L'association Brassalay attache une grande importance à la qualité de la relation avec ses interlocuteurs. Nous sommes très attentifs à la protection de vos données personnelles, qui sont collectées et traitées uniquement pour répondre à vos demandes effectuées auprès de nos services. Nous nous engageons à ne jamais les vendre, les louer ou les céder.

Conformément à la Loi Informatique et Libertés révisée en juin 2019 et intégrant le RGPD, nous avons mis en œuvre une démarche qualité pour améliorer la sécurité et la confidentialité de vos données à caractère personnel et assurer vos droits.

Afin d’améliorer la sécurité et la confidentialité de vos données à caractère personnel et mieux assurer vos droits, nous suivons la démarche de qualité et de conformité inscrite à la Loi Informatique et Libertés révisée en juin 2019 et intégrant le RGPD, ainsi que les préconisations de nos labels qualité internes

 

1. Un   a été nommé
2. La collecte de vos données personnelles a été minimisée en regard de la finalité de chaque activité
3. Les processus de traitement et de stockage des données font l’objet d’audits réguliers
4. Des règles relatives à la diffusion des données sont établies afin de garantir sécurité et confidentialité
5. Un registre des traitements a été réalisé pour une meilleure transparence et une gouvernance accrue

 Pour voir comment nous traitements vos données à caractère personnel en fonction de chacune de nos activités, consulter notre Registre des Traitements 

 Pour exercez vos droits, renvoyez-nous ce formulaire d'exercice des droits

 Pour poser une question sur vos données : mail à mecs@brassalay.fr ou 05 59 69 15 62

• RGPD : Règlement Général pour la Protection des Données à caractère personnel. Règlement européen applicable depuis mai 2018 et transcris dans la loi française dite « Informatique et libertés » en juin 2019.

• Personne concernée : désigne la personne physique pour laquelle l'association Brassalay traite les données à caractère personnel (internaute, prospect, client, usager, employé des entreprises clientes et fournisseurs, partenaire, employé)

• Données à caractère personnel ou Données : désignent les données permettant d’identifier directement ou indirectement une personne physique (nom, mail, adresse postale, téléphone, …) et toutes informations se rapportant à celle-ci (la personne concernée) : âge, goûts, comportements, achats, relations, localisation, ...

• Traitement : opération(s) portant sur les données : collecte, enregistrement, organisation, conservation, consultation, modification, extraction, communication ou diffusion, verrouillage, effacement, destruction. Un traitement est informatisé ou manuel (papier) et doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

• Profilage » et « décision automatisée :  traitements analysant l’activité des personnes en vue de construire des profils pour mieux cerner une personnalité, prédire un comportement ou un achat. Décisions prises à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données, et susceptibles de produire des effets juridiques ou significatifs pour les personnes concernées.

• Responsable du traitement : désigne la personne morale (l'association Brassalay), le service ou la personne physique qui, seul ou conjointement, est compétent pour déterminer les finalités et les moyens du traitement de données à caractère personnel

• Utilisateur ou acteur : employé de l'association Brassalay participant au traitement et disposant d’un accès partiel ou complet, permanent ou temporaire, à son système d’information.

• Sous-traitant : personne ou organisme externe à l'association Brassalay traitant des données pour notre compte, ou participant au traitement, ou disposant simplement d’un accès ponctuel aux données personnelles.

• Destinataire : personne ou organisme susceptible de recevoir une copie des données traitées pour simple information ou dans un cadre légal, contractuel ou d’échange gratuit (données contre services).

• Durée de conservation :  délai durant lequel l'association Brassalay stocke les données, en rapport avec la finalité du traitement, y inclus l’archivage moyen ou long terme

• Délégué à la Protection des Données, DPD ou DPO : désigne la personne en charge de conseiller et de contrôler l'association Brassalay en matière de protection des Données à caractère personnel et de faire le lien entre les personnes concernées et la CNIL.

Préambule

L'association Brassalay (« nous ») prenons des engagements forts en faveur de la protection des données personnelles que nous entendons inscrire au cœur de nos préoccupations.
La présente Politique de Protection des Données Personnelles vise à informer toute personne physique concernée (employés ou candidats, clients, fournisseurs ou partenaires et leurs employés) des mesures ainsi mises en œuvre lorsque nous collectons et traitons des données personnelles dans l'exercice de nos activités. 

1. Organisation interne, gestion des traitements, rôle du DPO

• Nous avons mis en place en interne une équipe responsable de la bonne application et du respect de la présente Politique.
• Nous prenons des mesures pour sensibiliser ses employés à la nécessité de protéger les données personnelles pour qu'une collecte ou un traitement ne s'opère que s'il est nécessaire au regard des finalités envisagées et si ces finalités sont définies pour garantir leur caractère licite, déterminé, explicite et légitime.
• Les traitements mis en œuvre et contenant des données personnelles font l'objet d'une fiche de description complète, intégrée dans le "registre des traitements" tenu par notre Délégué à la Protection des Données (ou Data Protection Officer - DPO). Celui-ci est placé directement sous l'autorité de la direction, ainsi nous avons voulu garantir son indépendance et placer la protection des données personnelles au centre de notre structure organisationnelle.

2. Règles d’or

se fonde sur sept règles d'or pour que chaque personne amenée à collecter et traiter des données personnelles :
1.        respecte le RGPD en s'assurant que les données personnelles sont collectées, utilisées et partagées dans le respect des droits des personnes concernées et du concept de "privacy by design" pour la protection des données dès la conception du traitement ;
2.        soit transparente et claire avec les personnes concernées sur les finalités du traitement envisagé, sur la raison et les modalités de sa mise en œuvre, ainsi que sur les destinataires avec lesquels ces données seront éventuellement partagées ;
3.        recherche le consentement des personnes physiques concernées chaque fois que possible et n'agisse sans leur consentement que dans les cas prévus par le RGPD ou la loi ou lorsque leur consultation préalable est impossible ou présente un risque particulier ;
4.        recherche un avis en cas de doute sur la façon de traiter les données personnelles, échange avec d'autres spécialistes, demande un avis juridique ou recueille l'avis de l'Autorité de régulation compétente et conserve une trace de ses décisions ;
5.        prenne la décision de collecter, d'utiliser ou de partager des données personnelles en tenant compte de l'intérêt de la personne physique pour ne traiter que les données nécessaires, pertinentes, adéquates, proportionnées, justes, opportunes et sécurisées, pour une durée limitée aux besoins du traitement ;
6.        s'assure que les données personnelles ne sont partagées qu'avec ceux auxquels l'accès est nécessaire pour rendre le service attendu et atteindre l'objectif du traitement ;
7.        s'assure que les mesures de sécurité proportionnelles aux risques ont été prises en vue de préserver la disponibilité, la confidentialité et l'intégrité des traitements.

3. Information des personnes physiques concernées

Conformément au RGPD, l'association Brassalay s'attache à informer les personnes physiques concernées des droits qui leur sont garantis en les avisant :

ü  de l'identité du responsable du traitement ü  de la finalité poursuivie par le traitement ü  du caractère obligatoire ou facultatif des réponses et des conséquences éventuelles d'un défaut de réponse ü  des destinataires des données ü  de leur droit d'accès, d'interrogation, de modification et de rectification aux informations qui les concernent, de leur droit d'opposition pour des motifs légitimes, de leur droit ü  de s'opposer à ce que leurs données personnelles soient utilisées à des fins de prospection commerciale ainsi que de leur droit de définir des instructions quant au traitement de leurs données personnelles après leur mort  ü  de la durée de conservation des catégories de données traitées.

4. Traitement tiers

Nous informons les personnes physiques concernées que les données personnelles objet des traitements recensés dans son registre sont susceptibles d'être rendues accessibles à l'audit interne, à la direction de la conformité ou au DPO, aux Commissaires aux Comptes, aux personnes en charge du traitement des signalements de comportements violant les règles d'éthique de  ainsi qu'à ses avocats ou aux autorités compétentes et, dans certains cas, aux parties prenantes à un projet de fusion ou d'acquisition.

5. Destinataires des données

Nous sommes susceptibles de partager les données personnelles collectées avec nos prestataires de services ou avec nos fournisseurs, uniquement dans la limite nécessaire à l'accomplissement des tâches qui leur sont confiées.

Nous veillons à ce que ces prestataires et partenaires agissent en conformité avec les lois et règlements applicables en matière de protection de données personnelles, mais également à ce qu'ils accordent une attention particulière à la confidentialité de ces données.

6. Conservation des données

Les traitements de données personnelles collectées par l'association Brassalay ou pour son compte sont conservés par nous-même ou par nos prestataires, notamment sur des plateformes de stockage cloud.

Du fait du caractère international de notre structure, certaines données sont conservées ou accédées en dehors de l'Union Européenne. Nous avons veillé à l'instauration de mesures permettant d'assurer le même niveau de protection des données personnelles compatible avec les exigences du RGPD, notamment par des mesures physiques, techniques, organisationnelles et procédurales rigoureuses et adaptées pour assurer la disponibilité, la confidentialité et l'intégrité des données personnelles en les modulant selon la nature et la sensibilité des données concernées.

Nous nous attachons à limiter la durée de conservation des données personnelles pour le temps nécessaire aux opérations pour lesquelles leur collecte et leur traitement est intervenu, dans le respect de la règlementation applicable. Les données personnelles sont ensuite irréversiblement supprimées ou anonymisées.

7. Protection de votre vie privée, règles générales pour la sécurité et la confidentialité des données

D’une manière générale, nous nous efforçons de protéger de notre mieux les données personnelles vous concernant et veillons à leur sécurité en ayant pris des mesures techniques et structurelles prévenant les traitements illicites ou non autorisés, empêchant la perte, la destruction et les modifications accidentelles. Ces mesures font l’objet d’audit régulier et d’une démarche d’amélioration constante dans le cadre de référentiels fournis la CNIL et l’ANSSI ; d’une manière non exhaustive, ce sont :  * isolation fonctionnelle de notre système d’information * restriction d’utilisation aux seuls usages de notre personnel * traçabilité des connexions au système * sauvegardes normées et chiffrées

Nous garantissons que seules les personnes habilitées prennent connaissance des données car les actions effectuées sur celles-ci par les personnes habilitées sont enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi) * nos logiciels en général (outils métier, gestion, bureautique) sont « RGPD par défaut» et permettent l’isolation des flux de données grâce à la gestion fine des droits d’accès et d’une console de supervision * notre messagerie est centralisée, sa gestion et sa surveillance sont intégrées à notre système global  et disposent d’un module permettant le traçage et la gestion des données personnelles * pour notre système de fichier, l’accès aux dossiers est soumis à l’approbation de l’Active Directory et à un étiquetage dont découle l’attribution les droits * tous les fichiers contenant les données personnelles relatives aux documents sensibles font l’objet d’un chiffrement et des droits sont attribués par document : qui peut afficher, copier, imprimer, enregistrer, exporter, accéder par programme, contrôler leur utilisation ; chacun de ses droits fait l’objet d’un audit continu permettant de retracer son historique détaillé.

Tous nos personnels sont formés à la sécurité et à la confidentialité des données ; chacun s’engage à respecter notre code de bonne conduite « confidentialité et sécurité des données clients et tiers», notre charte du numérique, et à suivre les procédures décrites dans nos « bonnes pratiques »

8. Exercer vos droits

Conformément au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez du droit d’opposition lorsque vos données sont utilisées à des fins de prospection commerciale * d’information, de correction, de limitation concernant les traitements contractuels et légitimes. 

Pour exercer vos droits * en cas de question sur le traitement de vos données, le contenu des présentes * pour obtenir un exemplaire des informations vous concernant en notre possession et la manière de mettre à jour vos informations * si vous pensez que les données qui vous sont personnelles et que nous détenons ont été détournées ou usurpées : veuillez utiliser notre « formulaire d’exercice des droits », joindre directement notre DPO, notre standard téléphonique ou simplement vous adresser à votre contact habituel.

è  Formulaire d'exercice des droits

En cas de difficultés pour accéder à votre dossier personnel, de collecte excessive ou de défaut de sécurisation des données, vous pouvez introduire une réclamation * auprès de notre DPO * auprès de notre direction * ou directement auprès de l'autorité de contrôle chargée des questions de protection des données, la CNIL (Commission Nationale de L’Informatique et des Libertés) : ici

è  Contacter notre Délégué à la Protection des Données : mecs@brassalay.fr

9. Textes de référence

Le DPO veille ainsi à la conformité de la collecte des données personnelles et de leur traitement avec :

> le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et

> la loi n° 78-17 du 6 janvier 1978, révisée en juin 2019, relative à l'informatique, aux fichiers et aux libertés modifiée (Loi dite "Informatique et Libertés").

le code pénal : articles 226-1 et suivants (protection de la vie privée) ;

les référentiels CNIL 

Cette politique est susceptible d'évoluer selon les besoins, en raison du contexte légal, en France ou au sein de l'Union Européenne, ainsi que des recommandations ou décisions de la CNIL. Cette politique ne s'applique que pour le siège de l'association Brassalay ; les entités ou filiales sont tenues d'adopter leur propre politique de protection des données personnelles.