Politique de protection des données à caractère personnel

As Team SASU (Société par actions simplifiée à associé unique)

1 – Introduction

AS Team et le personnel intervenant pour son compte, tant interne qu’externe, traite les données personnelles des salariés, stagiaires, mandataires, clients, fournisseurs, visiteurs, utilisateurs du système d’information, internautes du site web et notamment les données personnelles confidentielles ou sensibles telles que : adresses, numéro de sécurité sociale, composition familiale, coordonnées bancaires, CV, etc.

À ce titre, AS Team et l’ensemble des parties prenantes intervenant pour son compte, tant interne qu’externe, doivent respecter la réglementation nationale et européenne en vigueur sur la protection des données personnelles ; notamment :

a) Le Règlement Général sur la Protection des Données (RGPD)

b) La loi dite « Informatique et Liberté »

c) Les référentiels de la commission nationale Informatique et Liberté (CNIL)

d) Les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Le personnel, tant interne qu’externe, intervenant pour le compte d’AS Team doit en conséquence respecter les règles et instructions internes/externes documentées par AS Team notamment :

a) Sa présente politique de protection des données personnelles ;

b) La politique de sécurité des systèmes d’information ;

c) Les procédures et instructions relatives au système d’information et de télécommunication ;

2 – Version 1.0 DU 11 juillet 2023

AS Team peut, à sa seule initiative, mettre à jour cette politique à tout moment pour y intégrer les évolutions de la réglementation et/ou de son activité.

Elle fera l’objet d’une actualisation tous les deux ans, ou tous les ans, si le besoin s’en fait sentir.

La présente Politique entre en vigueur dès sa diffusion.

3 – Périmètre

La présente politique s’applique à tous les traitements de données à caractère personnel mis en œuvre par AS Team ou pour son compte

4 – Responsables des traitements

Etablissement : AS Team
SIREN : 434 402 731
Secteur d’activité : Transport et Logistique
Adresse : 12 rue Jean Mermoz, 77290 Compans

a) AS Team s’engage à respecter l’obligation de collecter des données pour des finalités déterminées, explicites et légitimes et ne pas être traité ultérieurement d’une manière incompatible avec ces finalités

b) AS Team est amenée à collecter les catégories de données suivantes lorsqu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lequel elles sont traitées (liste non exhaustive)

  • Identité, coordonnées, état civil ;
  • Vie professionnelle ; CV, Diplôme ;
  • Données économiques et financières
  • Données de santé au travail ne relevant pas du secret médical (numéro de sécurité sociale, suivi de l’état de santé des salariés…) ;
  • Infractions et condamnations ne relevant pas du secret judiciaire (véhicule de fonction) ;
  • Données de connexion informatique ; Identifiant, mot de passe, aux journaux de surveillance des accès internet et au système informatique, l’adresse IP, …

5 – Obligations d’ASTeam

L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ». AS Team respecte et protège la vie privée de toutes les personnes dont il traite les données.

AS Team est en conséquence responsable :

a) De traiter toute donnée de manière licite, loyale et transparente ;

b) Tenir à jour un registre des traitements de données personnelles mis en œuvre ;

c) De collecter toutes données à des fins déterminées, explicites et légitimes ;

d) De ne pas traiter ultérieurement des données d’une manière incompatible avec ces finalités initiales ;

e) De limiter la collecte le traitement de toutes données à ce qui est nécessaire et suffisant au regard de ces finalités ;

f) D’assurer l’exactitude et si nécessaire, la mise à jour des données ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes égard aux finalités pour lequel elles sont traitées, soit effacées ou rectifiées sans tarder ;

g) De conserver les données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

h) De garantir aux personnes concernées un niveau de sécurité approprié des données, y compris leur protection contre un traitement non autorisé ou illicite et contre leur perte, leur destruction ou les dégâts d’origine accidentelle virgule la lettre de mesures techniques et organisationnelles appropriées.

6 – Bass légale des traitements

AS Team ne collecte et ne traite des données à caractère personnel uniquement parmi l’une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données personnelles.

a) CONSENTEMENT : La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) CONTRAT : Leur traitement est nécessaire à l’exécution d’une convention ou d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande ;

c) OBLIGATION LEGALE : Leur traitement est nécessaire au respect d’une obligation légale à laquelle AS Team est soumis ;

d) SAUVEGARDE DES INTERÊTS VITAUX : Leur traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

e) MISSION D’INTERÊTS PUBLIC : Leur traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

f) INTERÊTS LEGITIME : Leur traitement est nécessaire aux fins des intérêts légitimes poursuivis par AS team ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

7 – Destinataires des données

AS Team veille à la confidentialité des données placées sous sa responsabilité et s’engage à ce que toutes les informations recueillies concernant toute personne soient considérées et utilisées comme des informations strictement confidentielles.

Les données collectées ne sont destinées qu’aux personnels internes d’AS Team habilitées par leur hiérarchie ; ainsi qu’aux tiers extérieurs réglementairement ou contractuellement autorisés à en avoir communication (autorité publique autorisée par la loi, partenaires tiers autorisés par une convention, un règlement ou un contrat, fournisseurs et prestataires autorisés, etc.)

8 – Conservation des données

Les données personnelles ne sont pas conservées indéfiniment : une durée de conservation est déterminée par le responsable de traitement en fonction de l’objectif l’ayant conduit à la collecte de ces données.

Ce principe de conservation limitée des données personnelles est prévu par le RGPD et la loi Informatique et Libertés. Les données collectées ne seront conservées que le temps nécessaire au regard des finalités poursuivies.

  1. Conservation en base active ; Finalité du traitement
    Un tri sera opéré entre les données
  2. Archivage intermédiaire
    Un tri sera opéré entre les données
  3. Archivage définitif ; En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne.

9 – Droits « Informatique et Libertés » de la personnes concerné

Conformément à la loi numéro 78- 17 du 6 janvier 1978 modifiée relative à l’informatique aux fichiers et aux libertés, toute personne dispose des droits suivants :

a) Droit d’accès de la personne concernée

b) Droit de rectification

c) Droit à l’effacement (« droit à l’oubli »)

d) Droit à la limitation du traitement

e) Droit à la portabilité des données

f) Droit d’opposition

Toute personne souhaitant exercer l’un des droits exposés ci-dessus, pourra s’adresser à la Direction.

Toute personne estimant que ces droits « Informatiques et Libertés « ne sont pas respectés après avoir d’abord contacté la hiérarchie par écrit, peut adresser une réclamation à la CNIL (sur son site cnil.fr)

10 – Mesures Générales de Sécurité prises par AS Team

Compte tenu de l’état de la réglementation en vigueur, des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés, AS Team met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adaptées aux risques ; y comprit (liste non exhaustive) :

a) Information et sensibilisation du personnel sur le RGPD et les règles/procédures internes

b) Renforcement de la sécurité informatique et de la protection contre les cybermenaces

c) Anticipation de la sécurité, et prévention des risques, par défaut et dès la conception ou le lancement de nouveaux traitements (logiciel)
d) Sélection des fournisseurs

e) Absence de transfert hors de l’Union européenne, ou vers une Organisation internationale, sans les mesures juridiques, organisationnelles et techniques appropriées

f) Pas de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant la personne concernée de manière significative et similaire, sans un motif légitime.

g) Lorsque AS Team recourt à des prestataires pour le traitement et l’hébergement des données, ils sont choisis pour les garanties de sécurité suffisante qu’ils offrent.

h) Pour ce qui est de l’hébergement des données sur Cloud / Serveur extérieur / autre, AS Team choisit ses prestataires en fonction des garanties offertes, au regard de ses exigences de sécurité et des risques potentiels. AS Team s’assure également que l’hébergement des données est opéré dans des Data Center situés sur le territoire de l’Union Européenne.

11 – Notifications des violations de données

Conformément à la réglementation en vigueur, AS Team s’engage à :

  • Tenir un registre des violations de données, afin que des mesures de remédiation soient aussitôt mises en œuvre, appliquées et contrôlées.
  • Dans un délai maximal de soixante-douze (72) heures après leur détection, AS Team informe la CNIL et éventuellement les personnes concernées, lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

12 – Engagement

Toute personne accédant à des données pour le compte de s’engagent formellement pendant toute la durée de ses fonctions, et sans limitation de durée après la cessation de ses fonctions, à prendre toutes les précautions conformes aux usages et à l’état de l’art afin de protéger, dans le cadre de ses attributions, la confidentialité des informations et notamment des données à caractère personnel auxquelles elle a accès, et en particulier à veiller à ce que ne soit communiqué qu’aux personnes expressément autorisées à les recevoir, qu’il s’agisse des personnes privées, publiques, physiques ou morales.

Le personnel intervenant pour le compte d’AS Team s’engage en particulier à :

a) Consultez sa hiérarchie avant la mise en œuvre de tous fichiers ou traitements de données personnelles ;

b) Ne pas utiliser les données auxquelles il peut accéder à des fins autres que celles prévues par ses attributions ;

c) Ne divulguez ces données qu’aux personnes dûment théorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées physiques, publiques ou morales ;

d) Contrôlez rigoureusement la diffusion de données à caractère personnel à l’intention de tiers extérieurs ;

e) Ne faire aucune copie, exportation ou impression de ces données sauf à que cela soit nécessaire à l’exécution de ses fonctions, et détruire ou anonymiser et minimiser ces copies, exportations ou impressions aussi vite que possible ;

f) Respecter les durées de conservation courantes des données et les règles d’archivage ;

g) Prendre toutes les mesures, dans le cadre de ses attributions, afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

h) S’assurer, dans la limite de ses attributions, que seuls des moyens de communication sécurisés autorisés par AS Team soient utilisés pour transférer ces données ;

i) Signaler sans délai à sa hiérarchie tout incident ou presque incident concernant la sécurité des données ;

j) Restituer intégralement les données, fichier informatique et tout support d’information relative à ces données, lors de la cessation de ses fonctions

k) Respecter les bonnes pratiques d’utilisation du matériel informatique selon le guide remis à chaque collaborateur à son embauche ou à sa mise en circulation.