​1.​ Introduction

1.1. Contexte du Règlement général sur la protection des données (« RGPD »)

Le Règlement général sur la protection des données de 2016 remplace la Directive européenne de 1995 sur la protection des données et les lois des États membres qui avaient été élaborées conformément à la directive 95/46/CE sur la protection des données. Le RGPD vise à protéger les « droits et libertés » des personnes physiques (c’est-à-dire les personnes vivantes) et à garantir le fait que les données à caractère personnel ne soient pas traitées à leur insu et, dans la mesure du possible, qu’elles soient traitées avec leur consentement.

​1.2.​ Définitions utilisées par Flowbird (tirées du RGPD)

Champ d’application matériel (Article 2) – le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un système de fichiers.

Champ d’application territorial (Article 3) – le RGPD s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire de l’UE (Union européenne). Il s’applique également au traitement des données à caractère personnel dans le but d’offrir des biens et des services ou de surveiller le comportement des personnes concernées qui résident dans l’UE.

​1.3.​ Article 4 définitions

Établissement – l’établissement principal du responsable du traitement dans l’UE correspond au lieu dans lequel le responsable du traitement prend les principales décisions quant à la finalité et aux moyens de ses activités de traitement des données. L’établissement principal d’un sous-traitant dans l’UE correspondra au lieu de son administration centrale. Si un responsable du traitement est basé en dehors de l’UE, il devra désigner un représentant dans la juridiction dans laquelle le responsable du traitement exerce ses activités, qui agira au nom du responsable du traitement et traitera avec les autorités de contrôle.

Données à caractère personnel – toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable étant une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tels qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par référence à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Catégories spécifiques de données à caractère personnel – données à caractère personnel indiquant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, et le traitement de données génétiques et biométriques à des fins d’identification unique d’une personne physique, de données relatives à la santé ou de données concernant la vie ou l’orientation sexuelle d’une personne physique.

Responsable du traitement – la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit de l’État membre.

Personne concernée – toute personne vivante dont les données à caractère personnel sont détenues par une organisation.

Traitement – toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Profilage – toute forme de traitement automatisé de données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la localisation, la santé, les préférences personnelles, la fiabilité ou le comportement de cette personne physique. Cette définition est liée au droit de la personne concernée de s’opposer au profilage et au droit d’être informée de l’existence du profilage, de mesures fondées sur le profilage et des effets envisagés du profilage sur l’individu.

Violation des données à caractère personnel – une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Le responsable du traitement est tenu de signaler les violations des données à caractère personnel à l’autorité de contrôle et les cas dans lesquels la violation est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée de la personne concernée.

Consentement de la personne concernée – désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, via une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Enfant – dans le cadre du RGPD, un enfant désigne toute personne âgée de moins de 16 ans, bien que ce chiffre puisse être ramené à 13 en vertu de la législation des États membres. Le traitement des données à caractère personnel d’un enfant n’est licite que si le consentement des parents ou du tuteur a été obtenu. Le responsable du traitement déploiera des efforts raisonnables pour vérifier, dans de tels cas, que le consentement a été donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Tiers – une personne physique ou morale, une autorité publique, un service ou un organisme autres que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Système de fichiers – tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

​2.​ Déclaration de politique

​2.1.​ La Haute direction/le Conseil d’administration et la direction de Flowbird, situés au 100 Avenue de Suffren, 75015 Paris, France, s’engagent à respecter toutes les lois de l’UE et des États membres en matière de données à caractère personnel, ainsi que la protection des « droits et libertés » des personnes dont Flowbird collecte et traite les informations, conformément au Règlement général sur la protection des données (RGPD).

​2.2.​ Le respect du RGPD est décrit dans la présente politique et dans d’autres politiques pertinentes comme la Politique sur la sécurité des systèmes d’information, ainsi que dans les processus et procédures connexes.

​2.3.​ Le RGPD et la présente politique s’appliquent à toutes les fonctions de traitement des données à caractère personnel de Flowbird, y compris celles effectuées sur les données à caractère personnel des clients, des employés, des fournisseurs et des partenaires, ainsi que toutes les autres données à caractère personnel que l’organisation traite, quelle qu’en soit la source.

​2.4.​ Flowbird a fixé des objectifs en matière de protection des données et de protection de la vie privée, qui figurent dans la présente Politique et dans le Rapport sur les objectifs du RGPD.

​2.5.​ Le Délégué à la protection des données/Coordinateur du RGPD est responsable de la révision annuelle du registre des traitements à la lumière de toute modification des activités de Flowbird et de toute exigence supplémentaire identifiées au moyen d’évaluations des risques. Ce registre doit être mis à la disposition sur demande de l’autorité de contrôle.

​2.6.​ La présente politique s’applique à tous les Employés/l’ensemble du Personnel et parties intéressées de Flowbird tels que les prestataires. Toute violation du RGPD ou de la présente Politique sera traitée selon le cadre des sanctions disciplinaires de Flowbird et peut également constituer une infraction pénale, auquel cas elle sera signalée dès que possible aux autorités compétentes.

​2.7.​ Les partenaires et tout tiers travaillant avec ou pour Flowbird et qui ont ou sont susceptibles d’avoir accès aux données à caractère personnel devront avoir lu, compris et se conformer à la présente politique. Aucun tiers ne peut accéder aux données à caractère personnel détenues par Flowbird sans avoir préalablement conclu un accord de confidentialité au regard des données, qui impose aux tiers des obligations non moins astreignantes que celles incombant à Flowbird, et qui autorise Flowbird à vérifier le respect de l’accord.

​3.​ Responsabilités et rôles dans le cadre du Règlement général sur la protection des données

​3.1.​ Flowbird contrôle et traite des données dans le cadre du RGPD.

​3.2.​ La Haute direction et toutes les personnes occupant des postes de direction ou de contrôle chez Flowbird sont responsables de l’élaboration et de la valorisation des bonnes pratiques en matière de manipulation des informations au sein de Flowbird ; les responsabilités sont définies dans les descriptions de poste individuelles.

​3.3.​ Le Délégué à la protection des données/Coordinateur du RGPD , dont le rôle est précisé dans le RGPD, est un membre de l’équipe de direction et est responsable auprès de la Haute direction/du Conseil d’administration de Flowbird au regard de la gestion des données à caractère personnel au sein de Flowbird, et il doit veiller à ce que le respect de la législation et des bonnes pratiques en matière de protection des données puisse être démontré. Cette responsabilité comprend :

​3.3.1.​ le développement et la mise en œuvre du RGPD tel que requis par la présente politique ; et

​3.3.2.​ la gestion de la sécurité et des risques en lien avec le respect de la politique.

​3.4.​ Le Délégué à la protection des données, que la Haute direction/le Conseil d’administration considère comme étant qualifié et expérimenté, a été nommé pour assumer la responsabilité du respect par Flowbird de la présente politique au quotidien et, en particulier, il est directement chargé de veiller à ce que Flowbird se conforme au RGPD, tout comme le font les Cadres (génériques/métiers) en ce qui concerne le traitement des données survenant dans leur domaine de responsabilité.

​3.5.​ Le Délégué à la protection des données/Coordinateur du RGPD a des responsabilités spécifiques en ce qui concerne les procédures telles que la Procédure de demande d’accès et il constitue le premier point d’appel pour les Employés/le Personnel souhaitant obtenir des éclaircissements sur tout aspect du respect de la protection des données.

​3.6.​ Le respect de la législation sur la protection des données relève de la responsabilité de tous les Employés/l’ensemble du Personnel de Flowbird en charge du traitement de données à caractère personnel.

​3.7.​ La Politique de formation de Flowbird définit les exigences spécifiques en matière de formation et de sensibilisation en relation avec les rôles spécifiques et les Employés/le Personnel de Flowbird en général.

​3.8.​ Les Employés/le Personnel de Flowbird sont chargés de veiller à ce que toutes les données à caractère personnel les concernant et qu’ils fournissent à Flowbird soient exactes et à jour.

​4.​ Principes concernant la protection des données

Tout traitement de données à caractère personnel doit être effectué conformément aux principes de protection des données énoncés à l’Article 5 du RGPD. Les politiques et lignes directrices de Flowbird ont été conçues pour veiller au respect des principes.

​4.1.​ Les données à caractère personnel doivent être traitées de manière licite, honnête et transparente.

Caractère licite – identifier une base licite avant de pouvoir traiter des données à caractère personnel. Il s’agit de ce que l’on appelle « les conditions de traitement », par exemple le consentement.

Caractère loyal – pour que le traitement soit honnête, le responsable du traitement doit mettre certaines informations à la disposition des personnes concernées, dans la mesure du possible. Cela s’applique, que les données à caractère personnel aient été obtenues directement auprès des personnes concernées ou auprès d’autres sources.

Le RGPD a renforcé les exigences concernant les informations devant être mises à la disposition des personnes concernées, ce qui est couvert par l’exigence de « transparence ».

Transparence – le RGPD comprend des règles sur la délivrance d’informations relatives à la protection de la vie privée aux personnes concernées aux Articles 12, 13 et 14. Celles-ci sont détaillées et spécifiques, elles mettent l’accent sur la nécessité de rendre les avis de confidentialité compréhensibles et accessibles. Les informations doivent être communiquées à la personne concernée sous une forme intelligible, dans un langage clair et simple.

La Procédure d’avis de confidentialité de Flowbird est décrite dans une Directive et l’Avis de confidentialité est enregistré.

Les informations spécifiques à fournir à la personne concernée doivent comprendre, au minimum :

​4.1.1.​ l’identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant ;

​4.1.2.​ les coordonnées du Délégué à la protection des données ;

​4.1.3.​ les finalités du traitement auquel les données à caractère personnel sont destinées, ainsi que la base juridique du traitement ;

​4.1.4.​ la période pendant laquelle les données à caractère personnel seront conservées ;

​4.1.5.​ l’existence de droits de demande d’accès, de rectification, d’effacement ou d’opposition au traitement, ainsi que les conditions (ou l’absence de conditions) relatives à l’exercice de ces droits, par exemple si la licéité du traitement antérieur sera affectée ;

​4.1.6.​ les catégories de données à caractère personnel concernées ;

​4.1.7.​ les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant ;

​4.1.8.​ le cas échéant, le fait que le responsable du traitement a l’intention de transférer des données à caractère personnel à un destinataire dans un pays tiers et le niveau de protection garanti des données ;

​4.1.9.​ toute autre information nécessaire afin de garantir un traitement honnête.

​4.2.​ Les données à caractère personnel ne peuvent être collectées qu’à des fins spécifiques, explicites et légitimes.

Les données obtenues à des fins spécifiques ne doivent pas être utilisées à des fins différentes de celles qui ont été officiellement notifiées à l’autorité de contrôle dans le cadre du registre de traitement du RGPD de Flowbird. Le portail Flowbird InfoSec énonce les procédures pertinentes.

4.3.​ Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au traitement.

​4.3.1.​ Le Délégué à la protection des données/Coordinateur du RGPD est chargé de veiller à ce que Flowbird ne recueille pas d’informations qui ne sont pas strictement nécessaires aux fins pour lesquelles elles ont été obtenues par le biais de la procédure d’évaluation des risques.

​4.3.2.​ Tous les formulaires de collecte de données (électroniques ou sur papier), y compris les exigences en matière de collecte de données dans les nouveaux systèmes d’information, doivent inclure une déclaration de traitement équitable ou un lien vers la déclaration de confidentialité et ils doivent avoir été approuvés par le Délégué à la protection des données.

​4.3.3.​ Le Délégué à la protection des données/Coordinateur du RGPD veillera à ce que, sur une base annuelle, toutes les méthodes de collecte de données soient examinées via un audit interne ou par des experts externes afin de s’assurer que les données collectées continuent d’être adéquates, pertinentes et non excessives.

​4.4.​ Les données à caractère personnel doivent être exactes et tenues à jour et tout doit être mis en œuvre pour les effacer ou les rectifier au plus vite.

​4.4.1.​ Les données stockées par le responsable du traitement doivent être examinées et mises à jour si nécessaire. Aucune donnée ne doit être conservée, à moins de supposer raisonnablement qu’elle est exacte.

​4.4.2.​ Le Délégué à la protection des données est chargé de veiller à ce que l’ensemble du personnel soit formé à l’importance que revêt la collecte de données exactes et leur mise à jour.

​4.4.3.​ Il incombe également à la personne concernée de veiller à ce que les données détenues par Flowbird soient exactes et à jour. Le fait qu’une personne concernée remplisse un formulaire d’enregistrement ou de demande inclura une déclaration selon laquelle les données qu’il contient sont exactes à la date de soumission.

​4.4.4.​ Les employés/le personnel/les clients/autres sont tenus d’informer Flowbird de tout changement de circonstances afin que les dossiers personnels puissent être mis à jour en conséquence. Les instructions concernant la mise à jour des dossiers sont contenues dans des documents dédiés. Il est de la responsabilité de Flowbird de s’assurer que toute notification concernant un changement de circonstances est enregistrée et qu’il y est donné suite.

​4.4.5.​ Le Délégué à la protection des données/Coordinateur du RGPD est chargé de veiller à ce que des procédures et des politiques appropriées soient mises en place pour garantir l’exactitude et la mise à jour des données à caractère personnel, en tenant compte du volume de données collectées, de la vitesse à laquelle elles peuvent être modifiées et de tout autre facteur pertinent.

​4.4.6.​ Au moins une fois par an, le Délégué à la protection des données/Coordinateur du RGPD examinera les dates de conservation de toutes les données à caractère personnel traitées par Flowbird, par référence à l’inventaire des données, et identifiera toute donnée qui n’est plus nécessaire dans le contexte de la finalité enregistrée. Ces données seront effacées/détruites en toute sécurité et conformément à une Procédure d’élimination sécurisée des supports de stockage.

​4.4.7.​ Le Délégué à la protection des données/Coordinateur du RGPD est chargé de répondre aux demandes de rectification des personnes concernées dans un délai d’un mois. Cette période peut être prolongée de deux mois supplémentaires pour les demandes complexes. Si Flowbird décide de ne pas se conformer à la demande, le Délégué à la protection des données/Coordinateur du RGPD doit répondre à la personne concernée pour lui expliquer son raisonnement et l’informer de son droit de porter plainte auprès de l’autorité de contrôle afin de présenter un recours judiciaire.

​4.4.8.​ Le Délégué à la protection des données/Coordinateur du RGPD est chargé de prendre les dispositions appropriées pour indiquer aux organisations tierces susceptibles d’avoir transmis des données à caractère personnel inexactes ou obsolètes que les informations sont inexactes et/ou obsolètes et qu’elles ne doivent pas être utilisées pour éclairer des décisions quant aux personnes concernées ; et pour transmettre toute correction des données personnelles à la tierce partie lorsque cela est nécessaire.

4.5.​ Les données à caractère personnel doivent être conservées sous une forme telle que la personne concernée pourra être identifiée exclusivement pendant la durée nécessaire au traitement.

​4.5.1.​ Lorsque des données à caractère personnel sont conservées au-delà de la date de traitement, elles seront réduites à leur minimum/cryptées/pseudonymisées afin de protéger l’identité de la personne concernée en cas de violation des données.

​4.5.2.​ Les données à caractère personnel seront conservées conformément à la Procédure de conservation des dossiers et, une fois la date de conservation dépassée, elles doivent être détruites en toute sécurité, comme le prévoit la présente procédure.

​4.5.3.​ Le Délégué à la protection des données/Coordinateur du RGPD doit approuver spécifiquement toute conservation de données au-delà des périodes de conservation définies dans la Procédure de conservation des dossiers, et doit s’assurer que la justification est clairement identifiée et conforme aux exigences de la législation sur la protection des données. Cette approbation doit être fournie par écrit.

​4.6.​ Les données à caractère personnel doivent être traitées de manière à assurer la sécurité appropriée (voir Articles 24 et 32 du RGPD).

Le Délégué à la protection des données/Coordinateur du RGPD effectuera une évaluation des risques en tenant compte de toutes les circonstances des opérations de contrôle ou de traitement de Flowbird.

Pour déterminer le caractère approprié, le Délégué à la protection des données/Coordinateur du RGPD doit également tenir compte de l’étendue des torts ou pertes susceptibles d’être subis par les personnes (par exemple, le personnel ou les clients) en cas de violation de la sécurité, de l’effet de toute violation de la sécurité sur Flowbird elle-même, et de toute atteinte probable à la réputation, y compris la perte de confiance éventuelle des clients.

Lors de l’évaluation des mesures techniques appropriées, le Délégué à la protection des données/Coordinateur du RGPD tiendra compte de ce qui suit :

  • Protection du mot de passe ;
  • Verrouillage automatique des terminaux inactifs ;
  • Cryptage des données sensibles, en particulier sur du matériel susceptible d’être perdu ;
  • Logiciel de vérification des virus et pare-feux ;
  • Droits d’accès fondés sur les rôles, y compris ceux attribués au personnel temporaire ;
  • Cryptage des appareils qui quittent les locaux de l’organisation, tels que les ordinateurs portables ;
  • Sécurité des réseaux locaux et étendus ;
  • Technologies renforçant la protection de la vie privée telles que la pseudonymisation et l’anonymisation ;
  • Identification des normes de sécurité internationales pertinentes pour Flowbird.

Lors de l’évaluation des mesures organisationnelles appropriées, le Délégué à la protection des données/Coordinateur du RGPD tiendra compte de ce qui suit :

  • Le caractère approprié des niveaux de formation au sein de Flowbird ;
  • Les critères qui tiennent compte de la fiabilité des employés (comme les références, etc.) ;
  • L’inclusion de la protection des données dans les contrats de travail ;
  • L’identification des mesures disciplinaires en cas de non-respect de la protection des données ;
  • Le contrôle du respect des normes de sécurité pertinentes par le personnel ;
  • Les contrôles d’accès physique aux documents électroniques et papier ;
  • L’adoption d’une politique de sécurisation du poste de travail ;
  • Le stockage des données papier dans des armoires coupe-feu pouvant être verrouillées ;
  • La limitation de l’utilisation d’appareils électroniques portatifs à l’extérieur du lieu de travail ;
  • La limitation de l’utilisation des appareils personnels des employés (BYOD) sur le lieu de travail ;
  • L’adoption de règles claires en matière de mots de passe ;
  • Les sauvegardes régulières des données à caractère personnel et le stockage des supports hors site ;
  • L’imposition d’obligations contractuelles aux organisations importatrices afin qu’elles prennent les mesures de sécurité appropriées lors du transfert de données en dehors de l’EEE.

Ces contrôles ont été sélectionnés sur la base des risques identifiés pour les données à caractère personnel et des risques potentiels de torts ou de préjudices aux personnes dont les données sont traitées.

Le respect par Flowbird du 6e principe (Intégrité et Confidentialité) est contenu dans ses processus de Gestion de la sécurité des informations, qui ont été développés conformément à la norme ISO/IEC 27001:2013 et à la politique de sécurité des systèmes d’information.

​4.7.​ Le responsable du traitement doit être en mesure de démontrer le respect des autres principes du RGPD (responsabilité)

Le RGPD comprend des dispositions qui favorisent la responsabilité et la gouvernance. Celles-ci complètent les exigences de transparence du RGPD. Le principe de responsabilité énoncé à l’Article 5(2) vous oblige à démontrer que vous vous conformez aux principes et déclare explicitement qu’il s’agit de votre responsabilité.

Flowbird démontrera le respect des principes de protection des données en mettant en œuvre des politiques de protection des données, en adhérant aux codes de conduite, en mettant en œuvre des mesures techniques et organisationnelles, ainsi qu’en adoptant des techniques telles que la protection des données dès la conception, les DPIA, les procédures de notification de violation et les plans de réponse aux incidents.

​5.​ Droits des personnes concernées

​5.1.​ Les droits des personnes concernées en ce qui concerne le traitement des données et les données qui sont enregistrées à leur sujet sont les suivants

​5.1.1.​ Présenter des demandes d’accès à l’information pour connaître la nature de l’information détenue et savoir à qui elle a été divulguée.

​5.1.2.​ Éviter tout traitement susceptible de causer des torts ou des préjudices.

​5.1.3.​ Éviter tout traitement à des fins de marketing direct.

​5.1.4.​ Être informé au regard des mécanismes de prise de décision automatisée qui les affecteront de manière significative.

​5.1.5.​ Ne pas subir de décisions importantes prises uniquement par un processus automatisé et qui les affecteront.

​5.1.6.​ Engager des poursuites en indemnisation si elles subissent un tort suite à une infraction au regard du RGPD.

​5.1.7.​ Prendre des mesures pour rectifier, bloquer, effacer, y compris le droit à l’oubli, ou détruire des données inexactes.

​5.1.8.​ Demander à l’autorité de contrôle d’évaluer si une disposition du RGPD a été enfreinte.

​5.1.9.​ Se voir fournir des données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, ainsi que le droit de transmettre ces données à un autre responsable du traitement.

​5.1.10.​ S’opposer à tout profilage automatisé sans consentement.

​5.2.​ Flowbird veille à ce que les personnes concernées puissent exercer les droits suivants

​5.2.1.​ Les personnes concernées peuvent présenter des demandes d’accès aux données tel que décrit dans la Procédure de demande d’accès ; cette procédure décrit également la façon dont Flowbird veillera à ce que la réponse apportée à la demande d’accès aux données respecte les exigences du RGPD.

​5.2.2.​ Les personnes concernées ont le droit de porter plainte auprès de Flowbird en ce qui concerne le traitement de leurs données à caractère personnel, la gestion d’une demande émanant d’une personne concernée et les recours formés par une personne concernée sur la manière dont les réclamations ont été traitées conformément à la Procédure de traitement des réclamations.

​6.​ Consentement

​6.1.​ Par « consentement », Flowbird désigne le fait qu’il a été donné explicitement et librement, et qu’il s’agit d’une indication libre, spécifique, éclairée et univoque des souhaits de la personne concernée par laquelle ladite personne concernée accepte, via une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. La personne concernée peut retirer son consentement à tout moment.

​6.2.​ Par « consentement », Flowbird désigne le fait que la personne concernée a été pleinement informée du traitement envisagé et qu’elle a donné son accord en étant en pleine possession de ses moyens et sans qu’aucune pression ne soit exercée sur elle. Le consentement obtenu sous la contrainte ou sur la base de fausses informations ne constituera pas une base valable pour le traitement.

​6.3.​ Afin de démontrer le caractère actif du consentement, la communication entre les parties doit être active. Le consentement ne peut être déduit de l’absence de réponse à une communication. Le responsable du traitement doit être en mesure de démontrer que le consentement au traitement a été obtenu.

​6.4.​ En ce qui concerne les données sensibles, le consentement écrit explicite des personnes concernées doit être obtenu, à moins qu’il n’existe une autre base légitime pour le traitement.

​6.5.​ Dans la plupart des cas, Flowbird obtient le consentement au traitement des données à caractère personnel et sensibles à l’aide de documents de consentement standard, par exemple lorsqu’un nouveau client signe un contrat ou lors de l’admission des participants aux programmes.

​6.6.​ Lorsque Flowbird fournit des services en ligne à des enfants, une autorisation parentale ou de la part de la personne qui a la garde de l’enfant doit être obtenue. Cette exigence s’applique aux enfants de moins de 16 ans (sauf si l’État membre a prévu une limite d’âge inférieure, qui ne peut être inférieure à 13 ans).

​7.​ Sécurité des données

​7.1.​ Tous les Employés/l’ensemble du Personnel sont chargés de veiller à ce que toutes les données à caractère personnel que Flowbird détient et dont ils sont responsables soient conservées en toute sécurité et qu’elles ne soient, sous aucun prétexte, divulguées à un tiers, sauf si ce tiers a été spécifiquement autorisé par Flowbird à recevoir ces informations et a conclu un accord de confidentialité.

​7.2.​ Toutes les données à caractère personnel ne doivent être accessibles qu’à ceux qui en ont besoin, et l’accès ne peut être accordé que conformément à la Politique de contrôle d’accès. Toutes les données à caractère personnel doivent être traitées avec la plus grande prudence et doivent être conservées :

  • dans une pièce pouvant être verrouillée et avec un accès contrôlé ; et/ou
  • dans un tiroir ou une armoire de classement verrouillé(e) ; et/ou
  • si les données sont informatisées, elles doivent être protégées par un mot de passe, conformément aux exigences de l’entreprise énoncées dans la Politique de contrôle d’accès ; et/ou
  • stockées sur des supports informatiques (amovibles) cryptés, conformément à l’Élimination sécurisée des supports de stockage.

​7.3.​ Il faut veiller à ce que les écrans et les terminaux de PC ne soient pas visibles, sauf pour les Employés/le Personnel autorisés de Flowbird. Tous les Employés/l’ensemble du Personnel sont tenus de conclure un Accord d’utilisation acceptable avant d’avoir accès à des informations organisationnelles, de quelque nature que ce soit, qui détaillent les règles relatives aux temps d’arrêt des écrans.

​7.4.​ Les dossiers manuels ne doivent pas être laissés à un emplacement où ils peuvent être consultés par du personnel non autorisé et ils ne peuvent être retirés des locaux commerciaux sans autorisation écrite explicite. Dès que les dossiers manuels ne sont plus nécessaires dans le cadre de l’assistance quotidienne apportée aux clients, ils doivent être retirés de l’archivage sécurisé, conformément à la Procédure de gestion des dossiers manuels.

​7.5.​ Les données à caractère personnel ne peuvent être effacées ou supprimées que dans le cadre de la Procédure de conservation des dossiers. Les dossiers manuels qui ont atteint la limite de délai de conservation doivent être broyés et éliminés en tant que « déchets confidentiels ». Les disques durs des PC superflus doivent être retirés et immédiatement détruits, selon la procédure d’élimination.

​7.6.​ Le traitement des données à caractère personnel « hors site » présente un risque potentiellement plus élevé de perte, de vol ou de détérioration des données à caractère personnel. Le personnel doit être spécifiquement autorisé à traiter les données hors site en se référant aux modalités de travail flexibles et à distance.

​8.​ Divulgation des données

​8.1.​ Flowbird doit veiller à ce que les données à caractère personnel ne soient pas divulguées à des tiers non autorisés, y compris les membres de la famille et les amis. Tous les Employés/l’ensemble du Personnel doivent faire preuve de prudence lorsqu’on leur demande de divulguer à un tiers des données à caractère personnel qu’ils détiennent au regard d’une autre personne. Il est important de décider si la divulgation de l’information est pertinente et nécessaire à la conduite des affaires de Flowbird. Certaines divulgations sans consentement sont autorisées par le RGPD, à condition que les informations soient demandées pour l’une ou plusieurs des fins suivantes :

  • la protection de la sécurité nationale ;
  • la prévention ou la détection de la criminalité, y compris l’arrestation ou la poursuite des contrevenants ;
  • l’imposition ou le recouvrement des impôts ;
  • l’exercice de fonctions de réglementation (y compris la santé, la sécurité et le bien-être des personnes au travail) ;
  • pour empêcher qu’un tiers ne subisse un préjudice grave ;
  • la protection les intérêts vitaux de l’individu, c’est-à-dire les situations dans lesquelles il est question de vie ou de mort.   

​8.2.​ Toutes les demandes de communication de données pour l’une de ces raisons doivent être étayées par des documents appropriés et toutes ces divulgations doivent être spécifiquement autorisées par le Délégué à la protection des données/Coordinateur du RGPD.

​9.​ Conservation et élimination des données

​9.1.​ Flowbird ne conservera pas les données à caractère personnel sous une forme permettant l’identification des personnes concernées sur une période plus longue que nécessaire, en lien avec la ou les finalités pour lesquelles les données ont été collectées à l’origine.

​9.2.​ Flowbird peut conserver les données sur des périodes plus longues si les données à caractère personnel sont traitées uniquement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre de mesures techniques et organisationnelles appropriées pour préserver les droits et libertés de la personne concernée.

​9.3.​ La période de conservation pour chaque catégorie de données à caractère personnel sera définie dans la Procédure de conservation des dossiers, tout comme les critères utilisés pour déterminer cette période, y compris toute obligation statutaire pour Flowbird de conserver les données.

​9.4.​ Les procédures de conservation et d’élimination des données de Flowbird (Procédure de retrait du stockage) s’appliqueront dans tous les cas.

​9.5.​ Les données à caractère personnel doivent être éliminées en toute sécurité, conformément au sixième principe du RGPD – traitées de manière appropriée pour préserver la sécurité, protégeant ainsi les « droits et libertés » des personnes concernées. Toute élimination des données se fera conformément à la procédure d’élimination sécurisée.

​10.​ Transferts des données

​10.1.​ Toutes les exportations de données de l’Espace économique européen (EEE) vers des pays non membres de l’Espace économique européen (dénommés « pays tiers » dans le RGPD) sont illégales, à moins qu’il n’existe un « niveau approprié de protection des droits fondamentaux des personnes concernées ».

Le transfert de données à caractère personnel en dehors de l’EEE est interdit, à moins qu’une ou plusieurs des garanties ou exceptions spécifiées ne s’appliquent :

​10.1.1.​ Une décision d’adéquation

La Commission européenne peut évaluer, et elle évalue, des pays tiers, un territoire et/ou des secteurs spécifiques au sein de pays tiers pour déterminer si le niveau de protection des droits et libertés des personnes physiques est approprié. Dans ce cas, aucune autorisation n’est requise.

Les pays qui sont membres de l’Espace économique européen (EEE) sans être membres de l’UE sont considérés comme satisfaisant aux conditions d’une décision d’adéquation.

Une liste des pays qui satisfont actuellement aux exigences d’adéquation de la Commission est publiée au Journal officiel de l’Union européenne. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

​10.1.2.​ Bouclier de protection de la vie privée

Si Flowbird souhaite transférer des données à caractère personnel de l’UE vers une organisation aux États-Unis, elle doit vérifier que l’organisation est liée contractuellement dans le cadre du Bouclier de protection de la vie privée du ministère américain du Commerce. Les obligations qui s’appliquent aux entreprises participant au Bouclier de protection de la vie privée sont contenues dans les « Principes de protection de la vie privée ». Le ministère du Commerce américain est chargé de gérer et d’administrer le Bouclier de protection de la vie privée et de veiller à ce que les entreprises respectent leurs engagements. À des fins de certification, les entreprises doivent avoir une politique de confidentialité conforme aux Principes de confidentialité, par exemple l’utilisation, le stockage et le transfert ultérieur des données à caractère personnel conformément à un ensemble de règles et de garanties strictes en matière de protection des données. La protection accordée aux données à caractère personnel s’applique indépendamment du fait que les données à caractère personnel soient liées ou non à un résident de l’UE. Les organisations doivent renouveler leur « adhésion » au Bouclier de la protection de la vie privée sur une base annuelle. Si elles ne le font pas, elles ne peuvent plus recevoir ni utiliser les données à caractère personnel provenant de l’UE dans ce cadre.

Évaluation de l’adéquation par le responsable du traitement des données

Lors de l’évaluation de l’adéquation, le responsable du traitement exportateur basé au Royaume-Uni doit tenir compte des facteurs suivants :

  • la nature de l’information transférée ;
  • le pays ou le territoire d’origine et la destination finale de l’information ;
  • la façon dont l’information sera utilisée et la durée d’utilisation ;
  • les lois et pratiques du pays du bénéficiaire du transfert, y compris les codes de pratique pertinents et les obligations internationales.

​10.1.3.​ Règles d’entreprise contraignantes

Flowbird peut adopter des règles d’entreprise contraignantes approuvées pour le transfert de données en dehors de l’UE. Pour ce faire, il faut soumettre à l’autorité de surveillance compétente l’approbation des règles sur lesquelles Flowbird cherche à s’appuyer.

​10.1.4.​ Clauses contractuelles types

Flowbird peut adopter des clauses contractuelles types approuvées pour le transfert de données en dehors de l’EEE. Si Flowbird adopte les [clauses contractuelles types approuvées par l’autorité de surveillance compétente], la reconnaissance de l’adéquation est automatique.

​10.1.5.​ Exceptions

En l’absence de décision d’adéquation, d’adhésion au Bouclier de protection de la vie privée, de règles d’entreprise contraignantes et/ou de clauses contractuelles types, un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :

  • la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques éventuels de tels transferts pour la personne concernée en raison de l’absence de décision d’adéquation et de garanties appropriées ;
  • le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises lors de la demande de la personne concernée ;
  • le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
  • le transfert est nécessaire pour des raisons importantes d’intérêt public ;
  • le transfert est nécessaire à l’établissement, à l’exercice ou à la défense de droits juridiques ; et/ou
  • le transfert est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement.

​11.​ Registre des informations/inventaire des données

​11.1.​ Flowbird a établi un processus d’inventaire des données et de flux de données dans le cadre de son approche destinée à faire face aux risques et aux opportunités tout au long de son projet de conformité au RGPD. L’inventaire et le flux de données de Flowbird déterminent :

  • les processus commerciaux qui utilisent des données à caractère personnel ;
  • la source des données à caractère personnel ;
  • le nombre de personnes concernées ;
  • la description de chaque élément de données à caractère personnel ;
  • l’activité de traitement ;
  • la tenue à jour de l’inventaire des catégories de données des données à caractère personnel traitées ;
  • documente la ou les finalités pour lesquelles chaque catégorie de données à caractère personnel est utilisée ;
  • les destinataires et les destinataires potentiels des données à caractère personnel ;
  • le rôle de Flowbird tout au long du flux de données ;
  • les principaux systèmes et référentiels ;
  • tout transfert de données (transferts internationaux) ; et
  • toutes les exigences en matière de conservation et d’élimination.

​11.2.​ Flowbird est conscient des risques associés au traitement de certains types de données à caractère personnel.

​11.2.1.​ Flowbird évalue le niveau de risque pour les personnes associées au traitement de leurs données à caractère personnel. Les évaluations d’impact sur la protection des données (DPIA) sont effectuées par Flowbird en relation avec le traitement des données à caractère personnel et en relation avec le traitement entrepris par d’autres organisations pour le compte de Flowbird.

​11.2.2.​ Flowbird gérera tous les risques identifiés par l’évaluation des risques afin de réduire la probabilité d’un non-respect de la présente politique.

​11.2.3.​ Lorsqu’un type de traitement, notamment à l’aide de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, Flowbird procédera, préalablement au traitement, à une évaluation de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule DPIA peut traiter un ensemble d’opérations de traitement similaires présentant des risques élevés similaires.

​11.2.4.​ Lorsque, à la suite d’une DPIA, il est clair que Flowbird est sur le point de commencer le traitement de données à caractère personnel susceptible de causer un tort et/ou un préjudice aux personnes concernées, la décision quant à savoir si Flowbird peut ou non poursuivre le traitement doit être soumise à l’examen du Délégué à la protection des données/du Coordinateur du RGPD.

​11.2.5.​ S’il existe des préoccupations importantes, au regard du tort ou du préjudice potentiel, en ce qui concerne la quantité de données concernées, le Délégué à la protection des données/Coordinateur du RGPD doit soumettre la question à l’autorité de contrôle.

​11.2.6.​ Les contrôles appropriés seront choisis principalement à partir de l’Annexe A des normes ISO 27001, ISO 27017, ISO 27018, etc. et ils seront appliqués de manière à réduire le niveau de risque associé au traitement des données individuelles à un niveau acceptable, en se référant aux critères d’acceptation des risques documentés de Flowbird et aux exigences du RGPD.

​12.​ Propriétaire du document et approbation

Le Délégué à la protection des données/Coordinateur du RGPD est le propriétaire du présent document et doit veiller à ce que le présent document de politique soit examiné conformément aux exigences d’examen mentionnées ci-dessus.

Une version à jour du présent document est à la disposition de tous les membres du personnel sur le site Internet https://infosec.parkeon.com/policy.

La présente politique a été approuvée par la Haute direction/le Conseil d’administration et est publiée sur une base de version contrôlée sous la signature du Président directeur général (PDG).

 

(1) Politique [5.1.1] – Politique sur la sécurité des systèmes d’information
(2) Registre des traitements effectués par Flowbird
(3) LIGNES DIRECTRICES [18.1.4] – Comment informer les individus dont les données sont collectées
(4) https://infosec.parkeon.com/policy
(5) Procédure [1] – Procédure d’évaluation des risques
(6) LIGNES DIRECTRICES [18.1.4] – Comment se conformer au RGPD en 6 étapes
(7) Procédure [16.1.1] – Procédure de gestion des incidents de sécurité
(8) Procédure [1] – Procédure d’évaluation des risques
(9) Base de référence [12.1] – Sécurité des opérations
(10) Politique [5.1.1] – Politique de sécurité des systèmes d’information
(11) https://infosec.parkeon.com/policy
(12)  LIGNES DIRECTRICES [18.1.4] – Comment demander le consentement de l’utilisateur
(13)  LIGNES DIRECTRICES [18.1.4] – Comment obtenir le consentement de l’employé en vue de l’utilisation de ses données à caractère personnel
(14)  Accord de non-divulgation de Flowbird
(15) Base de référence [12.1] – Sécurité des opérations
(16)  Le Registre des traitements effectués par Flowbird