Politique relative à la protection des données
Introduction
Chez Avery Berkel, nous collectons et traitons des informations personnelles (désignées ci-après « données à caractère personnel ») pour les besoins de notre activité, notamment des informations relatives à l'emploi, à l'administration des ressources humaines, à nos prestations de services, au marketing et à l'administration commerciale. Les données à caractère personnel concernées se rapportent à nos employés, à nos clients, à nos fournisseurs et aux tiers.
Le respect des lois sur la protection des données est essentiel pour garantir la protection des données, la sécurité de nos opérations commerciales et le respect des droits des individus. Avery Berkel est contrôleur de données au titre de la loi sur la protection des données, c'est-à-dire que l'entreprise décide de la manière dont les données à caractère personnel sont utilisées et des motifs justifiant une telle utilisation. La présente politique explique nos procédures de conformité avec les lois sur la protection des données à caractère personnel. Elle présente également vos obligations lorsque vous traitez vos données à caractère personnel dans le cadre de votre travail.
Si votre fonction vous amène à régulièrement traiter des données à caractère personnel, vous recevrez une formation et des instructions spécifiques relatives aux procédures de protection des données en rapport avec votre rôle et votre service. Ces instructions viendront compléter vos obligations telles qu'énoncées dans la présente politique.
D'autres politiques peuvent également influencer la manière dont vous traiterez les données à caractère personnel et veillerez à la protection des données. Les principales concernent nos politiques relatives à Internet et à l'e-mail et vous êtes tenu(e) de les respecter, le cas échéant.
La présente politique ne confère aucun droit contractuel aux employés. Elle peut être actualisée à tout moment.
À qui cette politique s'applique-t-elle ?
La présente politique s'applique à tous les employés, ouvriers, sous-traitants, intérimaires, consultants, stagiaires, bénévoles, partenaires et administrateurs d'Avery Berkel (ci-après désignés « employés » ou « vous »).
Qui est chargé de la protection des données chez Avery Berkel ?
Le Conseil d'ITW est principalement responsable de la conformité d'Avery Berkel avec les lois en vigueur en matière de protection des données. Avery Berkel a nommé Morkel Muller au poste de contrôleur général. Ce dernier est chargé de conseiller Avery Berkel sur les questions de conformité, et de superviser et administrer le respect de la présente politique et de la loi sur la protection des données.
Il incombe à tous les employés d'Avery Berkel de veiller à la protection et au traitement des données à caractère personnel d'une manière conforme à la loi. Certains employés ont des attributions particulières, ce dont ils seront informés et pour lesquelles ils pourront recevoir des consignes spécifiques.
Si vous avez le moindre doute sur la manière de traiter des données à caractère personnel ou si vous avez des questions en rapport avec l'application (ou des suspicions de violation) de la présente politique, contactez Morkel Muller, contrôleur général, par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
Pourquoi la conformité en matière de protection des données est-elle importante ?
La loi sur la protection des données au Royaume-Uni est régie et mise en œuvre par l'ICO (Information Commissioner's Office), l'autorité de supervision britannique en la matière. Le non-respect de la loi sur la protection des données peut engager la responsabilité d'Avery Berkel et, selon les cas, celle des employés individuels, et avoir de graves conséquences juridiques, notamment des infractions pénales et des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon la somme qui est la plus élevée. En outre, toute personne peut demander à être indemnisée devant les tribunaux si nous avons violé ses droits en vertu de la loi sur la protection des données. Toute infraction à la loi sur la protection des données peut également gravement nuire à notre marque et à notre réputation.
Outre les responsabilités légales, le non-respect de vos obligations au titre de la présente politique peut entraîner une action disciplinaire et, selon la gravité, votre licenciement.
Que sont les données à caractère personnel ?
Les données à caractère personnel désignent toute information relative à une personne (également appelée « sujet des données ») pouvant être identifiée (directement ou indirectement) en particulier en référence à un identifiant (comme un nom, un numéro d'assuré social, un numéro d'employé, une adresse e-mail, des caractéristiques physiques). Les personnes concernées sont notamment vos collègues, les consommateurs, les membres du public, des contacts professionnels, etc. Les données à caractère personnel peuvent prendre la forme d'informations factuelles (par ex. coordonnées ou date de naissance), d'un avis sur les actions ou la conduite d'une personne, ou d'informations qui concernent autrement ladite personne. Elles peuvent être de nature personnelle ou professionnelle.
Les données à caractère personnel peuvent être automatisées (par ex. données électroniques comme des fichiers informatiques ou des e-mails) ou manuelles, comprises ou destinées à être comprises dans un système de fichiers (par ex. fichiers et archives au format papier).
Qu'entend-on par « traitement » des données à caractère personnel ?
Le « traitement » des données à caractère personnel désigne toute activité liée à l'utilisation de données à caractère personnel, à savoir la collecte, l'enregistrement, la détention, la modification, la récupération, l'utilisation, la divulgation, le partage, l'effacement ou la destruction des données. Le traitement désigne également l'envoi ou le transfert des données à caractère personnel à des tiers.
Obligations liées à la protection des données
La conformité à la loi sur la protection des données et la preuve de la conformité incombent à Avery Berkel. Pour s'assurer que Avery Berkel remplit ses obligations, les employés doivent impérativement respecter la loi sur la protection des données, ainsi que toute politique, consigne et directive énoncée par Avery Berkel en rapport avec les données à caractère personnel lors du traitement de ces dernières dans le cadre de l'exercice de leurs fonctions.
Nous indiquons ci-dessous les principales obligations découlant de la loi sur la protection des données, ainsi que la manière dont les employés sont censés respecter ces exigences.
1. Traiter les données à caractère personnel de manière juste, équitable et transparente
Justifications juridiques du traitement
La loi sur la protection des données nous permet de traiter les données à caractère personnel uniquement lorsqu'il existe des motifs juridiques et équitables justifiant l'utilisation des informations.
Le traitement des données à caractère personnel trouve une justification juridique dans les exemples suivants (au moins l'une de ces justifications doit être satisfaite pour chaque activité de traitement) :
- respecter une obligation légale (par ex. santé et sécurité ou réglementations fiscales) ;
- conclure ou exécuter un contrat avec la personne (par ex. modalités du contrat de travail ou d'un contrat de services conclu avec un client) ;
- agir dans les intérêts légitimes d'Avery Berkel ou d'un tiers (par ex. maintien de registres d'activité, suivi de la productivité) ; et
- obtenir le consentement de la personne (par ex. pour l'envoi de communications directes à des fins de marketing).
Lorsque le consentement est requis, ce dernier doit être spécifique, informé, non ambigu et consenti librement. Avery Berkel doit prouver que le consentement a été donné.
Conformément aux directives de l'ICO relatives à la relation entre employeur et employé, Avery Berkel n‘utilise pas le consentement comme justification juridique du traitement des données des employés, à moins que les activités de traitement des données ne soient purement optionnelles.
Dans la plupart des cas, le consentement n'est pas non plus requis pour d'autres activités commerciales standard impliquant l'utilisation des données de clients ou de fournisseurs, mais il peut être nécessaire pour des activités qui n'entrent pas dans le cadre de la gestion de la relation professionnelle, comme les activités de marketing direct.
Transparence
La loi sur la protection des données exige également que nous traitions les données à caractère personnel de manière transparente en fournissant aux personnes concernées des informations appropriées, claires et concises sur le traitement réservé à leurs données à caractère personnel.
En général, nous fournissons des informations de base sur l'utilisation faite des données sur les formulaires utilisés pour collecter les données (comme les formulaires de demande, les formulaires en ligne), ainsi que dans des déclarations de confidentialité plus détaillées présentant notamment : les types de données personnelles que nous détenons, l'utilisation que nous en faisons, les justifications juridiques de leur traitement, avec qui nous pouvons être amenés à les partager et combien de temps nous les conservons. Ainsi, notre Déclaration de confidentialité des données relatives aux employés d'Avery Berkel contient des informations sur la manière dont nous traitons les données à caractère personnel des employés.
Le cas échéant, nous complétons les déclarations par l'envoi de rappels ou d'informations supplémentaires au moment où des activités de traitement spécifiques ont lieu ou deviennent pertinentes pour la personne concernée (par exemple, lors de l'inscription à un événement ou à un nouveau service).
Ce que vous devez faire :
Vous devez traiter les données à caractère personnel de manière loyale et licite dans l'exercice légal de vos fonctions et selon les consignes d'Avery Berkel.
Les déclarations de confidentialité standard que nous rédigeons, par exemple, à l'attention des employés, des clients et du public doivent normalement suffire à informer correctement les personnes concernées sur la manière dont vous traitez leurs données à caractère personnel dans le cadre de votre travail. Cependant, vous devez vous demander s'il serait approprié de fournir un rappel ou des informations supplémentaires au moment de l'exécution de l'activité de traitement des données. Cela est particulièrement important si vous pensez que des personnes sont susceptibles d'avoir besoin d'assistance pour comprendre clairement l'utilisation qui sera faite de leurs données dans le cadre des activités visées.
Tout nouveau formulaire destiné à collecter des données à caractère personnel et le libellé des consentements proposé doivent être préalablement approuvés par le service de protection des données d'Avery Berkel, dont l'adresse électronique est dataprotection@averyberkel.com.
Pour toute question relative aux justifications juridiques du traitement de données à caractère personnel ou si vous avez des doutes quant à savoir si une personne a reçu les informations appropriées (en particulier dans le cadre de nouvelles activités de traitement des données), n'hésitez pas à contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
2. Faire preuve d'une extrême vigilance lors du traitement de données à caractère personnel sensibles ou de catégories spéciales de données à caractère personnel
Certaines catégories de données sont dites « spéciales » en raison de leur caractère particulièrement sensible. Ces données contiennent des informations qui révèlent certains détails sur les personnes, à savoir :
- origine raciale ou ethnique ;
- opinions politiques ;
- croyances religieuses ou philosophiques ;
- appartenance à un syndicat ;
- santé mentale et physique ;
- vie sexuelle ou orientation sexuelle ;
- patrimoine génétique et biométrique ;
- délits ou condamnations.
Concernant les données à caractère personnel de catégorie spéciale, la loi sur la protection des données exige que nous ayons (en plus de l'une des justifications juridiques citées à la section 1) un motif juridique supplémentaire justifiant l'utilisation de ces informations sensibles. La justification juridique applicable dépend des circonstances.
Les justifications juridiques supplémentaires pour le traitement des données appartenant à des catégories spéciales sont présentées ci-dessous. Les justifications juridiques accompagnées d'un astérisque (*) sont particulièrement pertinentes pour le traitement des données à caractère personnel de catégorie spéciale des employés :
- conformité à l'obligation légale/exercice d'un droit légal en matière d'emploi* ;
- détermination de l'aptitude au travail (sur la base d'un avis médical expert et soumis à l'obligation de confidentialité)* ;
- formation, établissement ou opposition à des recours juridiques* ;
- prévention ou détection d'actes illicites ; ou
- consentement explicite de la personne. (Outre les exigences liées au consentement énoncées à la section 1, une déclaration formelle est exigée de la part de la personne autorisant l'utilisation de ses données de catégorie spéciale aux fins prévues.)
Ce que vous devez faire :
Si vous êtes amené(e) à traiter des données à caractère personnel de catégorie spéciale dans le cadre de l'exercice de vos fonctions, vous devez redoubler de vigilance quant à la conformité à la loi sur la protection des données. En particulier, veillez à ce qui suit :
- toute activité de traitement est strictement conforme à vos obligations professionnelles et aux instructions d'Avery Berkel ;
- l'existence de justifications juridiques du traitement des données (justifications élémentaires visées par la section 1 et justifications supplémentaires visées par la présente section 2), lesquelles ont été évaluées pour vos activités spécifiques ;
- les personnes ont reçu des informations adéquates sur le traitement de leurs données. Dans certains cas, il sera nécessaire de compléter une déclaration de confidentialité avec des informations plus spécifiques concernant les données de catégorie spéciale (par ex. pour la gestion d'un congé maladie et/ou la révision des attributions d'employés souffrant d'invalidité ou de maladie grave, Avery Berkel peut fournir des déclarations de confidentialité ponctuelles additionnelles pour compléter la Déclaration de confidentialité des données relatives aux employés) ;
- vous appliquez des mesures de sécurité et de confidentialité supplémentaires en ce que le préjudice subi par une personne en cas de perte ou d'utilisation illicite de ses données de catégorie spéciale peut être plus important que celui causé avec d'autres types de données. Se reporter également à la section 7 plus bas ; et
- si le consentement est une justification juridique du traitement des données, vous devez préalablement obtenir l'approbation de la formulation du consentement de la part de Morkel Muller, contrôleur général, que vous aurez contacté par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
Si votre fonction ou vos attributions vous amènent à régulièrement traiter des données de catégorie spéciale, Avery Berkel mettra en place des procédures destinées à garantir que vos activités de traitement sont conformes aux exigences précitées.
Cependant, en présence de circonstances alternatives (par ex. vous participez à un nouveau projet ou procédez à la mise à jour d'un système existant impliquant le traitement de données appartenant à une catégorie spéciale), veuillez contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante, dataprotection@averyberkel.com afin de garantir le respect des procédures.
De la même façon, pour toute question concernant les justifications juridiques applicables au traitement des données de catégorie spéciale ou concernant les informations appropriées à fournir aux personnes, veuillez contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
3. Traiter les données à caractère personnel aux seules fins spécifiées, explicites et légitimes
Avery Berkel traite les données à caractère personnel conformément à notre finalité légitime aux fins d'exécution de nos opérations commerciales et d'administration des relations liées à l'emploi et d'autres relations commerciales.
Ce que vous devez faire :
Les données à caractère personnel que vous traitez dans le cadre de l'exercice de vos fonctions doivent être utilisées aux seules fins légitimes et autorisées d'Avery Berkel. Vous ne devez traiter aucune donnée à caractère personnel à des fins ne se rapportant pas à vos fonctions.
Le traitement de données à caractère personnel à des fins incompatibles ou non autorisées peut représenter une infraction à la loi sur la protection des données (par ex. utiliser la base de données de l'entreprise pour se procurer l'adresse d'un collègue à des fins privées et sans rapport avec le travail). Une telle conduite peut avoir des conséquences préjudiciables pour toutes les parties concernées et entraîner des mesures disciplinaires.
Si vous êtes amené(e) à traiter des données à caractère personnel à des fins autres que celles pour lesquelles elles ont été initialement collectées, vous devez vérifier si les personnes concernées en ont été informées, et dans le cas contraire, vous demander si la finalité additionnelle est légitime (dans le contexte des activités commerciales d'Avery Berkel) et compatible avec la finalité d'origine.
En cas de doute quant à la légitimité du traitement, n'hésitez pas à contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante, dataprotection@averyberkel.com avant de traiter les données pour les fins supplémentaires.
4. Veiller à ce que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités légitimes
Au titre de la loi sur la protection des données, il convient de veiller à ce que les données à caractère personnel soient adéquates, en rapport avec nos finalités et limitées à ce qui est nécessaire pour lesdites finalités (principe de « limitation des données »). Autrement dit, nous ne sollicitons que les informations dont nous avons besoin pour poursuivre nos activités légitimes, et nous ne demandons pas plus d'informations que celles dont nous avons besoin pour poursuivre l'exercice de notre activité.
Ce que vous devez faire :
Vous devez vous efforcer d'obtenir et de traiter uniquement les données à caractère personnel dont vous avez réellement besoin aux seules fins des activités légitimes et autorisées d'Avery Berkel dans le cadre de l'exercice de vos fonctions.
Vous devez veiller à obtenir les données à caractère personnel suffisantes pour les utiliser de manière loyale et tenir compte de tous les détails pertinents.
Si vous êtes chargé(e) de créer des formulaires pour la collecte des données à caractère personnel, vous devez pouvoir justifier la demande de chaque catégorie spécifique de données.
Vous êtes également tenu(e) de respecter les instructions d'Avery Berkel concernant la rétention et le stockage des données, tout en veillant à ce que les données à caractère personnel soient conservées pendant la seule durée nécessaire aux fins prévues.
5. Veiller à l'exactitude et (le cas échéant) à la mise à jour des données à caractère personnel
Avery Berkel doit prendre toutes les mesures qui s'imposent pour garantir que les données à caractère personnel sont exactes et (le cas échéant) mises à jour. Par exemple, nous demandons aux employés de nous informer de tout changement dans leurs coordonnées ou informations personnelles par courrier ou e-mail adressé au service des ressources humaines. Nous veillons également à ce que les décisions concernant les personnes reposent sur des informations exactes et à jour.
Ce que vous devez faire :
Lorsque vous traitez des données à caractère personnel dans le cadre de votre travail, vous devez consentir un effort raisonnable pour être précis et veiller à la mise à jour des informations.
Lorsque vous collectez des données à caractère personnel, efforcez-vous de vérifier d'emblée leur exactitude. Si vous décelez ultérieurement des inexactitudes dans les données à caractère personnel en cours de traitement, il convient de les corriger ou de les supprimez sans délai.
Les données à caractère personnel doivent être conservées en moins d'exemplaires possible afin d'éviter tout risque d'introduire des incohérences résultant de l'actualisation de certains exemplaires seulement. Il convient de ne pas créer d'exemplaires supplémentaires des données à caractère personnel mais de travailler à partir d'une copie centrale que vous veillerez à mettre à jour dans la mesure du possible (conformément aux procédures standard d'Avery Berkel relatives à la rétention et au stockage des dossiers).
6. Conserver les données à caractère personnel pendant la seule durée nécessaire aux fins mentionnées
Les dossiers contenants des données à caractère personnel ne doivent pas être conservés plus longtemps que nécessaire pour les fins prévues. Avery Berkel a mis en place des politiques de rétention, de stockage et de suppression des données, ainsi que des processus et directives internes concernant les différents types de dossiers et d'informations contenant des données à caractère personnel.
Nous prenons les mesures adéquates pour ne pas conserver les données à caractère personnel plus longtemps que nécessaire, en tenant compte des critères suivants :
- la quantité, la nature et le caractère sensible des données à caractère personnel ;
- le risque de préjudice découlant d'une utilisation ou d'une divulgation illicite ;
- les fins pour lesquelles nous traitons les données à caractère personnel et le délai prévu avant de pouvoir atteindre ces fins ;
- la durée pendant laquelle les données à caractère personnel resteront exactes et à jour ;
- la durée pendant laquelle les données à caractère personnel resteront pertinentes pour d'éventuels futurs recours juridiques ; et
- toute exigence juridique, comptable, réglementaire et de communication d'informations en vigueur indiquant la durée de conservation de certains dossiers.
Ce que vous devez faire :
Veuillez vous familiariser avec les politiques, processus, directives et instructions en matière de rétention pertinentes à vos fonctions. Lorsque cela relève de votre compétence, veillez à détruire ou effacer toutes les informations dont vous n'avez plus l'utilité conformément à ces politiques, processus, directives et instructions.
Si vous avez des doutes sur les directives et instructions de rétention se rapportant à vos fonctions ou si vous ne savez pas comment les appliquer à un type ou élément particulier de données à caractère personnel, veuillez contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
7. Prendre les mesures appropriées pour protéger les données à caractère personnel
Il incombe à Avery Berkel et à ses employés de protéger les données et de respecter les procédures de sécurité d'Avery Berkel afin de protéger la confidentialité, l'intégrité, la disponibilité et la résilience des données à caractère personnel.
Les mesures de sécurité techniques et organisationnelles suivantes ont été mises en place afin de protéger les informations, y compris les données à caractère personnel :
- Classeurs verrouillables
- Sécurité des locaux
- Mots de passe et contrôles d'accès aux informations
- Formation des employés sur les obligations liées à la confidentialité
- Chiffrement des matériels ou logiciels
- Antivirus et protection du réseau
- Mises à jour logicielles
- Essais de sécurité et gestion des incidents
- Élimination sécurisée des dossiers et équipements
- Sauvegarde et reprise d'activité après sinistre
- Procédure de télétravail
- Protocoles d'utilisation de technologie et de stockage des données
- Registre des actifs
Avery Berkel a également mis en place une politique relative à l'utilisation d'Internet et du courrier électronique énonçant les protocoles destinés aux employés sur l'utilisation de la technologie et des systèmes de communication, lesquels viennent renforcer la sécurité des données à caractère personnel stockées ou transmises via lesdits systèmes.
Nous évaluons et testons régulièrement l'efficacité de ces mesures afin de garantir la sécurité des activités de traitement des données à caractère personnel précitées.
Ce que vous devez faire :
Afin d'assister Avery Berkel à maintenir la sécurité des données et à protéger la confidentialité et l'intégrité des données à caractère personnel que vous êtes amené(e) à traiter dans le cadre de votre travail, il vous incombe de respecter la présente politique, notre politique relative à l'utilisation d'Internet et du courrier électronique et toute instruction d'Avery Berkel concernant le traitement et la sécurité des données à caractère personnel. En particulier, vous êtes tenu(e) de :
- Utiliser les seuls systèmes d'information et de communication autorisés d'Avery Berkel pour enregistrer, stocker et communiquer des données à caractère personnel. Il convient de restreindre le stockage des données à caractère personnel sur les appareils personnels ou l'utilisation des appareils de communication personnel (ou de renforcer le contrôle des BYOD) ;
- utiliser des logiciels cryptés protégés par mot de passe pour l'envoi et la réception des courriels ;
- ranger les fichiers dans des classeurs verrouillables ;
- ne jamais laisser votre ordinateur portable, un appareil mobile ou des copies de documents contenant des données à caractère personnel dans un lieu public ;
- veiller, lorsque vous consultez des données à caractère personnel au format papier ou à l'écran, à ce que ces informations ne puissent pas être vues par des personnes ne possédant pas les droits d'accès à ces informations, en particulier si vous vous trouvez dans un lieu public ;
- veiller, lorsque vous enregistrez des données sur des appareils portables tels qu'un ordinateur portable, un smartphone ou une clé USB, à ce que l'appareil soit crypté et protégé par mot de passe ;
- veiller à ce que les informations contenant des données à caractère personnel soient éliminées de manière sécurisée et permanente à travers des méthodes de destruction adéquates pour les données confidentielles ou une déchiqueteuse de documents ;
- signaler à Morkel Muller, contrôleur général, par e-mail dataprotection@averyberkel.com toute violation à la sécurité des données à caractère personnel dans les plus brefs délais et conformément à la procédure d'Avery Berkel pour la gestion des violations (voir plus bas les informations sur la violation des données à caractère personnel) ;
- veiller à ce que la divulgation ou le partage de données à caractère personnel soit autorisé et repose sur des justifications juridiques appropriées et, le cas échéant, à ce que les mesures de protection soient en place (voir plus bas les informations sur les mesures de protection concernant les transferts de données à caractère personnel vers l'étranger ou le partage des données à caractère personnel avec des fournisseurs tiers).
8. Être particulièrement vigilant lors du partage ou de la divulgation de données à caractère personnel
La divulgation ou le partage de données à caractère personnel est considéré comme un traitement des données. Par conséquent tous les principes énoncés dans la présente politique doivent être appliqués.
Partage interne des données
Avery Berkel veille à ce que les données à caractère personnel soient partagées exclusivement en interne et si cela est justifié par un besoin professionnel.
Partage externe des données
Nous pourrons nommer des prestataires de services tiers (appelés sous-traitants) chargés de gérer les informations pour notre compte, par exemple pour la gestion des salaires, la gestion de la flotte, le stockage des données et d'autres services technologiques.
Avery Berkel doit s'assurer que les sous-traitants respectent la loi sur la protection des données et la présente politique dans leur gestion des données à caractère personnel. Les mesures de sécurité en matière d'information et de protection des données doivent être évaluées et mises en place avant et pendant la mission d'un sous-traitant. L'étendue de ces mesures dépendra de la nature des activités mais devra prévoir des évaluations des risques et des contrôles, ainsi que des obligations contractuelles.
Les informations sur les destinataires ou les catégories de destinataires des données à caractère personnel (y compris les sous-traitants et autres tiers) doivent être énoncées dans les déclarations de confidentialité, comme décrit à la section 1.
Ce que vous devez faire :
Vous pouvez partager ou divulguer les données à caractère personnel que nous détenons en interne uniquement à un employé, un agent ou un représentant d'Avery Berkel si le destinataire a besoin de ces informations dans le cadre de son travail.
Vous pouvez divulguer les données à caractère personnel que nous détenons à des prestataires de services ou tiers (y compris les filiales) uniquement dans les cas suivants :
- présence d'une finalité légitime et d'une justification juridique appropriée (par ex. nécessité de traiter les données à caractère personnel dans le cadre d'une prestation de service comme la gestion des activités de paie ou lorsque nous sommes légalement tenus de le faire) ;
- les personnes dont les données sont partagées ont été correctement informées (par ex. dans une déclaration de confidentialité) ;
- si les données sont divulguées à un prestataire de services, Avery Berkel a vérifié que les mesures adéquates de sécurité et de protection des données sont en place afin de protéger les données à caractère personnel en question ;
- le prestataire de service ou tiers a signé un contrat écrit qui contient les dispositions exigées par la loi sur la protection des données, et ;
- le transfert est conforme aux éventuelles restrictions de transfert à l'étranger, le cas échéant.
La communication régulière de données à caractère personnel à des destinataires établis (par ex. prestataires de service de gestion de paie ou filiales) dans le cadre de vos attributions régulières est généralement conforme aux exigences précitées. Veillez à toujours respecter les instructions particulières fournies par Avery Berkel. Si vous avez le moindre doute sur la légitimité de la communication de données à caractère personnel à des tiers, contactez toujours Morkel Muller, contrôleur général, par e-mail à l'adresse suivante : dataprotection@averyberkel.com.
9. Ne pas communiquer des données à caractère personnel vers l'étranger sans vérifier l'existence de mesures de protection appropriées
On entend par transfert de données à caractère personnel vers l'étranger la transmission ou l'envoi, la consultation, l'accès ou le traitement des données dans un autre pays. La loi sur la protection des données de l'Union européenne restreint, en particulier, le transfert des données à caractère personnel vers des pays n'appartenant pas à l'Espace économique européen (EEE, à savoir l'Union européenne plus la Norvège, le Liechtenstein et l'Islande), afin de garantir aux personnes un niveau de protection des données suffisant (les lois de certains pays ne prévoyant pas le même niveau de protection des données à caractère personnel qu'au sein de l'EEE).
Afin de garantir l'intégrité de la protection des données en cas de transfert des données à caractère personnel vers un autre pays, Avery Berkel évalue les risques liés aux transferts de données en dehors du Royaume-Uni (au titre des principes régissant la présente politique, ainsi que des restrictions sur les transferts en dehors de l'EEE) et met en place des mesures de protection appropriées supplémentaires lorsque la situation l'exige.
Ce que vous devez faire :
Si dans le cadre de votre travail vous êtes amené(e) à transférer des données à caractère personnel en dehors du Royaume-Uni ou de l'EEE, il convient de prendre les mesures de protection appropriées. Si le transfert vers l'étranger entre dans le cadre habituel de vos fonctions et de vos attributions, les mesures de protection mises en place par Avery Berkel suffisent à assurer le niveau de protection requis.
Cependant, si le transfert des données à caractère personnel vers l'étranger est exécuté dans des circonstances inhabituelles (par ex. activités de traitement nouvellement ajoutées à vos attributions, ou vers des pays avec lesquels vous n'avez encore jamais traité), contactez préalablement Morkel Muller, contrôleur général, par e-mail, à l'adresse suivante, dataprotection@averyberkel.com pour obtenir des conseils sur la procédure à suivre.
10. Signaler immédiatement toute violation de la protection des données
Avery Berkel prend les violations de la protection des données très au sérieux. Par « violation », on entend la perte ou l'égarement des équipements ou des données, l'utilisation de données inexactes ou excessives, le non-respect des droits des personnes, l'envoi accidentel de données à un destinataire erroné, l'accès illicite aux données, leur utilisation ou divulgation, les attaques délibérées contre les systèmes d'Avery Berkel ou le vol d'informations et toute autre violation équivalente dont se rendraient coupables les prestataires de services d'Avery Berkel.
En cas d'atteinte à la sécurité entraînant la destruction, la perte, la modification, la divulgation ou l'accès non autorisé accidentel ou illégal aux données à caractère personnel d'une personne, Avery Berkel prendra toutes les mesures immédiates pour l'identifier, l'analyser et y remédier et pour en avertir les parties concernées (voir plus bas). Avery Berkel a mis en place une procédure de gestion des violations qui énonce les mesures destinées à identifier et analyser les atteintes à la sécurité et à y remédier.
Si Avery Berkel prend connaissance d'une atteinte à la sécurité des données à caractère personnel susceptible de représenter un risque pour les droits et les libertés des personnes, nous en informerons l'ICO dans un délai de 72 heures à compter de la découverte.
Nous conservons également un fichier interne consignant toutes les violations de la sécurité des données à caractère personnel indépendamment de leurs conséquences et qu'elles aient été signalées ou pas à l'ICO.
Si une violation à la sécurité des données à caractère personnel est susceptible de représenter un risque important pour les droits et les libertés des personnes, nous en avertirons lesdites personnes et leur fournirons des informations sur les conséquences probables et les mesures d'atténuation que nous avons prises.
Ce que vous devez faire :
Si vous avez connaissance d'une violation (avérée ou suspectée) de la présente politique (y compris en particulier une atteinte à la sécurité), vous devez immédiatement la signaler à Morkel Muller, contrôleur général par e-mail à l'adresse suivante, dataprotection@averyberkel.com et prendre toutes les mesures requises conformes à la procédure de gestion des violations afin d'analyser et de remédier efficacement à la violation et garantir le respect des obligations de signalement d'Avery Berkel.
11. Ne pas avoir recours au profilage ou à la prise de décision automatisée sans y avoir été autorisé(e)
Le profilage ou la prise de décision automatisée consiste à traiter et à analyser les données à caractère personnel d'une personne par une méthode automatisée, résultant en une importante prise de décision en rapport avec la personne concernée. Ce procédé représente un risque pour les personnes dans la mesure où la décision repose exclusivement sur le profilage ou d'autres traitements automatisés.
Un exemple de prise de décision automatisée serait l'utilisation d'un test psychométrique en ligne pour disqualifier automatiquement les candidats à un poste n'ayant pas obtenu la note minimale (sans intervention humaine, comme l'étude des résultats par le responsable du recrutement).
La loi sur la protection des données interdit les prises de décision reposant exclusivement sur le profilage ou d'autres procédés automatisés, à l'exception de quelques cas très rares. Par ailleurs, lorsque le profilage ou la prise de décision automatisée est permise, des mesures de protection doivent être adoptées et les personnes doivent se voir permettre d'exprimer leur point de vue et de contester la décision. De manière générale, nous n'avons pas recours au profilage ni à la prise de décision automatisée concernant les données à caractère personnel des employés ou des clients.
Ce que vous devez faire :
Si le profilage ou la prise de décision automatisée entrent dans le cadre de votre travail, vous devez vous familiariser avec les mesures de protection pertinentes et les appliquer.
Si vous proposez d'introduire de nouvelles activités de profilage ou de prise de décision automatisée dans le cadre de votre travail, veuillez contacter Morkel Muller, contrôleur général par e-mail à l'adresse suivante, dataprotection@averyberkel.com afin de déterminer si cela est autorisé et d'identifier les mesures de protection à mettre en place.
12. Privilégier la protection des données dans les opérations
Au titre de la loi sur la protection des données, il incombe à Avery Berkel d'intégrer les considérations liées à la protection des données et les mesures de sécurité dans toutes ses opérations associées au traitement des données à caractère personnel, en particulier en début de projet ou d'activité susceptible d'avoir des conséquences sur la confidentialité des données. Il convient de tenir compte de divers facteurs, notamment :
- les risques (ainsi que leur probabilité et leur gravité) posés par le traitement des données pour les droits et les libertés des personnes ;
- les compétences technologiques ;
- le coût de mise en œuvre ; et
- la nature, la portée, le contexte et les finalités liés au traitement des données à caractère personnel.
Nous nous efforçons également d'évaluer à intervalles réguliers les risques liés à la protection des données tout au long du cycle de vie d'un projet ou d'une activité qui implique l'utilisation de données à caractère personnel.
Ce que vous devez faire :
Si vous participez à la conception ou à la mise en œuvre d'un nouveau projet ou d'une nouvelle activité qui implique le traitement de données à caractère personnel, vous devez prendre en considération tous les principes de protection des données énoncés dans la présente politique.
Vous devez aider le responsable RGPD en procédant à des bilans réguliers en cours de projet ou d'activité afin de déceler tout risque éventuel lié à la de protection des données.
L'analyse d'impact relative à la protection des données (DPIA) est un outil utile d'évaluation des considérations liées à la protection des données et à la confidentialité. La DPIA étudie la nécessité et la proportionnalité d'une opération de traitement, évalue les risques pour les personnes et détermine les mesures à mettre en place afin d'atténuer ces risques. La DPIA doit être réalisée si une opération de traitement des données risque de compromettre les droits et les libertés d'une personne.
Si vous participez à la conception ou à la mise en œuvre d'un nouveau projet qui implique le traitement de données à caractère personnel, vous devez vérifier auprès du responsable RGPD s'il est nécessaire de procéder à une DPIA ou à une évaluation similaire du risque ou de la conformité. Ce dernier vous conseillera sur la manière de réaliser, voire de participer à la DPIA ou toute autre évaluation des risques similaire.
Droits et requêtes
Au titre de la loi sur la protection des données, les personnes jouissent de certains droits au regard du traitement réservé à leurs données à caractère personnel. Les droits accordés sont les suivants :
- Droit de formuler une demande d'accès aux données. Cette demande permet à la personne de recevoir une copie des données à caractère personnel que nous détenons à son sujet, ainsi que des informations sur la manière dont nous traitons ses données et sur les raisons de leur traitement. Cela lui permet également de vérifier que nous exploitons ses données en toute légalité et, le cas échéant, de corriger des inexactitudes.
- Droit à demander la correction de données à caractère personnel incomplètes ou inexactes que nous détenons à son sujet.
- Droit au retrait du consentement préalablement accordé.
- Droit à demander la suppression ou le retrait des données à caractère personnel lorsqu'il n'y a plus de raison pour nous de poursuivre leur traitement. Les personnes ont également le droit de demander la suppression ou l'effacement de leurs données à caractère personnel lorsqu'elles se sont opposées à leur traitement (voir ci-dessous).
- Droit à s'opposer au traitement des données à caractère personnel à des fins de marketing direct, lorsque nous invoquons un intérêt légitime (ou celui d'un tiers), lorsque nous ne pouvons pas démontrer que nous avons des raisons impérieuses et légitimes de traiter les données à caractère personnel.
- Droit à demander la limite du traitement des données à caractère personnel. Cette démarche consiste à nous demander d'interrompre le traitement des données à caractère personnel pour établir, par exemple, l'exactitude des données ou déterminer les motifs de leur traitement.
- Droit à demander le transfert des données à caractère personnel, à savoir une personne réclame le transfert, à elle-même ou à un tiers, et dans un format structuré, de ses données à caractère personnel qu'elle avait communiquées (également appelé « Droit à la portabilité des données »). L'applicabilité de ce droit dépend des justifications juridiques à partir desquelles les données sont traitées.
- Droit de remettre en question une décision prise exclusivement sur la base d'un profilage/traitement automatisé afin d'obtenir l'intervention humaine et de faire valoir son point de vue.
Nous sommes tenus de respecter ces droits dans les meilleurs délais et pour certains droits, dans un délai d'un mois.
Les personnes ont également le droit d'adresser des réclamations auprès de l'autorité de protection des données et de former un recours devant les tribunaux pour faire valoir leurs droits et obtenir réparation du préjudice subi.
Ce que vous devez faire :
Si vous recevez une demande émise par une personne souhaitant exercer un droit en rapport avec ses données à caractère personnel, se renseigner ou se plaindre quant à notre utilisation de ses données à caractère personnel, vous devez immédiatement transmettre la demande ou la réclamation à Morkel Muller, contrôleur général, par e-mail à l'adresse suivante, dataprotection@averyberkel.com afin de nous permettre d'actualiser nos registres.
Conservation des registres
Pour respecter la loi sur la protection des données et prouver notre respect de cette loi, Avery Berkel conserve des registres de ses activités liées au traitement des données, notamment un registre de traitement qui se doit de contenir au minimum : la finalité du traitement ; les catégories de personnes et de données à caractère personnel ; les catégories de destinataires des données ; les informations sur les transferts internationaux de données ; les périodes de conservation anticipées ; les descriptions générales des mesures de sécurités appliquées ; et certaines informations complémentaires sur les données de catégorie spéciale.
Ce que vous devez faire :
Vous devez également respecter nos processus/directives en vigueur, ainsi que toute instruction spécifique concernant la conservation des registres sur notre traitement des données à caractère personnel.
Si, dans le cadre de votre travail, vous êtes amené(e) à traiter des données à caractère personnel et si vous recueillez de nouveaux types de données à caractère personnel ou entreprenez de nouveaux types d'activités de traitement des données, que ce soit à travers l'introduction de nouveaux systèmes ou technologies, ou en modifiant les systèmes existants, veuillez en informer Morkel Muller, contrôleur général, par e-mail à l'adresse suivante, dataprotection@averyberkel.com afin de nous permettre d'actualiser nos registres.
Formation
Tous les employés sont tenus de suivre une formation élémentaire sur le respect de la loi sur la protection des données et de la présente politique. Une formation complémentaire pourra être exigée pour des fonctions et activités spécifiques impliquant l'utilisation de données à caractère personnel.
À cette fin, nous assurons une formation destinée aux nouvelles recrues d'Avery Berkel afin de faciliter leur intégration professionnelle, et avons élaboré un programme de formation continue pour veiller à ce que les employés connaissent et comprennent les exigences de conformité dans le contexte de leur fonction. La participation aux formations est obligatoire et documentée.
Dérogation à la présente politique
Si des exemptions s'appliquent à votre fonction, vous recevrez des instructions précises à ce sujet.
Si vous pensez devoir vous écarter de la présente politique, vous devez contacter Morkel Muller, contrôleur général, par e-mail à l'adresse suivante, dataprotection@averyberkel.com avant de prendre la moindre décision.