salariés des prestataires techniques (sous-traitants) de la Société. A date, il s’agit des sociétés suivantes :
  • Alternative Service et Solution : gestionnaire informatique
    33 Boulevard Triozon-Bayle 63500 ISSOIRE – RCS CLERMONT FERRAND – 508688256
  • BLC : Prestataire SAGE comptabilité
    94 rue Saint Lazare 75009 Paris – Tél.+33 1 88 24 88 90 – TVA intracommunautaire : FR 30 802 917 021 – Siret : 80291702100031
  • APOGEA : Prestataire SAGE gestion commerciale
    SAS au capital de 281 775 € – RCS Nanterre 428 851 463 – APE 6202A – TVA FR42428851463
  • EBS GROUP : Prestataire dématérialisation factures
    2 route de Gisy, 91570 Bièvres – RCS Evry B 803 833 722 TVA FR86803833722
• les organismes publics, exclusivement pour répondre aux obligations légales de la Société,
• les auxiliaires de justice, les officiers ministériels.

La Société s’assure du respect par ses sous-traitants de ses obligations en vertu de la réglementation applicable.

2.4. Transfert de données à caractère personnel

Si c’est nécessaire pour les finalités décrites ci-dessus, il est possible que vos données fassent, pour des raisons techniques, l’objet d’un transfert dans un pays tiers. Lorsque le pays concerné ne bénéficie pas d’une décision d’adéquation (ce qui signifie qu’il offre à vos données à caractère personnel un degré de protection équivalent à celui qui est en cours sur le territoire de l’Union Européenne), la Société s’assurera que le transfert est encadré par l’une des mesures de garantie appropriées suivantes :

• des clauses contractuelles types approuvées par la CNIL,
• notre adhésion à un code de conduite approuvé en vigueur,
• le respect d’un mécanisme de certification certifié par un organisme agréé,
• des règles d’entreprises contraignantes approuvées par la CNIL.

Vous pouvez obtenir une copie des garanties en questions en le demandant dans les conditions définies ci-dessous.

2.5. CNIL

Le Responsable de traitement notifie à l’autorité de contrôle compétente (la CNIL), les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

• La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• La description des conséquences probables de la violation de données à caractère personnel ;
• La description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Dans la mesure où il ne serait pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

2.6. Notification à la Personne concernée

Le Responsable de traitement communique la violation de données à caractère personnel à la Personne concernée concerné dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la Personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

• La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• La description des conséquences probables de la violation de données à caractère personnel ;
• La description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

2.7. Mesures de sécurité

La Société met en œuvre les mesures de sécurité qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite. Parmi ces mesures figurent principalement :

• l’utilisation de mesures de sécurité pour l’accès aux locaux (fermeture des bureaux, badges, etc.) ;
• login et password pour toutes nos applications métiers ;
• la gestion des habilitations pour l’accès aux données ;
• VPN dans le cadre des connexions à distance ;
• Audits de sécurité réalisés régulièrement (tests d’intrusion…).

Pour ce faire, la Société peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’il estimera nécessaires, à des audits de vulnérabilité ou des tests d’intrusion.

La Société s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

2.8. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le Responsable de traitement s’engage à détruire toutes les données à caractère personnel ou à les archiver ou faire l’objet d’un processus d’anonymisation des données en fonction de la finalité du fichier et dans le respect des obligations légales de conservation.