Politique de protection des données
1. Objet
1.1 La présente politique de protection des données définit les exigences visant à garantir le respect des lois et réglementations applicables à la collecte, à l’utilisation, au traitement et au transfert de données à caractère personnel par l’ATPI dans le monde entier.
2. Champ d’application
2.1 ATPI s’engage à respecter les lois sur la protection des données en vigueur dans les pays où elle (la “Société“) exerce ses activités. En raison des différences entre ces juridictions, l’entreprise a adopté la présente politique de protection des données qui crée un noyau commun de valeurs, de politiques et de procédures visant à assurer une conformité générale, complétée (le cas échéant) par des instructions et des orientations supplémentaires applicables dans les juridictions ayant des exigences particulières.
2.2 La présente politique de protection des données est fondée sur le règlement (UE) 2016/679 et le règlement général sur la protection des données (RGPD), qui fournit un modèle générique solide pour le respect de la vie privée. La société a également établi un accord de transfert de données intra-groupe (IGDTA) basé sur les clauses types reconnues de l’UE, afin d’être autorisée à transférer des données dans le monde entier et à les sous-traiter par la suite dans l’ensemble de son réseau mondial de sociétés du groupe.
2.3 La présente politique de protection des données s’applique à tous les employés à temps plein et à temps partiel de l’entreprise, aux employés des agences et à tous les fournisseurs et clients qui reçoivent des données personnelles de l’entreprise, qui ont accès aux données personnelles collectées ou traitées par l’entreprise, ou qui fournissent des informations à l’entreprise, quelle que soit leur situation géographique.
2.4 En tant qu’engagement de la politique de protection des données, la société ne traitera pas les données personnelles sans une base légale reconnue pour ce traitement. Pour garantir la conformité avec les lois sur la protection des données, l’entreprise établira correctement son statut pour tous les traitements de données, soit en tant que contrôleur de données, soit en tant que processeur de données agissant pour le compte d’un autre contrôleur de données.
3. Conformité du groupe
3.1 Le programme de conformité des données de l’entreprise sera supervisé par le responsable de la conformité du groupe (HGC), assisté par le personnel de conformité et les auditeurs internes nommés au niveau local. Les responsabilités peuvent être déléguées par le CGH.
3.2 Le CGH mettra en œuvre la politique et les procédures internationales de l’entreprise en matière de protection des données et l’IGDTA, ainsi que toute obligation requise par les lois sur la protection des données, y compris :
3.2.1 Déterminer si une notification à une ou plusieurs autorités de protection des données est nécessaire en raison des activités de traitement des données de la Société, puis procéder à toute notification requise et tenir ces notifications à jour.
3.2.2 Concevoir et mettre en œuvre des programmes permanents de formation des employés afin de garantir le respect des lois sur la protection des données.
3.2.3 Établir (avec la participation des services informatiques et juridiques) des procédures et des dispositions contractuelles standard pour obtenir le respect de la présente politique par les sociétés du groupe, les clients, les fournisseurs et les tiers qui reçoivent des données à caractère personnel de la société, qui ont accès aux données à caractère personnel collectées ou traitées par la société, ou qui fournissent des informations à la société, quelle que soit leur situation géographique.
3.2.4 Mettre en place des mécanismes d’audit périodique du respect de la présente politique de protection des données, des procédures de mise en œuvre et de la législation applicable.
3.2.5 Mettre en place, maintenir et faire fonctionner un système permettant de répondre rapidement et de manière appropriée aux demandes d’exercice de leurs droits par les personnes concernées.
3.2.6 Établir, maintenir et faire fonctionner un système de divulgation automatique, rapide et approprié, aux autorités compétentes et aux personnes concernées, de toute perte de données à caractère personnel.
3.2.7 Informer les cadres supérieurs, les dirigeants et les administrateurs de l’entreprise des sanctions civiles et pénales potentielles, tant au niveau de l’entreprise qu’au niveau personnel, qui peuvent être imposées à l’entreprise et/ou à ses employés en cas de violation des lois applicables en matière de protection des données.
3.2.8 Veiller à ce que les plans de gestion des risques liés à la protection des données soient mis en œuvre efficacement et rapidement.
3.2.9 Veiller à ce que le conseil d’administration, la direction et les autres parties prenantes reçoivent une assurance adéquate quant à l’efficacité des procédures et des audits en matière de protection des données.
4. Principes de protection des données
4.1 La Société a adopté les principes suivants pour régir l’utilisation, la collecte, le traitement et la transmission des données à caractère personnel, sauf dans les cas spécifiquement prévus par la présente politique de protection des données ou exigés par les lois applicables :
4.1.1 Les données à caractère personnel ne sont traitées que de manière loyale et licite.
4.1.2 Les données à caractère personnel ne sont obtenues que pour des finalités déterminées, explicites, licites et légitimes, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.
4.1.3 Les données à caractère personnel sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et/ou traitées.
4.1.4 Les données à caractère personnel ne sont pas collectées ou traitées à moins qu’une base juridique pour le traitement ne soit dûment établie.
4.2 Des mesures physiques, techniques et procédurales appropriées doivent être prises pour :
4.2.1 Prévenir et/ou identifier la collecte, le traitement et la transmission non autorisés ou illégaux de données à caractère personnel ; et
4.2.2 Empêcher la perte ou la destruction accidentelle des données à caractère personnel ou leur endommagement.
5. Transferts à des tiers
5.1 Les données à caractère personnel ne seront pas transférées à une autre entité, un autre pays ou un autre territoire à moins que des mesures raisonnables et appropriées n’aient été prises pour établir et maintenir le niveau requis de sécurité des données.
5.2 Les données à caractère personnel ne peuvent être communiquées à des tiers que pour des raisons compatibles avec les objectifs pour lesquels les données ont été collectées à l’origine ou pour d’autres objectifs autorisés par la loi.
5.3 Tous les transferts de données à caractère personnel à des tiers en vue d’un traitement ultérieur doivent faire l’objet d’accords écrits, d’une base juridique pour le transfert, ou en vertu de l’IGDTA de la société pour les transferts de données internes.
5.4 Les données à caractère personnel de l’UE ne seront pas transférées vers un pays ou un territoire situé en dehors de l’Espace économique européen (EEE), à moins que le transfert ne soit effectué vers un pays ou un territoire reconnu par l’UE comme ayant un niveau adéquat de sécurité des données ou vers les États-Unis dans le cadre du bouclier de protection de la vie privée UE-États-Unis, auquel l’entreprise est inscrite.
5.5 Sous réserve des dispositions ci-dessus, les données à caractère personnel peuvent être transférées dans les cas suivants :
5.5.1 La personne concernée a donné son consentement au transfert proposé ;
5.5.2 Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée (soit personnellement, soit par l’intermédiaire de son employeur en tant que client de la société) et la société ;
5.5.3 Le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre la société et un tiers ou l’employeur de la personne concernée ;
5.5.4 Le transfert est nécessaire ou légalement requis pour des motifs d’intérêt public importants, ou pour l’établissement, l’exercice ou la défense de réclamations légales ;
5.5.5 Le transfert est exigé par la loi ;
5.5.6 Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée.
6. Prévention des systèmes informatiques non conformes
6.1 Le directeur général de l’information de l’entreprise établit une procédure d’évaluation de l’impact de toute technologie nouvelle ou existante sur la protection de la vie privée et la sécurité des données à caractère personnel.
6.2 Aucun nouveau système ou nouvelle version d’un système existant ne sera mis à disposition pour utilisation tant que le CGH n’aura pas obtenu la confirmation écrite du DPI qu’il n’y aura pas de violation des lois sur la protection des données.
7. Sources des données à caractère personnel
7.1 Les données à caractère personnel ne sont collectées qu’auprès de la personne concernée, à moins que la nature de l’objectif commercial ne nécessite la collecte des données auprès d’autres personnes ou organes.
7.2 Si des données personnelles sont collectées auprès d’une personne autre que le sujet des données, l’unité opérationnelle qui collecte les données doit obtenir la confirmation écrite du fournisseur des données qu’il existe une base légale pour le traitement et le transfert des données personnelles à la Société.
8. Droits des personnes concernées
8.1 Les personnes concernées ont le droit d’obtenir des informations sur leurs propres données personnelles détenues par la société en faisant une demande écrite au format
ici
La demande sera enregistrée.
8.2 La société répondra à la demande susmentionnée dans un délai de 40 jours à compter de la date de la demande écrite, ou dans un délai plus court si les lois applicables en matière de protection des données l’exigent.
8.3 Les personnes concernées ont le droit d’exiger de la Société qu’elle corrige ou complète les données personnelles erronées, trompeuses, périmées ou incomplètes détenues à leur sujet.
9. Données sensibles (catégorie spéciale)
9.1 Les données à caractère personnel sensibles ne doivent être traitées que si
9.1.1 Ce traitement est spécifiquement autorisé ou requis par la loi.
9.1.2 La personne concernée y consent expressément et sans ambiguïté.
9.1.3 Lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement, mais que le traitement est nécessaire pour protéger un intérêt vital de la personne concernée. Cette exemption peut s’appliquer, par exemple, lorsque des soins médicaux d’urgence sont nécessaires.
9.1.4 Les données relatives aux infractions pénales ne peuvent être traitées que par le service juridique ou sous son contrôle.
10. Assurance de la qualité des données
10.1 Les données à caractère personnel ne doivent être conservées que pendant la période nécessaire aux utilisations autorisées. L’entreprise a établi une politique de conservation des données qui détermine les délais applicables à la suppression des données.
10.2 Les données personnelles seront effacées si leur stockage enfreint une loi sur la protection des données ou si la connaissance des données n’est plus nécessaire à la Société, ou à la demande de la personne concernée.
11. Traitement intra-groupe
11.1 Lorsque la Société s’appuie sur une autre société du groupe pour l’aider dans ses activités de traitement, elle conclura un accord de transfert de données basé sur les clauses types de l’UE avec cette autre société du groupe afin de garantir que la responsabilité des données est clairement identifiée, étant donné que les deux parties peuvent être considérées comme des contrôleurs de données.
11.2 Lorsque l’autre société du groupe est située à l’étranger, les sociétés du groupe impliquées dans le traitement sont appelées respectivement exportateur de données et importateur de données, bien qu’il puisse y avoir plus d’un importateur de données impliqué dans le traitement.
12. Tiers responsables du traitement.
12.1 De même, lorsque la Société s’appuie sur des tiers pour l’aider dans ses activités de traitement, elle choisira un responsable du traitement des données qui fournit des mesures de sécurité suffisantes et prend des mesures raisonnables pour garantir le respect de ces mesures et, dans le cas d’un tiers situé aux États-Unis, qu’il est également enregistré pour le bouclier de protection de la vie privée UE-États-Unis.
13. Contrats écrits pour les sous-traitants tiers.
13.1 L’entreprise conclut un contrat écrit avec chaque responsable du traitement des données, lui imposant de se conformer aux lois sur la protection des données et aux exigences de sécurité imposées à l’entreprise en vertu de la législation locale.
14. Audits des sous-traitants tiers.
14.1 Dans le cadre de son processus d’audit interne des données, la Société procède à des vérifications périodiques du traitement par des sous-traitants tiers, notamment en ce qui concerne les procédures de transfert des données, en particulier en ce qui concerne les mesures de sécurité.
15. Avis aux administrateurs, dirigeants et cadres sur les sanctions potentielles en cas de non-conformité
15.1 Le CGH doit informer les administrateurs, les directeurs et les autres dirigeants de l’entreprise que :
15.1.1 Le non-respect des lois sur la protection des données peut entraîner une responsabilité pénale et civile, y compris des amendes, des peines d’emprisonnement et des dommages-intérêts ; et
15.1.2 Ils peuvent être personnellement responsables lorsqu’une infraction est commise par l’entreprise avec leur consentement ou leur connivence ou est imputable à une négligence de leur part.
16. Sécurité des données
16.1 L’entreprise a mis en œuvre une politique de gestion de la sécurité des données, en vertu de laquelle elle doit adopter des mesures physiques, techniques et organisationnelles pour assurer la sécurité des données personnelles, y compris la prévention de leur altération, perte, dommage, traitement ou accès non autorisé, compte tenu de la nature des données et des risques auxquels elles sont exposées en raison de l’action humaine ou de l’environnement physique ou naturel. Ces mesures seront documentées dans la politique de gestion de la sécurité des données, qui sera réexaminée au moins une fois par an ou, le cas échéant, pour refléter des changements significatifs dans les dispositions en matière de sécurité.
16.2 Des mesures de sécurité adéquates doivent comprendre tous les éléments suivants :
16.2.1 Empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données dans lesquels les données à caractère personnel sont traitées.
16.2.2 Empêcher les personnes autorisées à utiliser un système de traitement des données d’accéder aux données au-delà de leurs besoins et de leurs autorisations.
16.2.3 Veiller à ce que les données à caractère personnel en cours de transmission électronique, de transport ou de stockage sur un support de données ne puissent être lues, copiées, modifiées ou supprimées sans autorisation.
16.2.4 Veiller à ce que les données à caractère personnel soient protégées contre toute destruction ou perte indésirable.
16.2.5 Veiller à ce que les données collectées à des fins différentes puissent être et soient traitées séparément.
16.2.6 Veiller à ce que les données ne soient pas conservées plus longtemps que prévu dans la politique de conservation des données, y compris en exigeant que les données transférées à des tiers soient renvoyées ou détruites.
17. Mesure de la conformité.
17.1 Le CGH établit un calendrier et met en œuvre un audit de conformité en matière de respect de la vie privée pour toutes les unités opérationnelles. Le CGH, en coopération avec les unités opérationnelles, élabore un plan et un calendrier pour corriger les déficiences identifiées dans un délai fixé et raisonnable.
17.2 Chaque unité opérationnelle de la Société doit revoir chaque année ses pratiques en matière de collecte, de traitement et de sécurité des données et doit déterminer les données à caractère personnel qu’elle collecte, y compris celles qui sont conservées dans des systèmes manuels qui constituent des “systèmes de classement pertinents”.
17.3 Les informations recueillies dans le cadre de cet examen annuel sont communiquées au Conseil supérieur de l’agriculture pour examen et action appropriée, y compris, mais sans s’y limiter, les éléments suivants :
17.3.1 Formuler des recommandations pour l’amélioration des politiques et des procédures afin d’améliorer le respect de la présente politique de protection des données et de la législation applicable.
17.3.2 Satisfaire aux exigences d’auto-certification de la conformité au sein des autorités locales de protection des données, et à la conformité avec la propre IGDTA de l’entreprise.
18. Mise en œuvre.
18.1 La présente politique de protection des données est mise à la disposition des employés par le biais du système de conformité de l’entreprise, et une version publique abrégée est mise à la disposition des autres parties prenantes sur le site web de l’entreprise.
18.2 Cette politique peut être révisée à tout moment, mais au moins une fois par an, par le CGH. Les révisions importantes sont notifiées aux employés par le biais du système de conformité de l’entreprise et aux autres personnes par le biais du site web de l’entreprise.
Michael Beacher
Chef de la conformité du groupe
Janvier 2021
Annexe A
Glossaire
Le consentement : On entend par consentement “toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
Néanmoins, le consentement peut être obtenu par un certain nombre de méthodes. Il peut s’agir de clauses dans les contrats de travail, de cases à cocher dans les réponses aux formulaires de demande ou d’achat, et de cases à cliquer dans les formulaires en ligne où des données à caractère personnel sont saisies.
Dans la plupart des pays de l’Union européenne, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu’une forme de consentement spécifique et actif est nécessaire. Cette exigence est parfois jugée moins claire en dehors de l’UE.
Données : Les données (qu’elles aient ou non une majuscule initiale) utilisées dans la présente politique de protection des données sont des informations qui, soit
- est traitée au moyen d’équipements fonctionnant automatiquement en réponse à des instructions données à cette fin ;
- est enregistré dans l’intention d’être traité au moyen de ces équipements ;
- est enregistré comme faisant partie d’un système d’archivage pertinent ou avec l’intention qu’il fasse partie d’un système d’archivage pertinent ;
- ne relève d’aucune des catégories ci-dessus, mais fait partie d’un dossier facilement accessible concernant une personne.
Les données comprennent donc toutes les données numériques provenant d’un ordinateur ou d’un équipement automatisé, les enregistrements téléphoniques et toute information manuelle faisant partie d’un système de dépôt pertinent.
Contrôleur des données : Un contrôleur de données est une personne qui (seule ou avec d’autres) détermine les finalités et la manière dont les données à caractère personnel sont ou doivent être traitées. Dans la plupart des cas, c’est l’entreprise elle-même qui est le contrôleur des données.
Exportateur de données ;
L’exportateur de données est le responsable du traitement des données ou le sous-traitant qui transfère des données à caractère personnel à l’étranger.
Importateur de données ;
L’importateur de données est le contrôleur de données ou le responsable du traitement des données qui accepte de recevoir de l’exportateur de données des données à caractère personnel en vue d’un traitement ultérieur conformément aux dispositions de la présente politique et de l’accord de transfert de données correspondant.
Responsable du traitement des données : Le responsable du traitement des données désigne toute personne, autre qu’un employé du responsable du traitement des données, qui traite les données pour le compte du responsable du traitement des données. Une entreprise peut être un responsable du traitement des données si elle est définie comme telle dans les conditions contractuelles avec le responsable du traitement des données.
Autorité de protection des données : Organisme chargé de la protection des données et de la vie privée. Les autorités sont chargées de faire respecter les droits à l’information dans l’intérêt public et privé.
Lois sur la protection des données : La loi sur la protection des données de 2018 et le règlement général sur la protection des données (règlement UE 2016/679) ; toute législation sur la protection des données en dehors de l’UE au sein des pays dans lesquels ATPI opère ; et les règlements sur les communications électroniques (directive CE) de 2003 et toutes leurs révisions.
Sécurité des données : Mesures que le responsable du traitement et le sous-traitant doivent mettre en œuvre pour respecter les principes de protection des données dès la conception et par défaut et pour garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes, en tenant compte de l’état de l’art, du coût de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.
Personne concernée : La personne concernée est la personne à laquelle les données se réfèrent. Les personnes concernées sont les clients et les utilisateurs du web, les personnes figurant sur les listes de contact/de courrier électronique ou les bases de données marketing, les employés, les sous-traitants et les fournisseurs.
Bouclier de protection de la vie privée UE-États-Unis : Cadre élaboré par le ministère américain du commerce et la Commission européenne pour permettre les échanges transatlantiques en matière de protection des données à des fins commerciales. Le bouclier de protection de la vie privée UE-États-Unis permet aux entreprises de l’UE et des États-Unis de se conformer aux exigences en matière de protection des données lorsqu’elles transfèrent des données à caractère personnel de l’UE vers les États-Unis.
Données à caractère personnel : Les données à caractère personnel désignent les données relatives à une personne vivante qui peut être identifiée à partir de ces données ou de ces données et d’autres informations en possession ou susceptibles d’entrer en possession d’un contrôleur de données ou d’un responsable du traitement des données. Les données à caractère personnel ne comprennent pas les informations qui ont été rendues anonymes, codées ou autrement dépouillées de leurs identifiants, ni les informations qui sont accessibles au public à moins qu’elles ne soient combinées avec d’autres informations personnelles non publiques.
Traitement : Le traitement couvre un large éventail d’opérations relatives aux données, y compris l’obtention, l’enregistrement ou la conservation des données ou l’exécution de toute opération ou série d’opérations sur les données, y compris :
- Organisation, adaptation ou modification ;
- la divulgation par transmission, diffusion ou autre ; et
- Alignement, combinaison, blocage, effacement ou destruction.
Le terme “traité” est interprété en conséquence.
Système de classement pertinent : On entend par “système de classement pertinent” tout ensemble d’informations relatives à des personnes physiques, conservées dans des fichiers manuels ou électroniques, structurées, soit par référence à des personnes physiques, soit par référence à des critères relatifs à des personnes physiques, de manière à ce que les informations spécifiques relatives à une personne physique donnée soient facilement accessibles.
Par conséquent, toute base de données numérique et/ou tout fichier manuel organisé se rapportant à des personnes vivantes identifiables relève du champ d’application des lois et règlements relatifs à la protection des données, alors qu’une base de données contenant de pures informations statistiques ou financières (qui ne peuvent être directement ou indirectement liées à des personnes vivantes identifiables) ne relève pas de ce champ d’application.
Données sensibles : Les données sensibles sont des données à caractère personnel contenant des informations sur les personnes concernées :
- Race ou origine ethnique ;
- Croyances religieuses ou autres croyances de nature similaire ;
- Opinions politiques ;
- Santé ou état physique ou mental ;
- Antécédents ou orientation sexuels ;
- Adhésion à un syndicat ;
- La commission ou la prétendue commission d’une infraction et toute procédure judiciaire y afférente.
Technologie : La technologie doit être interprétée au sens large, de manière à inclure tout moyen de collecte ou de traitement des données, y compris, sans s’y limiter, les ordinateurs et les réseaux, les systèmes de télécommunications, les dispositifs d’enregistrement vidéo et audio, les dispositifs biométriques, la télévision en circuit fermé, etc.
Lien vers le formulaire de demande de DSA
Lien vers l’avis de confidentialité GDPR