1. À PROPOS DE CETTE POLITIQUE

SC RHEIN VISION SRL est tenue, dans le cadre de sa responsabilité sociale, de se conformer au droit international de la protection des données., Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cette politique s'appuie sur la législation européenne en vigueur et sur les directives roumaines relatives à la protection des données. La protection des données est essentielle à l'établissement de relations de confiance, tant avec les employés qu'avec les partenaires commerciaux.

Cette directive présente un aperçu des principales réglementations en matière de protection des données auxquelles doivent se conformer la direction et les employés de RHEIN VISION. La procédure de protection des données de RHEIN VISION est également accessible à tous les employés pour toute information et explication relative à la protection des données.

2. TERMES ET DÉFINITIONS

La réglementation applicable en matière de protection des données (ci-après dénommée « Loi sur la protection des données ») utilise sa propre terminologie. Cela permet des explications concises dans le texte et en améliore la lisibilité.

Dans la présente politique de protection des données, nous utilisons les termes suivants :

Données personnelles – Toute information se rapportant à une personne physique identifiée ou identifiable (la „ personne concernée ”). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à son identité physique, génétique, psychique, économique, culturelle ou sociale.

La législation sur la protection des données concerne l'utilisation des „ données personnelles ”, c'est-à-dire toutes les informations relatives à une personne physique identifiée ou identifiable. Ces informations peuvent inclure le nom, la date de naissance, l'adresse, le numéro de téléphone, l'adresse IP, etc. Les détails concernant le comportement ou les habitudes d'une personne (par exemple, ses opinions), ainsi que les photographies et les images enregistrées par une caméra de surveillance, sont également considérés comme des données personnelles.

Par conséquent, dès lors que des informations peuvent être attribuées à une personne physique, l'application du droit de la protection des données doit être présumée.

  • La personne concernée –chaque personne physique dont les données sont traitées.

Traitement des données – Le traitement des données à caractère personnel désigne toute opération, automatisée ou non, portant sur la collecte, la conservation, l’organisation, la modification, l’extraction, l’utilisation, la transmission, la diffusion ou le croisement de données. Il comprend également la suppression, l’effacement et le blocage des données et des responsables du traitement.

  • Traitement – ptraitement, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.
  • Restriction du traitement – rLa limitation du traitement consiste à marquer les données personnelles stockées afin de limiter leur traitement ultérieur.
  • Profilage – pLe profilage désigne toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire certains aspects de son rendement au travail, de sa situation économique, de sa santé, de ses préférences personnelles, de ses intérêts, de sa fiabilité, de son comportement, de sa localisation ou de ses déplacements.
  • Pseudonyme – le traitement des données à caractère personnel de telle sorte que celles-ci ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l'objet de mesures techniques et organisationnelles garantissant que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable.
  • Responsable du traitement ou personne chargée du traitement – la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre.
  • Processeur – personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  • Destinataire - Le destinataire est une personne physique ou morale, une autorité publique, un organisme ou tout autre organe auquel des données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques susceptibles de recevoir des données à caractère personnel dans le cadre d'une enquête spécifique menée conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques est soumis aux règles applicables en matière de protection des données, en fonction des finalités du traitement.
  • Tierce personne - personne physique ou morale, autorité publique, agence ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter des données à caractère personnel.
  • Consentement - toute indication spécifique, éclairée et univoque des souhaits de la personne concernée par laquelle celle-ci, par une déclaration ou par une action positive claire, signifie son consentement au traitement des données à caractère personnel la concernant.

Le consentement est une déclaration écrite, claire et sans ambiguïté. La personne concernée est informée de son droit de retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement effectué sur la base du consentement avant ce retrait.

Si des données personnelles de mineurs appartenant aux personnes concernées sont également traitées, le consentement des mineurs âgés de plus de 16 ans est requis ; dans les autres cas, c'est le tuteur qui donne son consentement.

  • Cookies –fichiers texte stockés dans un système informatique via un navigateur Internet.

De nombreux sites web et serveurs utilisent des cookies. La plupart des cookies contiennent un identifiant unique, une chaîne de caractères permettant d'associer les sites web et les serveurs au navigateur Internet dans lequel le cookie a été enregistré. Ainsi, les sites web et serveurs visités peuvent distinguer le navigateur de l'utilisateur des autres navigateurs contenant d'autres cookies. Grâce à cet identifiant unique, un navigateur spécifique peut être reconnu et identifié.

L'utilisation de cookies nous permet d'offrir aux utilisateurs de ce site web des services plus conviviaux qui seraient impossibles sans leur paramétrage préalable.

Grâce aux cookies, les informations et les offres de notre site web peuvent être optimisées pour l'utilisateur. Comme indiqué précédemment, les cookies nous permettent de reconnaître les utilisateurs de notre site web. Cette reconnaissance a pour but de faciliter leur navigation. Par exemple, l'utilisateur d'un site web utilisant des cookies n'a pas besoin de saisir ses identifiants à chaque visite, car cette information est enregistrée par le site web grâce au cookie stocké sur son ordinateur.

Incident de protection des données – un événement dans lequel il existe un soupçon raisonnable que des données personnelles ont été découvertes, collectées, modifiées, copiées, transmises ou utilisées illégalement. Cela peut concerner des actions menées aussi bien par des tiers que par des employés.

3. PRINCIPES DU TRAITEMENT DES DONNÉES PERSONNELLES

  • Équité et légalité

Les données personnelles doivent être collectées et traitées de manière licite.

  • Portée

Le traitement des données personnelles ne peut poursuivre que les finalités pour lesquelles elles ont été collectées. Toute modification a posteriori de ces finalités est possible uniquement dans certaines limites et doit être justifiée.

  • Transparence

La personne concernée doit être informée du traitement de ses données. En principe, les données personnelles doivent être collectées auprès de la personne concernée elle-même. Lors de la collecte des données, la personne concernée doit au moins être informée des points suivants :

  • identité de l'autorité responsable
  • finalité du traitement des données
  • périodes de stockage spécifiées
  • tiers ou catégories de tiers auxquels les données sont transmises

Le responsable du traitement informe la personne concernée des suites données à sa demande sans délai excessif et, en tout état de cause, au plus tard un mois après réception de celle-ci. Ce délai peut être prolongé de deux mois si nécessaire, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de toute prolongation dans un délai d'un mois à compter de la réception de la demande, en précisant les motifs du retard. Lorsque la personne concernée soumet une demande au format électronique, les informations lui sont fournies dans ce même format, dans la mesure du possible, sauf si elle demande un autre format.

Si le responsable du traitement ne donne pas suite à la demande de la personne concernée, il doit l’informer, sans délai indu et au plus tard un mois après réception de la demande, des raisons de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et d’exercer un recours juridictionnel.

Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a) soit facturer des frais raisonnables tenant compte des coûts administratifs liés à la fourniture des renseignements ou à la communication ou à la prise de mesures demandées;

b) ou refuser de se conformer à la demande.

Dans ces cas, il incombe au responsable du traitement de démontrer que la demande est manifestement infondée ou excessive. Le responsable du traitement peut demander des informations complémentaires nécessaires à la confirmation de l'identité de la personne concernée.

Les informations destinées aux personnes concernées peuvent être présentées avec des pictogrammes normalisés afin de leur donner une vue d’ensemble claire et compréhensible du traitement prévu. Lorsque les pictogrammes sont présentés sous forme électronique, ils doivent être lisibles par machine.

  • Évitement des données et économie des données

Avant tout traitement de données à caractère personnel, il convient de vérifier si et dans quelle mesure ce traitement est nécessaire à la réalisation de la finalité qui y est associée. Si cela est possible et que la mesure est appropriée au regard de la finalité poursuivie, il convient d’utiliser des données anonymisées ou statistiques. Les données à caractère personnel ne peuvent être conservées pour un usage ultérieur, sauf si la législation nationale le prévoit ou l’autorise.

  • Suppression et limitation du stockage

Les données personnelles qui ne sont plus nécessaires après l'expiration des délais légaux de conservation doivent être supprimées. Si, dans certains cas particuliers, il existe des raisons légitimes justifiant la conservation de ces données, celles-ci doivent être conservées jusqu'à ce que cet intérêt légitime soit juridiquement établi.

  • Exactitude du processus de protection des données

Les données personnelles stockées doivent être exactes, complètes et, dans la mesure nécessaire, tenues à jour. Des mesures appropriées doivent être prises pour garantir que les données non pertinentes, incomplètes ou obsolètes soient supprimées, corrigées, complétées ou mises à jour.

  • confidentialité et sécurité des données

La confidentialité s'applique aux données personnelles. Celles-ci doivent être traitées de manière confidentielle et protégées par des mesures organisationnelles et techniques appropriées contre tout accès non autorisé, traitement ou transmission illicite, ainsi que contre toute perte, altération ou destruction accidentelle.

4. ADMISSIBILITÉ DU TRAITEMENT DE DONNÉES / CIRCONSTANCES D'ADMISSION

La collecte, le traitement et l'utilisation des données personnelles ne sont autorisés que si l'une des autorisations mentionnées ci-dessous est accordée. 

  • Traitement des données dans le cadre d'une relation contractuelle

Les données personnelles du client, du fournisseur ou de tout autre partenaire commercial peuvent être traitées aux fins de l'exécution et du suivi d'un contrat. Le traitement des données personnelles est également autorisé lors de la phase de prise de contact avec les parties intéressées (élaboration d'une offre, prise de contact avec les parties intéressées à partir des données qu'elles ont fournies).

  • accord de traitement des données

Le traitement des données peut être effectué avec le consentement de la personne concernée. Avant de donner son consentement, celle-ci doit être informée de la réglementation. La déclaration de consentement doit être faite par écrit ou par voie électronique, à des fins de preuve. Dans certains cas, par exemple lors d'une consultation téléphonique, le consentement peut également être donné oralement. L'émission du consentement doit être documentée.

NOTE! La personne faisant l'objet d'un traitement de données à caractère personnel peut retirer son consentement à tout moment.

  • Traitement des données fondé sur une autorisation légale

Le traitement des données à caractère personnel est également autorisé si la législation nationale l’exige ou le permet. La nature et l’étendue du traitement doivent être nécessaires à la licéité du traitement des données et conformes à cette législation.

  • Traitement des données fondé sur un intérêt légitime

Le traitement des données personnelles peut également avoir lieu s'il est nécessaire à la poursuite d'un intérêt légitime de l'entreprise. Ce traitement ne peut être effectué si, dans un cas particulier, les intérêts ou autres motifs légitimes de la personne concernée prévalent sur l'intérêt du traitement. Ces intérêts légitimes doivent être vérifiés et documentés pour chaque traitement.

  • Traitement des catégories particulières de données personnelles

Le traitement de ces données personnelles, notamment des données sensibles, ne peut avoir lieu que s'il est légalement requis ou si la personne concernée y a expressément consenti. Ce traitement est également autorisé s'il est absolument nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice à l'encontre de la personne concernée.

  • Décisions individuelles automatisées

Le traitement automatisé des données à caractère personnel, qui permet d'évaluer les caractéristiques individuelles, ne peut constituer le seul fondement de décisions ayant des conséquences juridiques négatives ou des conséquences graves pour la personne concernée. Cette dernière doit être informée de l'existence et du résultat de la décision automatisée la concernant et avoir la possibilité de s'y opposer. Afin d'éviter les décisions erronées, un contrôle de plausibilité par un employé doit être mis en place.

  • Les données des utilisateurs et Internet

Si des données personnelles sont collectées, traitées et utilisées sur des sites web, les personnes concernées en sont informées dans les déclarations de protection des données et, le cas échéant, dans les mentions relatives aux cookies. Ces mentions doivent être intégrées de manière à être facilement identifiables, accessibles et disponibles à tout moment pour la personne concernée.

Si des profils d'utilisation (suivi) sont établis pour analyser le comportement des utilisateurs de sites web et d'applications, les personnes concernées doivent impérativement en être informées dans les déclarations de protection des données. Si le suivi est effectué sous pseudonyme, la personne concernée doit avoir la possibilité de s'y opposer (désactivation) dans les déclarations de protection des données.

  • Traitement des données dans le cadre de la relation de travail

Dans le cadre de la relation de travail, les données personnelles nécessaires à la conclusion, à l'exécution et à la résiliation du contrat de travail peuvent être traitées.

Lors de la mise en place d'une relation de travail, les données personnelles des candidats peuvent être traitées. En cas de refus de la candidature, les données du candidat doivent être supprimées, compte tenu des délais légaux de probation, sauf si le candidat a consenti à leur conservation en vue d'un processus de recrutement ultérieur.

Dans le cadre de la relation de travail existante, le traitement des données doit toujours être lié à l'objet du contrat de travail, dans la mesure où l'une des conditions d'autorisation de traitement des données suivantes ne s'applique pas.

Lors de la mise en place ou du maintien en poste d'un contrat de travail, s'il s'avère nécessaire de recueillir des informations complémentaires concernant le candidat auprès d'un tiers, les dispositions légales applicables doivent être respectées. En cas de doute, le consentement de la personne concernée doit être obtenu.

  • Traitement des données fondé sur une autorisation légale

Le traitement des données personnelles des salariés est également autorisé si les directives légales nationales l'exigent ou le permettent. La nature et l'étendue du traitement doivent être nécessaires à la licéité du traitement et conformes à la réglementation en vigueur. En cas de liberté légale, les intérêts légitimes du salarié doivent être pris en compte.

(1) Le traitement n’est licite que si et dans la mesure où au moins une des conditions suivantes est remplie :

(a) la personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;

(b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

(c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque les intérêts ou les droits et libertés fondamentaux de la personne concernée prévalent sur ces intérêts et exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

  • Règlements collectifs relatifs au traitement des données

Si le traitement excède la finalité de l'exécution du contrat, il est autorisé s'il est prévu par une convention collective. Les conventions collectives sont des accords collectifs de salaires ou des accords conclus entre employeurs et représentants du personnel dans le cadre des possibilités offertes par le droit du travail applicable. Ces conventions doivent être adaptées à la finalité spécifique du traitement demandé et peuvent être établies conformément à la législation nationale sur la protection des données.

  • Consentement au traitement des données

Le traitement des données des employés peut être effectué avec le consentement de la personne concernée. Les déclarations de consentement doivent être données librement. Les consentements obtenus sous la contrainte sont nuls. La déclaration de consentement doit être faite par écrit ou par voie électronique, à des fins de preuve. À titre exceptionnel, le consentement peut être donné oralement. Le consentement doit, dans tous les cas, être dûment documenté. En cas de déclaration libre et éclairée des données par la personne concernée, le consentement peut être présumé si la législation nationale ne prévoit pas de consentement explicite. Avant de donner son consentement, la personne concernée doit être informée conformément à la présente politique de protection des données.

  • Traitement des données fondé sur un intérêt légitime

Le traitement des données personnelles des employés peut également avoir lieu s'il est nécessaire à la poursuite d'un intérêt légitime de l'entreprise. Les intérêts légitimes reposent généralement sur des motifs légaux (par exemple, la constatation, l'exercice ou la défense de droits en justice) ou commerciaux.

Le traitement des données personnelles fondé sur un intérêt légitime ne peut avoir lieu si, dans un cas particulier, il existe des raisons de croire que les intérêts du salarié, qui méritent d'être protégés, prévalent sur l'intérêt du traitement. L'existence d'intérêts légitimes doit être vérifiée pour chaque traitement.

Les mesures de contrôle nécessitant le traitement de données personnelles ne peuvent être mises en œuvre que s'il existe une obligation légale ou un motif légitime. Même en cas de motif légitime, la proportionnalité de la mesure doit être vérifiée. Les intérêts légitimes de l'entreprise à mettre en œuvre la mesure (par exemple, le respect des directives légales et du règlement intérieur) doivent être mis en balance avec les intérêts légitimes potentiels du salarié concerné et ne peuvent être appliqués que s'ils sont proportionnés. Les intérêts légitimes de l'entreprise et les intérêts légitimes potentiels des salariés doivent être établis et documentés avant chaque mesure. S'y ajoutent toutes les autres exigences prévues par la législation nationale.

  • Traitement des données à protéger

Entreprise ne traite pas données personnelles qui révèlent origine raciale ou ethniqueopinions politiquescroyances philosophiques ou appartenance syndicale et le traitement de données génétiques, données sur vie sexuelle ou orientation sexuelle d'une personne physique.

Les données de santé des employés sont traitées par le professionnel de santé ; l’entreprise est informée de l’aptitude ou de l’inaptitude de la personne concernée à exercer une activité. L’interprétation des données de santé est effectuée par l’entreprise, avec le consentement de l’employé. Ce traitement est nécessaire à des fins de médecine préventive ou du travail, afin d’évaluer la capacité de travail de l’employé.

De même, les données relatives aux condamnations (par exemple, les casiers judiciaires) ne peuvent souvent être traitées que dans des conditions particulières prévues par la législation nationale.

Le traitement doit être expressément autorisé ou prescrit par la législation nationale. En outre, le traitement peut être autorisé s'il est nécessaire pour que le responsable puisse s'acquitter de ses droits et obligations en matière de droit du travail.

  • Décisions automatisées

Dans la mesure où la relation de travail implique un traitement automatisé de données permettant d'évaluer les traits de personnalité individuels (par exemple, dans le cadre de la sélection du personnel ou de l'évaluation des profils de qualification), ce traitement automatisé ne peut constituer le fondement exclusif de décisions ayant des conséquences négatives ou importantes.

Afin d'éviter les décisions erronées, les procédures automatisées doivent garantir qu'une personne physique procède à une évaluation des faits et que cette évaluation serve de fondement à la décision. Le salarié concerné doit être informé du fait et du résultat de la décision individuelle automatisée et avoir la possibilité de s'exprimer.

  • Télécommunications et Internet

Les systèmes téléphoniques, les adresses électroniques, l'intranet et l'internet, ainsi que les réseaux sociaux internes, sont fournis en priorité par l'entreprise pour les besoins de son activité. Ils constituent des outils de travail et des ressources de l'entreprise. Leur utilisation est soumise à la réglementation en vigueur et aux directives internes de l'entreprise.

Les communications téléphoniques et par courriel, ainsi que l'utilisation de l'intranet et d'Internet, font l'objet d'une surveillance générale. Afin de prévenir les attaques contre l'infrastructure informatique ou les utilisateurs, des mesures de protection ont été mises en place au niveau des interfaces réseau de l'entreprise. Ces mesures bloquent les contenus techniquement malveillants et analysent les schémas d'attaque. Pour des raisons de sécurité et de traçabilité, l'utilisation des systèmes téléphoniques, des adresses courriel, de l'intranet, d'Internet et des réseaux sociaux internes est documentée.

L’évaluation personnelle de ces données ne peut avoir lieu qu’en cas de suspicion concrète et justifiée de violation des lois ou des directives de l’entreprise. Ces contrôles ne peuvent être effectués que dans le respect du principe de proportionnalité. Les lois nationales doivent être respectées conjointement avec la réglementation interne en vigueur.

5. TRANSMISSION DE DONNÉES PERSONNELLES

La transmission de données personnelles à des destinataires extérieurs à RHEIN VISION est soumise aux conditions d'autorisation de traitement des données personnelles. Le destinataire des données est tenu de les utiliser uniquement aux fins indiquées.

En cas de transfert de données vers un destinataire situé hors du groupe et dans un pays tiers, ce dernier doit garantir un niveau de protection des données équivalent à celui prévu par le présent règlement général sur la protection des données (RGPD). Cette obligation ne s'applique pas si le transfert est imposé par une obligation légale.

En cas de transmission de données par des tiers au groupe de sociétés, il convient de s'assurer que ces données pourront être utilisées aux fins prévues.

6. TRAITEMENT ALLOUÉ (en cas de cession, de transfert, de fusion, etc.)

Le traitement sous-traité consiste à confier le traitement de données personnelles à un prestataire sans que la responsabilité du processus métier associé ne soit transférée. Dans ce cas, un contrat de sous-traitance doit être conclu avec le prestataire externe.

L'entreprise donneuse d'ordres demeure pleinement responsable du bon déroulement du traitement des données. Le sous-traitant ne peut traiter les données personnelles que conformément à ses instructions.

  1. Le prestataire doit être sélectionné en fonction de sa capacité à fournir les mesures de protection techniques et organisationnelles nécessaires.
  2. La mission doit être formulée par écrit. Les instructions relatives au traitement des données ainsi que les responsabilités du prestataire et du sous-traitant doivent être documentées.
  3. Avant de commencer le traitement des données, le prestataire doit s'assurer que les obligations ont été respectées. Le respect des exigences en matière de sécurité des données peut être prouvé par le prestataire, notamment par la présentation d'une certification appropriée. En fonction du risque lié au traitement des données, cette vérification doit être renouvelée régulièrement, si nécessaire pendant la durée du contrat.
  4. Dans le cadre d'un traitement de données pour une mission transfrontalière, les exigences nationales applicables en matière de transfert de données à caractère personnel à l'étranger doivent être respectées. En particulier, le traitement de données à caractère personnel provenant de l'Espace économique européen vers un pays tiers n'est autorisé que si le sous-traitant peut démontrer un niveau de protection des données équivalent à celui prévu par la directive sur la protection des données.

7. DROITS DE LA PERSONNE CONCERNÉE

Chaque personne concernée peut exercer les droits suivants. Sa demande sera traitée immédiatement par le service compétent et ne pourra entraîner aucun préjudice pour la personne concernée.

  1. La personne concernée peut demander des informations sur les données personnelles qui sont conservées, leur origine et leur finalité. Si des droits supplémentaires de consultation des documents de l'employeur (par exemple, le dossier personnel) sont prévus dans le cadre de la relation de travail, ces droits restent inchangés.
  2. Si des données personnelles sont transmises à des tiers, des informations concernant l'identité du destinataire ou les catégories de destinataires doivent également être fournies.
  3. Si les données personnelles sont incorrectes ou incomplètes, la personne concernée peut demander leur rectification ou leur complétion.
  4. La personne concernée peut s'opposer au traitement de ses données personnelles à des fins publicitaires, d'études de marché ou de sondages. Dans ce cas, les données doivent être bloquées.
  5. La personne concernée a le droit de demander l'effacement de ses données si le fondement juridique du traitement est inexistant ou devenu caduc. Il en va de même si la finalité du traitement n'est plus applicable, notamment en raison du temps écoulé. Il convient de tenir compte des obligations de conservation existantes et des intérêts légitimes qui prévalent sur l'effacement.
  6. La personne concernée dispose d'un droit fondamental d'opposition au traitement de ses données, lequel doit être pris en compte si son intérêt légitime à la protection de ses données prévaut sur l'intérêt du traitement lié à sa situation particulière. Ce droit ne s'applique pas si une disposition légale impose le traitement.

8. CONFIDENTIALITÉ DU TRAITEMENT

Les données personnelles sont soumises à la confidentialité. Toute collecte, traitement ou utilisation non autorisée par les employés est interdite.

Tout traitement de données effectué par un employé sans y être dûment habilité dans l'exercice de ses fonctions est considéré comme non autorisé. Le principe du besoin d'en connaître s'applique : les employés ne peuvent accéder aux données personnelles que si et dans la mesure nécessaire à l'exercice de leurs fonctions. Ceci implique une répartition et une séparation rigoureuses des rôles et des responsabilités, ainsi que leur mise en œuvre et leur maintien dans le cadre des procédures d'autorisation.

Les employés ne sont pas autorisés à utiliser les données personnelles à des fins privées ou commerciales, à les transmettre à des personnes non autorisées, ni à les rendre accessibles de quelque manière que ce soit.

9. SÉCURITÉ DU TRAITEMENT

Les données personnelles doivent être protégées en permanence contre tout accès non autorisé, traitement ou transmission illicite, ainsi que contre la perte, la falsification ou la destruction. Ceci s'applique quel que soit le support de traitement (électronique ou papier). Avant la mise en place de nouvelles procédures de traitement de données, notamment de nouveaux systèmes informatiques, des mesures techniques et organisationnelles de protection des données personnelles doivent être définies et appliquées. Ces mesures doivent être adaptées à la technologie en vigueur, aux risques liés au traitement et aux exigences de protection des données (déterminées par la classification des informations).

Compte tenu de l’état actuel du développement, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant :

(a) pseudonymisation et cryptage des données personnelles ;

b) la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;

c) la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;

d) un processus permettant de tester, d’évaluer et d’apprécier périodiquement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Les mesures techniques et organisationnelles visant à protéger les données personnelles font partie intégrante de la gestion de la sécurité de l'information et de la protection des données à l'échelle de l'entreprise et doivent être adaptées en permanence aux évolutions techniques et aux changements organisationnels.

10. CONTRÔLE DE LA PROTECTION DES DONNÉES

La conformité aux directives de protection des données et aux lois applicables en matière de protection des données est régulièrement vérifiée au moyen d'audits de protection des données et de contrôles supplémentaires.

Les résultats des audits de protection des données doivent être communiqués à la direction.

11. INCIDENT DE PROTECTION DES DONNÉES

Tout employé doit informer immédiatement le délégué à la protection des données de toute violation de la présente directive sur la protection des données ou d'autres réglementations relatives à la protection des données personnelles (incidents de protection des données). La notification peut être envoyée par courriel à dpo@rhein-vision.com dans les cas suivants :

  • transmission illégale de données personnelles à des tiers,
  • accès illégal par des tiers à des données personnelles ou
  • perte de données personnelles

Les notifications internes à l'entreprise doivent être effectuées sans délai afin que les obligations de déclaration des incidents de protection des données puissent être remplies conformément à la législation nationale.

Notification à l'autorité de contrôle en cas de violation de données personnelles

En cas de violation de données à caractère personnel, le responsable du traitement en informe l'autorité de contrôle compétente en vertu de l'article 55 sans délai indu et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf si cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Si la notification n'est pas effectuée dans ce délai de 72 heures, elle doit être accompagnée d'une explication motivée de l'autorité de contrôle.

Le sous-traitant doit informer le responsable du traitement sans délai indu après avoir pris connaissance d'une violation de données à caractère personnel.

La notification visée au paragraphe :

(a) décrire la nature de la violation de données personnelles, y compris, lorsque cela est possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où des informations supplémentaires peuvent être obtenues ;

(c) décrit les conséquences probables de la violation des données personnelles ;

d) décrire les mesures prises ou envisagées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs possibles.

(4) lorsque et dans la mesure où il n’est pas possible de fournir l’information en même temps, celle-ci peut être fournie en plusieurs étapes, sans délai indu.

(5) Le responsable du traitement tient un registre de toutes les violations de données à caractère personnel, comprenant une description des circonstances de fait dans lesquelles la violation s’est produite, ses effets et les mesures correctives prises. Cette documentation permet à l’autorité de contrôle de vérifier le respect du présent article.

12. RESPONSABILITÉS ET SANCTIONS

La direction est responsable du traitement des données personnelles conformément à la directive.

Elle est donc tenue de veiller au respect des exigences légales en matière de protection des données (par exemple, les obligations nationales de déclaration).

En cas de contrôle de la protection des données par les autorités, le délégué à la protection des données doit en être immédiatement informé.

La direction a désigné un délégué à la protection des données. Ce dernier peut effectuer des contrôles et doit informer les employés du contenu de la politique de protection des données. La direction est tenue d'apporter son soutien au délégué à la protection des données dans l'exercice de ses fonctions.

La direction doit veiller à ce que les employés soient suffisamment informés sur la protection des données. Le traitement inapproprié des données personnelles ou toute autre violation de la législation sur la protection des données entraîne des conséquences juridiques dans de nombreux pays et peut donner lieu à des demandes de dommages et intérêts. Les violations dont un employé est responsable peuvent donner lieu à des mesures disciplinaires.

13. DÉLÉGUÉ À LA PROTECTION DES DONNÉES

En tant qu'entité interne spécialisée, le délégué à la protection des données (DPO) garantit le respect de la réglementation en matière de protection des données. Il est chargé de veiller à cette conformité et d'informer immédiatement la direction de tout risque pour la sécurité des données.

Toute personne concernée peut contacter le délégué à la protection des données pour lui faire part de suggestions, questions, demandes d'information ou réclamations relatives à la protection ou à la sécurité des données. Les demandes et réclamations sont traitées de manière confidentielle.

14. IMPLIQUERARE

Ce document doit être accessible à toutes les personnes concernées.