Politique concernant la confidentialité des données
- Définition
„GDPR”, „Règlement” – le Règlement (UE) 2016/679 du Parlement Européen et du Conseil de la date de 27 avril 2016 concernant la protection des personnes physiques relative au traitement des données à caractère personnel et la libre circulation de ces données et d`abrogation de la Directive 95/46/CE (Règlement général concernant la protection des données, en anglais General Data Protection Regulation) ;
« Données à caractère personnel » – tout renseignement sur une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, spécialement par référence à un élément d`identification, tel qu`un nom, un numéro d`identification, dates de localisation, un identificateur en ligne, ou à l`un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
« Données anonymes » – représentent toute donnée dont l`origine ou sur la base desquelles de traitements ont été effectués, mais celles-ci ne peuvent être associées à aucune personne concernée identifiée ou identifiable.
« Traitement » – signifie toute opération ou tout set d`opérations effectués sur les données à caractère personnel ou sur les sets de données à caractère personnel, avec ou sans utiliser de moyens automatiques, tels que : la collecte, l`enregistrement, l`organisation, la structuration, le stockage, l`adaptation ou la modification, l`extrait, le conseil l`utilisation, la divulgation par transmission, la dissémination ou la mise à la disposition dans un autre mode, l`alignement ou la combinaison, la restriction, l`effacement ou la destruction ;
« Opérateur » – signifie la personne physique ou morale, l`autorité publique, l`agence ou autre organisme qui, seul ou avec les autres, établit les buts et les moyens de traitement de données à caractère personnel ; lors que les buts et les moyens du traitement sont établis par le droit de l`Union ou le droit interne, l`opérateur ou les critères spécifiques pour sa désignation peuvent être prévus dans le droit de l`Union ou dans le droit interne ;
« Personne chargée de pouvoirs d`opérateur » – signifie la personne physique ou morale, l`autorité publique, l`agence ou autre organisme traitant les données à caractère personnel au nom de l`opérateur ;
« Destinataire » – signifie la personne physique ou morale, l`autorité publique, l`agence ou autre organisme auquel (à laquelle) les données à caractère personne sont divulguées, indifféremment s`il s`agit ou pas d`une tierce partie. Cependant, les autorités publiques auxquelles les données à caractère personnel peuvent être communiquées dans le cafte d`une certaine enquête en conformité avec le droit de l`Union ou avec le droit interne ne sont pas considérées destinataires ; le traitement de ces données par les autorités publiques concernées respecte les normes applicables en matière de protection des données, en conformité avec les finalités du traitement ;
« Tierce partie » – signifie une personne physique ou morale, autorité publique, agence ou organisme, autre que la personne concernée, l`opérateur, la personne chargée par l`opérateur et les personnes qui, sous la directe autorité de l`opérateur ou de la personne chargée par l`opérateur, sont agréées à traiter les données à caractère personnel ;
« Consentement » – de la personne concernée signifie toute manifestation de volonté libre, spécifique, informée et manquante d`ambiguïté de la personne concernée par laquelle la dernière accepte, à travers une déclaration ou une action sans équivoque, pour que les données à caractère personnel la concernant soient traitées ;
« Violation de la sécurité des données à caractère personnel » – signifie une violation de la sécurité conduisant, accidentellement ou illégalement, à la destruction, la perte, la modification ou la divulgation sans autorisation des données à caractère personnel transmises, stockées ou traitées d`une autre manière, ou l`accès sans autorisation à celles-ci ;
« Représentant » – signifie toute personne physique ou morale établie en Union, désignée par écrit par l`opérateur ou la personne chargée par l`opérateur, représentant l`opérateur ou la personne chargée concernant leurs obligations visées revenant en vertu GDPR ;
« Règles corporatistes obligatoires » - signifient les politiques en matière de protection des données à caractère personnel qui doivent être respectées par un opérateur ou par une personne chargée de pouvoirs par l`opérateur, établie sur le territoire d`un État membre, concernant les transferts ou les sets de transferts de données à caractère personnel vers un opérateur ou une personne chargée de pouvoirs par l`opérateur dans l`un ou plusieurs pays tiers dans le cadre d`un groupe d`entreprises ou d`un groupe d`entreprises impliquées dans une activité économique commune ;
« Autorité de surveillance » – signifie une autorité publique indépendante instituée dans un État membre ;
« DPO » – le responsable avec la protection des données (en anglais, data protection officer) ;
« DPIA » – l`évaluation de l`impact sur la protection des données (en anglais, data-protection impact assessment, DPIA) ;
« Transmission » – signifie la transmission sous toute forme des données à caractère personnel afin d`être connues et consultées par l`une pu plusieurs parties ;
« Personne concernée » – signifie la personne physique à laquelle les données à caractère personnel fait référence ;
« Diffusion / divulgation » – signifie l`information d`une ou plusieurs parties sur les données à caractère personnel, sous toute forme, et de même, leur mise à la disposition afin d`être consultées ;
« Restriction du traitement » – signifie le marquage des données à caractère personnel stockées afin de limiter leur traitement à l`avenir ;
« Création de profils » – signifie toute forme de traitement automatique des données à caractère personnel constant dans l`utilisation des données à caractère personnel pour évaluer certains aspects personnels concernant une personne physique, spécialement pour analyser ou prévoir des aspects concernant la performance au lieu de travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu où la personne physique concernée se trouve ou ses déplacements.
- BUT ET DOMAINE D`APPLICABILITÉ
2.1. But
La présente Politique a comme but d`établir les principes de base du traitement des données à caractère personnel, la méthodologie de travail et aussi les règles pour les Employés afin de s`assurer la confidentialité des données personnelles dans les opérations de traitement des données personnelles effectuées par MI-France (« Compagnie » ou « Opérateur »), en conformité avec la législation applicable.
Le respect de la confidentialité des données à caractère personnel représente une obligation de l`Opérateur et de ses Employés, vu la sensibilité des données à caractère personnel traitées, le droit à la protection des données personnelles et le droit à la vie privée des personnes physiques.
Les Employés de l`Opérateur comprennent et ont la pleine représentation du fait que la violation de la confidentialité des données personnelles peut conduite aux préjudices physiques, matériaux ou moraux des personnes physiques, tel que la perte du contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, la discrimination, le vol ou la fraude d`identité, la perte financière, l`inversion non-agréée de la pseudonymisation, la compromission de la réputation, la perte de la confidentialité des données à caractère personnel protégées par le secret professionnel ou tout désavantage significatif de nature économique ou sociale apporté à la personne physique concernée.
2.2. Destinataires
Les dispositions de la présente Politique sont obligatoires pour les salariés permanents et temporaires de MI-FRANCE, de même que toute autre personne qui, bien que non salariés de MI-FRANCE, peuvent être assimilés à un personnel dédié MI-FRANCE (toutes ces personnes étant désignés dans ce document de manière générique « Employés »).
La présente Politique sera considérée comme revêtant un caractère général et sera appliquée à tous les traitements effectués par l`Opérateur. Ce document établit la modalité dans laquelle les données personnelles que l`Opérateur les détient et les traite pour accomplir ses activités commerciales seront protégées.
Si on constate l`existence de certains aspects liés de la confidentialité pour lesquels la présente Politique n`offre pas de directives adéquates, les Employés sont tenus à solliciter tout de suite le conseil de la part de l`Officier responsable avec la protection des données (DPO), s`il a été nommé ou au représentant légal de l`Opérateur.
2.3. Sphère des données personnelles
Données des clients
L`Opérateur traite les données à caractère personnel suivantes appartenant au client et/ou aux autres Personnes concernées, telles qu`elles sont communiquées :
- par l`intermédiaire des formulaires de demande sur l`octroi du produit / du service exigé et ses annexes ;
- par l`intermédiaire de la proposition pour le passage du contrat et ses annexes ;
- par l`intermédiaire des communications transmises à l`Opérateur après le passage du contrat (en forme écrite, en forme électronique, remplies aux questions formulées téléphonique par les employés de l`Opérateur/ les chargés de pouvoirs et par d`autres procédés acceptés par la personne concernée), tel que : nom, prénom, om antérieur, pseudonyme, sexe, adresse de domicile et de résidence, date, lieu et pays de naissance, numéro d`identification personnel, série et numéro de la pièce d`identité / du passeport, d`autres données de la pièce d`identité, autres données des actes d`état civil, la citoyenneté, la signature, les données du permis de conduire/certificat d`immatriculation, données de contact (adresses, numéros de téléphone, télécopie, adresses électroniques et numéros de portable), la profession, le lieu de travail, le numéro du dossier de retraite, la situation militaire, la situation économique et financière du client ou, le cas échéant, d`Autres Personnes Concernées.
Dans certains cas, il est possible d`être sollicitées de données contenues dans le certificat de casier judiciaire, comprenant la situation des litiges dans lesquels le client est impliqué, celles-ci étant nécessaires à l`Opérateur pour évaluer les clients et/ou les garanties présentées par les derniers.
La compagnie peut collecter et utiliser les données personnelles des clients et des potentiels clients (par exemple : nom, âge, date de naissance, adresse, résidence, adresse électronique, etc.) afin de réaliser les buts de l`affaire.
Données des Employés
MI-FRANCE collecte et utilise les données personnes de ses Employés (actuels ou anciens) dans le cadre du déroulement des rapports de travail, comprenant les obligations y découlant, en vertu de la loi et uniquement en buts pertinents, correspondants et usuels. Le Département de Ressources Humaines communiquera aux Employés de renseignements sur les motifs et les méthodes de traitement des données visées.
MI-FRANCE reconnaît et respecte les droits de confidentialité de ses Employés, limitant la collecte, l`accès et l`utilisation des données personnelles afférentes à l`embauche. MI-FRANCE prend de mesures préventives supplémentaires avant de divulguer vers les tierces parties légitimes les renseignements de tout Employé. Les respectives divulgations peuvent avoir lieu uniquement dans les conditions quand il ya le consentement total du fait que l`accès et l`utilisation des données sont limités et que les données doivent être protégées.
- PRINCIPES GÉNÉRAUX
3.1. Solutions d`organisation
MI-FRANCE, agissant en qualité d`Opérateur, a adopté les solutions d`organisation suivantes concernant la confidentialité des données :
- les aspects techniques de sécurité des données entrent dans la responsabilité du Département IT et doivent gérés à la fois sur la base des lignes directrices définies, des processus et des procédures, et aussi par les contrôles effectués au niveau des systèmes informatiques ;
- la responsabilité concernant le traitement des données en accord avec la présente politique revient à tous les Employés, l`Opérateur assurera les mesures organisationnelles nécessaires à l`implémentation des dispositions du Règlement et de la Politique concernant la confidentialité des données, ainsi que les traitements des données à caractère personnel soient effectués en conformité avec le Règlement (UE) 2016/679 ;
- DPO instruera les employés MI-FRANCE afin que les derniers respectent la confidentialité des données personnelles traitées, les mécanismes d`assurance de la confidentialité ;
- sans le préjudice de ceux-ci-dessus mentionnés, l`Opérateur peut – à son chois, ou s`il est prévu par la loi en vigueur – designer un Responsable avec la protection des données, qui surveillera toutes les activités de traitement des données personnelles. Indifféremment de la nomination du Responsable avec la protection des données, la désignation des responsabilités doit refléter les exigences de l`Opérateur ci-dessus mentionnées. Dans tous les cas, un responsable avec la protection des données sera désigné lors que celle-ci est obligatoire conformément au Règlement (la présence de certaines opérations de traitement nécessitant une surveillance périodique, systémique des personnes concernées à longue échelle, le traitement à large échelle vise les catégories spéciales de données) ;
- Les Employés MI-FRANCE sont tenus à respecter la Politique de confidentialité et les mesures de traitement des données à caractère personne, en s`assurant un niveau adéquat de protection des données ainsi traitées.
3.2. Dispositions générales
Le déroulement de l`activité courante de MI-FRANCE suppose d`effectuer par les Employés MI-FRANCE certains traitements de données qui supposent les principes suivants :
- les données doivent être légalement, équitablement et en transparence traitées ;
- les données doivent être collectées en buts déterminants, explicits et légitimes et ne sont pas traitées ultérieurement d`une manière incompatible avec ces buts ; le traitement ultérieur en but d`archivage en intérêt public, en buts de recherche scientifique ou historique ou en buts statistiques n`est pas considéré incompatible avec les buts initiaux ;
- les données doivent être adéquates, pertinentes et limitées à ce qu`il est nécessaire en rapport avec les buts pour lesquels sont traitées ;
- les données doivent être exactes et, le cas échéant, mises à jour ; il doit prendre toutes les mesures nécessaires afin de s`assurer que les données à caractère personnel qui sont inexactes, vu les buts pour lesquels elles sont traitées, sont effacées ou rectifiées sans retard ;
- les données doivent être conservées dans une forme qui permet l`identification des personnes visées pour une période qui ne dépasse pas la période nécessaire à l`accomplissements des buts dans lesquels les données sont traitées ; les données à caractère personnel seront stockées sur des longues périodes dans la mesure quand celles-ci seront traitées exclusivement en buts d`archivage en intérêt public, en buts de recherche scientifique ou historique ou en buts statistiques ;
- les données doivent être traitées d`une manière qui assure la sécurité adéquate, comprenant la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou la détérioration accidentelle, en prenant de mesures techniques ou organisationnelles adéquates.
Par les mesures adoptées, l`Opérateur s`engage à implémenter les mesures techniques et organisationnelles nécessaires à assurer le degré de confidentialité nécessaire et la sécurité du traitement des données à caractère personnel.
Les données personnelles pourront être collectées, utilisées, retenues, transmises et effacées, en respectant la confidentialité de leur contenu, et aussi les autres règles établies dans la présente Politique et les obligations prévues dans le cadre du Règlement.
3.3. Sécurité du traitement
L`assurance de la sécurité du traitement des données à caractère personnel implique le respect d`un niveau adéquat de confidentialité des données et sera faite en respectant par l`Opérateur des mesures techniques et organisationnelles, telles que :
- le pseudonymisation et le cryptage des données à caractère personnel ;
- la capacité d`assurer la confidentialité, l`intégralité, la disponibilité et la résistance continue des systèmes et des services de traitement ;
- la capacité de rétablir la disponibilité des données à caractère personnel et l`accès à celles-ci en délai, s`il a lieu un accident de nature physique ou technique ;
- implémenter certains processus pour tester, évaluer et apprécier périodiquement l`efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement.
L`opérateur assurera que les principes ci-dessus mentionnés sont respectés. De même, il doit pouvoir prouver le respect des principes et l`accomplissement des obligations y découlant.
L`accès des Employés aux données personnelles détenues sera accordé sur la base d`une autorisation adéquate, fonction du group duquel ils font partie et du niveau de sécurité auquel ils sont arrondis. Tout Employé / Tierce partie agréée / Destinataire ayant l`accès aux données personnelles détenues par l`Opérateur uniquement suite à la nécessité d`utiliser les renseignements respectifs aura l`obligation de respecter leur confidentialité et de respecter les mesures techniques et organisationnelles ainsi que les données traitées soient protégées. Dans ce sens, l`activité des Employés MI-FRANCE pourra être surveillée afin de vérifier le respect de la conformité aux lois ou aux normes en vigueur de protection des données personnelles et avec les Politiques de protection des données implémentées.
S`il ya la suspicion de violation de la présente Politique de confidentialité, l`incident doit être rapporté au moins à l`une des personnes suivantes :
- Gestionnaire de département;
- Officier responsable de la protection des données.
Les derniers sont tenus à prendre les mesures nécessaires conformément aux règles légales ou celles établies dans les procédures MI-FRANCE.
- OBLIGATIONS GÉNÉRALES
L`Opérateur est tenu, au déroulement de ses activités commerciales, de procéder avec prudence, respecter la législation de la Roumanie, protéger ses clients et les Autres Personnes Concernées, et les propres droits et intérêts.
L`Opérateur collabore étroitement avec toute autre entité lui appartenant, avec les entités affiliées, présentes et futures de l`Opérateur.
Les Employés MI-FRANCE sont tenus à assurer la confidentialité des données à caractère personnel sur la base du Contrat de travail passé et la présente Politique de confidentialité. Le non-respect de la Politique de confidentialité ou du Contrat de travail passé peut conduire au démarrage de certaines actions disciplinaires, comprenant la dissolution du contrat de travail.
L`Opérateur réserve tous les droits de procéder au recouvrement des montants accordés à titre de dédommagement à une personne concernée, suite au non-respect par les Employés de la Politique de confidentialité. Le non-respect de la confidentialité des données à caractère personnel traitées peut être sanctionné pénalement conformément aux réglementations légales en matière.
Chaque département dans le cadre MI-FRANCE a l`obligation de conserver une évidence (élaboration et mise à jour) des personnes désignées par MI-FRANCE pour traiter les données à caractère personnel, si par la nature des activités déroulées dans le cadre du Département le traitement de données à caractère personnel est nécessaire.
Le département administratif est tenu à solliciter de renseignements de tous les départements afin de mettre à jour les données à caractère personnel au niveau de MI-FRANCE.
Par la présente Politique, on établit que la gestion MI-FRANCE a l`attribution de surveiller le traitement de données, comprenant le bon fonctionnement des systèmes informatiques utilisés dans l`activité de traitement et de transmission des données à caractère personnel. Pour exercer cette attribution, on peut solliciter à tout Employé de renseignements sur le traitement des données et peut établir par des instructions de travail de règles obligatoires dans le domaine de traitement des données.
Tout contrat passé entre MI-FRANCE, agissant en qualité d`Opérateur de données à caractère personne et une tierce partie, agissant en qualité de Personne Chargée de pouvoirs, devra inclure les clauses de confidentialité et de traitement des données à caractère personnel en conformité au Règlement.
4.1. Vérification de la rectitude des données à caractère personnel
Tous les Employés sont tenus à vérifier les données personnelles conservées par MI-FRANCE de la perspective de l`exactitude et de l`intégralité des renseignements pertinents et ils sont tenus à les modifier de manière adéquate. Comme règle générale, l`accès est limité aux données utilisées pour identifier une personne et n`inclut pas tous les renseignements que MI-FRANCE les conservent sur l`Employé. Par exemple, MI-FRANCE peut permettre l`accès au formulaire d`évaluation de la performance et aux résultats individuels dans le cadre du plan de développement, mais les renseignements généraux du plan d`avancement visant plusieurs personnes ne peuvent pas être partagés.
4.2. Activités personnelles
L`engagement MI-FRANCE de respecter les droits de confidentialité des Employés ne représente pas la permission de dérouler d`activités personnelles inadéquates durant l`emploi (ex. les ordinateurs MI-FRANCE doivent être utilisés uniquement en intérêt d`emploi). En plus, pour assurer la sécurité et la protection de ses systèmes IT, la Compagnie a le droit d`accès dans tous les sièges et, après le cas, de réviser les communications et les informations créées par les Employés durant l`activité, dans les limites permises par la législation en vigueur.
4.3. Le refus de traitement des données à caractère personnel
Tout Employé a le droit de transmettre au département de Ressources Humaines d`objections liées de la collec te, l`utilisation et la divulgation de ses données personnelles. MI-FRANCE évaluera les objections de l`Employé, prendra une décision en conformité avec la législation en vigueur et communiquera sa décision à l`Employé.
4.4. Transmission d`informations
La Compagnie transmettra les données liées de ses employés et ses clients aux entités qui appartiennent de celle-ci, uniquement s`il est nécessaire ou s`il est possible, en conformité avec la loi applicable. Ces entités adopteront toute mesure de précaution conçue à assurer la légalité de la communication et du respect du « secret professionnel ».
La transmission des entités affiliées à l`Opérateur des données concernant les clients MI-FRANCE est permise, à titre d`exemple, dans les cas suivants :
- Lors que les intérêts en jeu sont équilibrés : la transmission est permise, afin de respecter les dispositions concernant le combat du blanchiment d`argent, relatif aux données concernant le « rapport des transactions suspectes ».
- Données anonymes (par ex. en buts statistiques ou pour l`analyse de marché).
La transmission des données concernant les clients ou les employés est permise, à titre d`exemple, dans les cas suivants :
- Lors qu`il ya le consentement express des personnes concernées : le consentement doit être spécifique et ainsi, strictement lié de l`objet pour lequel la respective transmission est effectuée (ex. commercialisation). À voie de conséquence, pour que MI-FRANCE s`assure que l`accepte a été accordé de manière légitime par le client, il est nécessaire de vérifier le contenu de la notification d`information transmise au client et le formulaire de consentement afférent.
- Les cas qui sont équivalents au consentement (ex. passage d`un contrat, obligation légale, intérêt légitime de l`Opérateur).
- OBLIGATIONS SPÉCIFIQUES
Le traitement des données à caractère personnel se réalise uniquement par les employés de l`Opérateur détenant la compétence nécessaire pour effectuer un tel traitement. Dans la situation quand l`employé ne connaît pas son degré d`accès aux données confidentielles, il pourra s`adresser au manageur de département duquel le dernier fait partie.
Afin de maintenir la confidentialité adéquate des données à caractère personne, les Employés sont tenus à respecter les restrictions de traitement des données imposées par l`Opérateur à travers la Politique de sécurité implémentée, selon la catégorie des données et le niveau d`accès.
MI-FRANCE utilise de mesures adéquates du point de vue administratif, technique, physique et de sécurité, conçues :
(i) à respecter les exigences légales et les accords de travail ;
(ii) à protéger les données à caractère personnel contre les pertes, le vol, l`accès sans autorisation, l`utilisation ou la modification.
MI-FRANCE utilise tous les moyens nécessaires pour conserver les données personnelles correctes, complètes et mises à jour.
5.1. Droits des personnes concernées
GDPR confère aux personnes physiques, en principal, les droits suivants :
- Le droit d`être informé
- Le droit d`accès
- Le droit de rectification
- Le droit d`effacement
- Le droit de restitution du traitement
- Le droit de portabilité des données
- Le droit de former opposition
- Le droit lié de la prise de décisions automatisations et de profilage.
5.2. Transfer
La modalité par laquelle MI-FRANCE transfère les données à caractère personnel, en conformité avec le Règlement, respectivement toutes les opérations de transfert seront faites en respectant la Procédure concernant l`échange de données à caractère personnel.
5.3. Retenue et effacement des données personnelles
La retenue / le stockage et l`effacement des données à caractère personnel, afin d`assurer la confidentialité des données et des renseignements, de même que pour leur conservation en pleine sécurité, dans le cadre de l`activité courante exécutée par les Employés seront faits en respectant les dispositions inclues dans la Procédure de retenue et d`effacement de données à caractère personnel.
5.4. Rapport et traitement incidents de sécurité
Dans la situation quand un Employé entre en contact avec une information qui n`est pas destinée au groupe d`accès d`où le dernier fait partie, l`information lui parvenue ayant un niveau de sécurité plus élevé ou différent par rapport à celui auquel l`employé est en droit conformément à ceux établis dans la Politique de confidentialité, l`Employé est tenu à procéder tout de suite à l`information :
- du Manageur de département ;
- de l`Officier responsable par la protection des données.
Les Employés ne donneront cours à aucune sollicitation de transmission/dissémination de données à caractère personnel aux personnes qui ne sont pas embauchées dans le cadre de MI-FRANCE. Dans la situation quand la sollicitation est effectuées par une personne concernée, l`employé avancera cette sollicitation vers les personnes compétentes dans le cadre du département administratif afin de procéder à la vérification de la demande transmise et à l`élaboration de la réponse en conformité avec les normes du Règlement.
Les Employés ne donneront cous à aucune sollicitation /dissémination des données à caractère personnel vers un autre / d`autres employés, avant de s`assurer que celui-ci fait partie d`un groupe avec un niveau d`accès adéquat ou sa sollicitation est avisée par le Manageur du département d`où il fait partie.
La modalité concrète de notification de l`Autorité de Surveillance concernant la Protection des Données à Caractère Personnel et d`information de la personne concernée si une violation de la sécurité des données à caractère personnel se produit, comprenant les activités à dérouler lors de production d`un incident de sécurité, respectivement, l`enregistrement des violations de sécurité, l`élaboration des notifications et des renseignements imposés par GDPR, l`établissement du flux de parcours à leur rédaction et leur diffusion contrôlée par l`Autorité de surveillance et les personnes concernées est prévue dans la Procédure de rapport et traitement incidents de sécurité.
- RÈGLES « CLEAN DESK »
Afin d`améliorer la sécurité et la confidentialité des renseignements, MI-FRANCE a adopté de règles « Clean Desk » pour les stations de travail pour les ordinateurs et les imprimantes.
Cette chose assure que tous les renseignements sensibles et confidentiels, en format papier, un dispositif de stockage ou un périphérique, sont bloqués ou éliminés de manière adéquate lors qu`une station de travail n`est pas utilisée. Ces règles réduiront le risque de l`accès non-autorisé, la perte et la détérioration des renseignements pendant et hors les heures normales de fonctionnement ou lors que les stations de travail sont laissées sans surveillance. Les règles représentent un contrôle important de sécurité et de confidentialité et sont nécessaires pour respecter GDPR.
Ces règles s`appliquent à l`entier personnel permanent, temporaire et contracté qui travaille dans le cadre MI-FRANCE.
6.1. Règles. Chaque fois quand un bureau n`est pas occupé pour une longue période de temps, les règles suivantes seront appliquées :
- Tous les documents sensibles et confidentiels doivent être sortis de bureau et bloqués dans un tiroir ou armoire de stockage. Ceux-ci comprennent de dispositifs de stockage en masse, tels que CD, DVD et unités USB.
- L`entier papier de déchets contenant de renseignements sensibles ou confidentiels doit être placé dans les boîtes confidentielles dédiées.
- Les stations de travail pour les ordinateurs doivent être bloquées quand le bureau est inoccupé et complément fermé à la fin du jour de travail.
- Les ordinateurs portables, les tablettes et d`autres périphériques doivent être sortis de bureau et bloqués dans un tiroir ou armoire de stockage.
- Les clés pour l`accès aux tiroirs ou aux armoires de stockage ne doivent pas être laissées sans surveillance dans un bureau.
- Les imprimantes et les télécopieurs doivent être traités avec la même attention, respectivement :
- Tout travail d`imprimerie contenant de documents sensibles et confidentiels doit être immédiatement récupéré. Quand il est possible, la fonction « Imprimerie bloquée » devrait être utilisée.
- Tous les documents restants à la fin du jour seront adéquatement éliminés.
6.2. Conformité. Cette politique sera officiellement surveillée par le département administratif et peut inclure d`inspections aléatoires et planifiées.
6.3. Non-conformité. Tout employé ou contractant constatant d`avoir été violées ces règles peut faire l`objet de certaines mesures disciplinaires, jusqu`à la rupture du contrat de travail.
- REGULI „BRING YOUR OWN DEVICE” (BYOD)
MI-FRANCE accorde aux employés le droit d`utiliser de téléphones intelligents et de tablettes personnelles au lieu de travail. MI-FRANCE réserve son droit de révoquer ce privilège si les utilisateurs ne respectent pas les politiques et les procédures MI-FRANCE.
Ces règles ont le rôle de protéger la sécurité et l’intégrité de l’infrastructure de données et de technologies de MI-FRANCE. Des exceptions limitées de ces règles peuvent apparaître par le prisme des variations de dispositifs et de plateformes.
Les Employés sont tenus à accepter les termes et les conditions établis dans cette politique afin de pouvoir connecter leurs dispositifs au réseau MI-FRANCE.
7.1. Utilisation acceptable
MI-FRANCE définit l’utilisation acceptable de l’affaire comme les activités qui soutiennent directement ou indirectement l’activité de la Compagnie. MI-FRANCE définit l’utilisation personnelle acceptable pendant la Compagnie comme une communication personnelle raisonnable et limitée, tel que la lecture.
Les dispositifs ne peuvent être utilisés en aucun moment pour :
- stocker ou transmettre les matériaux illégaux ;
- stocker ou transmettre de renseignements sur la propriété intellectuelle appartenant aux autres compagnies ;
- actions de harcèlement d’autres personnes.
Les Employés peuvent utiliser le dispositif mobil pour accéder les ressources suivantes détenues par MI-FRANCE : courrier électronique, calendriers, contacts, documents etc.
MI-FRANCE a une politique de tolérance zéro en cas d’envoi de messages par SMS ou par le courrier électronique durant la conduite et uniquement la conversation sans mains pendant la conduite est permise.
7.2. Dispositifs et support
Les téléphones intelligents sont permis, comprenant iPhone, Androïde et Windows.
Les tablettes sont permises, comprenant iPad et Androïde.
Les problèmes de connexion sont solutionnés par le Département IT ; les employés devraient contacter le producteur du dispositif pour les problèmes liés du système d’exploitation ou matériel informatique.
Les dispositifs doivent être présentés IT pour assurer de manière adéquate les lieux de travail et la configuration des applications standards, tels que les navigateurs, les logiciels de productivité du bureau et les instruments de sécurité, avant de pouvoir accéder au réseau.
7.3. Sécurité
Afin de prévenir l’accès non-autorisé, les dispositifs doivent être protégés par un mot-de-passe utilisant les caractéristiques du dispositif et un mot de passe puissant est désirable afin d’accéder le réseau MI-FRANCE.
La politique du mot-de-passe de la Compagnie est : les mots-de-passe doivent contenir au moins six caractères et une combinaison de grandes, petites lettres et chiffres et symboles. Les mots-de-passe doivent être changés à chaque 90 jour, et le nouveau mot-de-passe ne peut être l’un des 15 mots-de-passe antérieurs.
Le dispositif doit se bloquer avec un mot-de-passe ou un code PIN s’il est inactif durant cinq minutes.
Après cinq essais de connexion échoués, le dispositif sera bloqué. Le Département IT sera contacté afin de réacquérir l’accès.
Il est strictement interdit d’accéder les réseaux racine (Androïde) ou jailbroken (iOS).
Les employés sont automatiquement empêchés à télécharger, installer ou utiliser toute application n’apparaissant pas dans la liste d’applications approuvées par MI-FRANCE.
Les portables intelligents et les tablettes qui ne se trouvent pas sur la liste de dispositifs acceptés par MI-FRANCE. N’ont pas le droit d’être connectés au réseau.
Les portables intelligents et les tablettes appartenant aux employés qui sont uniquement pour l’use personnel n’ont pas le droit de se connecter au réseau.
L’accès des employés aux données MI-FRANCE est limité sur la base des profils des utilisateurs définis par IT et automatiquement appliqués.
Le dispositif de l’employé peut être effacé à distance si :
- le dispositif est perdu ;
- l’employé cesse les rapports de travail ;
- le département IT détecte une violation des données ou de la politique, un virus ou un menace similaire à l’adresse de la sécurité de l’infrastructure de données et de technologies de MI-FRANCE.
7.4. Risques. Avertissements
Pendant que le Département IT prenne toutes les mesures de précaution afin de prévenir la perte des données personnelles de l’employé, s’il doit effacer à distance un dispositif, c’est la responsabilité de l’employé de prendre de mesures de précaution supplémentaires, tel que la copie de réserve des messages électroniques, des contacts etc.
MI-FRANCE réserve son droit de déconnecter les dispositifs ou de désactiver les services sans notification.
Les dispositifs perdus ou volés doivent être rapportés à MI-FRANCE en délai de 24 heures. Les Employés sont responsables pour la notification immédiate après la perte d’un dispositif.
Les Employés doivent utiliser les dispositifs de manière éthique dans tout moment et respecter la politique d’utilisation acceptable de MI-FRANCE.
Les employés sont personnellement responsables pour tous les coûts associés à leur dispositif.
L’employé s’assume la pleine responsabilité pour les risques, comprenant, mais sans se limiter à la perte partielle ou complète des données de MI-FRANCE et des données personnelles suite à une erreur de système d’exploitation, erreurs, virus, logiciel malveillant et/ou d’autres défections logicielles ou de matériel informatique ou de programmation, les erreurs rendant le dispositif inutilisable.
MI-FRANCE réserve son droit de prendre de mesures disciplinaires adéquates jusqu’à la rupture du contrat individuel de travail en cas de manquement de ces règles.
- Surveillance vidéo et enregistrement téléphonique
Afin de protéger la sécurité des clients, des Autres Personnes Concernées et de tout autre visiteur, et aussi pour assurer la garde et la protection de leurs biens, de l’Opérateur et/ou de ses employés, le siège de l’Opérateur est protégé par surveillance vidéo/enregistrement des images obtenues à travers les moyens de surveillance vidéo.
Pour ces finalités, les personnes concernées antérieurement mentionnées, de même que les biens utilisés par celles-ci quand arrivent à, accèdent ou visitent le siège de l’Opérateur et/ou les espaces extérieurs adjacents, sont filmées avec les moyens de surveillance vidéo installés dans des lieux visibles et utilisés en conformité avec les réglementations légales en vigueur.
La surveillance vidéo a lieu uniquement dans les espaces destinés au public, comprenant les voies d’accès situées à l’intérieur ou à l’extérieur de l’immeuble où le siège de l’Opérateur est situé, le lieu d’emplacement des moyens de surveillance vidéo étant signalé par l’intermédiaire d’un pictogramme contenant une image représentative et comportant une visibilité suffisante, positionnée proche du lieu d’emplacement.
Les images enregistrées en utilisant les moyens de surveillance vidéo peuvent être transmises par l’Opérateur vers les organes de police et d’autres autorités ayant d’attributions concernant la défense des droits et des libertés fondamentales de la personne, de la propriété privée et publique, la prévention, la découverte et la sanction des infractions, le respect de l’ordre et de la paix publique, dans les conditions de la loi. Les images ainsi obtenues ne seront pas transmises à l’étranger.
L’information des personnes concernées sur le traitement des Données Personnelles à travers les moyens de surveillance vidéo a lieu dans une forme concise, transparente, intelligible et facilement accessible, utilisant un langage clair et simple, en spécial pour toute information adressée spécifiquement à un enfant. Les renseignements sont fournis par écrit ou par d’autres moyens, comprenant, quand il est opportun, en format électronique. À la sollicitation de la personne concernée, les renseignements peuvent être verbalement fournis, à la condition que l’identité de la personne concernée soit prouvée par d’autres moyens.
L’Opérateur peut enregistrer les appels téléphoniques vers/de l’Opérateur, portés par l’Opérateur / les Chargées de pouvoirs de l’Opérateur avec les clients / les potentiels clients et/ou les Autres Personnes Concernées, indifféremment de la personne qui a initié l’appel, et ces enregistrements seront conservés, sur la base du Consentement obtenu dans ce sens et en respectant les dispositions légales applicables. Les enregistrements ainsi obtenus seront utilisés par l’Opérateur afin de passer et exécuter en conditions optimales les contrats avec les clients, l’investigation de certaines situations issues au déroulement ou en liaison avec ceux-ci, et aussi en instance, comme preuves, en cas de litiges issus de ou en liaison avec les contrats respectifs / le financement accordé. De même, les enregistrements téléphoniques pourront être transmis, dans les conditions de la loi, aux autorités ayant d’attribution concernant la défense des personnes, de la propriété privée et publique, la prévention, la découverte et la sanction d’infractions.
- Personnes chargées de pouvoir par l’Opérateur
Les partenaires contractuels/les collaborateurs de l’Opérateur et des entités affiliées ou d’autres sociétés qui offrent de services complémentaires au produits et aux services de l’Opérateur, tels que :
- entités participant à la négociation, le passage ou l’accomplissement des contrats (fournisseurs de services et de biens, opérateurs IT, avocats et d’autres conseillers, etc.) ;
- entités assurant le bon fonctionnement des produits et des services de l’Opérateur et de toutes les transactions liées de ses produits et services ;
- entités assurant la sécurité et d’autres types de protection des systèmes informatiques de l’Opérateur et des entités affiliées fonctionnant en Roumanie ;
- entités recherchant le niveau qualitatif afin de satisfaire les exigences des clients ou assurant ou moyennant l’offre de produits et de services de l’Opérateur ;
- sociétés imprimant, administrant et/ou transmettant de factures/décomptes/notifications ;
- courriers ;
- fournisseurs de services de contact / centre d’appel ;
- sociétés d’archivage – stockage de documents ;
- conseiller, comptables, commissaires aux comptes ;
- personnes vers lesquelles les droits et/ou les obligations de l’Opérateur ont été transférées ;
- entités assurant la collecte des créances et/ou le recouvrement des biens.
Les données transmises aux Destinataires seront adéquates, pertinentes et non-excessives par rapport aux buts dans lesquels ont été collectées.
Pour accomplir les obligations et les engagements qui leurs reviennent des contrats passés avec ses clients, et aussi pour assurer un traitement efficient et professionnel, l’Opérateur peut traiter les Données à caractère personnel, y compris par tierces personnes, chargées de pouvoirs dans ce sens par l’Opérateur, avec lesquelles il passera de contrats écrits dans les conditions du Règlement (« Chargés de pouvoirs »).
Les chargés de pouvoirs sont tenus à respecter les exigences de l’Opérateur pour la sécurité de traitement et prendre les mesures techniques et organisationnelles nécessaires afin d’assurer la protection des Données à caractère personnel.
À titre d’exemple, les chargés de pouvoirs peuvent être désignés les catégories de personnes suivantes :
- sociétés d’archivage – stockage de documents ;
- sociétés imprimant, administrant et/ou transmettant de factures/décomptes/notifications ;
- courriers ;
- fournisseurs de services de contact / centre d’appel.
- Mesures préventives
Les employés comprennent le danger représenté par les attaques cybernétiques ou ceux de type social (social engineering), de même que les répercussions eues par ces attaques sur l’Opérateur, sur ses employés ou sur les personnes concernées.
Afin d’assurer un standard élevé de sécurité, l’Opérateur organise de cours de formation concernant la vulnérabilité des données personnelles et les mesures préventives de sécurité adoptées dans le cas des attaques cybernétiques.
L’Employé sera informé sur les attaques comme :
– hameçonnage : par lequel les attaquants utilisent les courriers électronique de type spam afin de diriger les victimes vers les sites web créés par les attaquants afin que les données personnelles soient introduites sur le site web respectif ;
– ingénierie sociale : manipulation à mauvaise foi de certaines personnes par lesquelles les employés sont convaincus à disséminer de données à caractère confidentiel ;
– DNS empoisonnement : empoissonnement cache est un attaque où les données corrompues sont insérées dans la base de données cachée du serveur nommé DNS (Domain Name System). L’Attaquant a l’intention d’envoyer de réponses duplicatas d’un DNS imposteur afin de diriger un nom de domaine à une nouvelle adresse IP. La nouvelle adresse IP est le plus probablement contrôlée par l’attaquant et elle est utilisée pour diffuser de virus d’ordinateurs ou d’autres programmes malveillants.