POLITIQUE DE CONFIDENTIALITÉ ET DE PROTECTION
DES DONNÉES PERSONNELLES
SITE INTERNET ALKERN Version 0.1 du 01/01/2024
La présente politique de protection des données à caractère personnel (RGPD) (« Politique ») décrit quels types de données à caractère personnel ALKERN peut être amenée à collecter au moyen du site https ://www.alkern.fr (ci-après le « Site ») ainsi que la manière dont les données peuvent être utilisées.
Toutes les opérations sur vos données à caractère personnel sont réalisées dans le respect de la réglementation en vigueur et notamment de la loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978. Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toutes évolutions législatives, réglementaires, jurisprudentielles ou techniques. Vous devez vous référer avant toute navigation à la dernière version de la présente Politique de confidentialité.
Notre objectif est de vous communiquer notre Politique et de vous faire part régulièrement sur cette page des modifications éventuelles apportées à cette Politique, afin que vous soyez toujours pleinement informé des catégories d’informations que nous recueillons, de la manière dont nous les utilisons. La Politique fait partie intégrante des conditions générales d’utilisation du Site dont l’internaute déclare avoir pris connaissance.
1. Qui collecte les Données à Caractère Personnel ?
Le responsable des traitements réalisés à partir du Site est :
ALKERN France (ci-après dénommée ALKERN)
SAS au capital de 7 886 112,00 euros
Immatriculée au RCS de Arras sous le numéro 896 850 286
Dont le siège social est situé :
Parc de la Motte au bois
Rue André Bigotte
62440 Harnes
2. Utilisation et finalités de traitement des Données à Caractère Personnel
La notion de « Données à Caractère Personnel » désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par un ou plusieurs éléments qui lui sont propres.
Les Données à caractère Personnel sont les informations vous concernant qui permettent de vous identifier tels que le prénom, nom, adresse postale, email, téléphone, société et toute autre Donnée à caractère Personnel utile dans le cadre des finalités définies ci-après.
Finalité de traitement mise en œuvre par ALKERN |
Base légale |
|
|
|
|
|
|
|
|
|
|
Les données sont uniquement exploitées dans le cadre des finalités ci-dessus. En aucun cas, les données personnelles complétées ne seront transmises, louées ou commercialisées à des tiers.
3. Durée de conservation des Données à Caractère Personnel
- Création de compte permettant d’avoir accès aux outils Calcul de Psi et Calepinage : Les données de tout utilisateur inactif (accès au compte) pendant 2 ans sont supprimées.
- Formulaire de contact : Les données sont conservées pendant une durée de deux ans.
- Cookies et traceurs : Les données sont conservées pendant une durée de treize mois.
4. Droits des personnes
En application des articles 15 à 22 du règlement 2016/679 du 27 avril 2016, toute personne physique dont les données ont été collectées a la faculté d’exercer les droits suivants :
- Un droit d’accès
- Un droit de rectification,
- Un droit d’opposition au traitement de ses données et d’effacement de ses données,
- Un droit d’opposition au profilage,
- Un droit à la limitation du traitement,
- Un droit à la portabilité de ses données
L’internaute peut également formuler des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès conformément à l’article 40-1 de la loi 78-17 du 6 janvier 1978. Ces directives peuvent être générales ou particulières.
Enfin, il a la faculté de retirer son consentement à tout moment.
Ces droits peuvent être exercés auprès de ALKERN en adressant une demande à l’adresse : protectiondesdonnees@alkern.fr ou par courrier postal à l’adresse : ALKERN – Parc de la Motte aux bois Rue André Bigotte- 62440 Harnes
Après vérification de votre identité, ALKERN adresse une réponse dans un délai d’1 mois après l’exercice du droit. Dans certains cas, liés à la complexité de la demande ou au nombre de demandes, ce délai peut être prolongé de 2 mois.
Ces droits peuvent, dans certains cas prévus par la règlementation, être soumis à exceptions.
Sans réponse ou en cas de réponse non satisfaisante, l’internaute a la faculté de saisir l’autorité de contrôle sur la protection des données (la CNIL : www.cnil.fr).
6. Destinataires des données
Vos données sont susceptibles d’être transmises à des partenaires de ALKERN qui peuvent traiter les données pour leur compte (ce sont des destinataires) ou uniquement pour le compte et selon les instructions de ALKERN (ce sont des sous-traitants).
Les sous-traitants de ALKERN sont utilisés pour les opérations suivantes :
- La réalisation d’opérations de maintenance et de développements techniques du site internet
- L’expédition des emails de prospection commerciale
7. Sécurité et confidentialité
Notre société prend toutes les mesures de protection utiles pour assurer la confidentialité et la sécurité des Données à Caractère Personnel concernant les utilisateurs et empêcher que les dites données ne soient endommagées, effacées ou que des tiers non autorisés y aient accès. L’accès aux Données à Caractère Personnel est strictement limité aux personnes habilitées en raison de leurs fonctions et qui sont tenues par une obligation de confidentialité. Cependant, aucune transmission ou stockage de données personnelles n’est jamais totalement sécurisée. En conséquence, nous ne pouvons pas garantir la sécurité infaillible de l’information transmise ou stockée sur le serveur d’hébergement ou notre infrastructure informatique.
8. Protocole de cryptage (HTTPS / SSL)
HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l’intégrité ainsi que la confidentialité des données lors du transfert d’informations entre l’ordinateur de l’internaute et le Site. Le protocole HTTPS est présent sur notre Site afin de permettre aux internautes de le consulter en toute sécurité, quel que soit son contenu. Cela évite que les données personnelles saisies et envoyées via le formulaire soit facilement lues par des tiers lors de leur transit.
9. Hébergement du Site – Transferts hors de l’Union européenne
Le serveur d’hébergement du Site est situé en France, au sein de l’Union Européenne. Notre société s’engage à procéder à aucun transfert de Données à Caractère Personnel à destination d’un État non membre de la Communauté Européenne.
10. Fichiers journaux (Logs serveur) & politique de sécurité
Les journaux d’évènements sont des fichiers textes enregistrant de manière chronologique les évènements exécutés lors de l’accès au Site. L’analyse des journaux peut permettre de comprendre le cheminement d’une attaque et d’évaluer son impact. Notre Site utilise les journaux d’évènements car ils s’intègrent à notre politique de sécurité afin de prévenir les risques, d’identifier des incidents de sécurité et de réduire les vulnérabilités. Ils ne sont pas utilisés à d’autres fins. Les journaux d’évènements sont conservés pendant un an.
11. Cookies
Un cookie est un petit fichier texte qui peut être placé sur votre terminal à l’occasion de la consultation d’un Site Web. Un fichier cookie permet à son émetteur d’identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d’enregistrement dudit cookie. Certains cookies sont indispensables à l’utilisation du Site, d’autres permettent d’optimiser et de personnaliser les contenus affichés et d’assurer une expérience utilisateur optimale et adaptée aux préférences personnelles.
Notre société demande à toutes ces sociétés externes de respecter la loi « Informatique et Libertés » du 6 janvier 1978. Nous vous informons de l’objet des cookies tiers dont nous avons connaissance et des moyens dont vous disposez pour effectuer des choix à l’égard de ces cookies.
Le Site utilise plusieurs catégories de cookies dont les finalités sont décrites ci-après :
- Assurer le bon fonctionnement du Site
- Analyser l’audience sur les pages du Site
- Partager sur les réseaux sociaux
Vous disposez de différents moyens pour gérer vos cookies. Vous pouvez à tout moment choisir de désactiver ces cookies au sein du Site grâce au gestionnaire de consentement implémenté par ALKERN. Vous pouvez les accepter ou les refuser au cas par cas ou bien les refuser systématiquement. Nous vous rappelons que le paramétrage est susceptible de modifier vos conditions d’accès à nos services nécessitant l’utilisation de cookies.
Selon le type de cookies que vous souhaitez désactiver, vous pouvez également paramétrer vos choix au sein de votre navigateur.
La plupart des navigateurs acceptent les cookies par défaut. Cependant, vous pouvez décider de bloquer ces cookies ou demander à votre navigateur de vous avertir lorsqu’un Site Web tente d’implémenter un cookie sur votre terminal.
Pour changer la gestion des cookies de votre navigateur, vous pouvez modifier les réglages dans l’onglet confidentialité. Attention, certaines fonctionnalités du Site peuvent ne plus fonctionner.
La configuration de chaque navigateur est différente. Elle est décrite dans le menu d’aide de votre navigateur, qui vous permettra de savoir de quelle manière modifier vos souhaits en matière de cookies.
Pour Chrome : https://support.google.com/chrome/answer/95647?hl=fr&hlrm=en
Pour Internet Explorer : http://windows.microsoft.com/fr-FR/windows-vista/Block-or-allow-Cookies
Pour Microsoft Edge : https://support.microsoft.com/en-us/microsoft-edge/delete-cookies-in-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09
Pour FireFox : http://support.mozilla.org/fr/kb/cookies-informations-sites-enregistrent?redirectlocale=fr&redirectslug=G%C3%A9rer+les+cookies
Pour Opéra : http://help.opera.com/Windows/10.20/fr/cookies.html
GESTION DES DROITS DES PERSONNES SUR LES
DONNÉES À CARACTÈRE PERSONNEL
ALKERN – PROCESS INTERNE
Version 1.0 du 01/01/2024
1. Synthèse des droits existants
. Droit d’accès
La personne souhaite obtenir communication des données personnelles que l’entreprise détient sur elle.
. Droit de rectification
La personne souhaite que les données inexactes soient rectifiées ou complétées.
. Droit à l’effacement
La personne souhaite que ses données personnelles soient effacées
. Droit à la limitation du traitement
La personne souhaite temporairement que les traitement opérés par l’entreprise sur ses données soient limités.
. Droit à la portabilité des données
La personne souhaite récupérer ses données personnelles dans un format exploitable pour les transmettre à une autre société ou souhaite que l’entreprise transmette directement les données à une autre entreprise.
. Droit d’opposition au traitement de données
La personne s’oppose à recevoir des prospections commerciales.
2. Synthèse de la procédure de gestion des droits
La gestion d’un droit exercé par un individu doit suivre le parcours suivant :
- Envoi d’une demande par une personne physique à l’adresse de contact dédiée créée par l’entreprise.
- Réception de la demande de l’individu et vérification de son identité. En cas de doutes, un justificatif d’identité peut être demandé.
- Instruction de la demande. Sollicitation des personnes concernées en interne (DPO, DSSI…)
- Réponse à la personne concernée. En cas de transmission de données (accès ou portabilité), un moyen sécurisé doit être utilisé.
- Archivage du dossier pendant 5 ans.
DÉLAI DE TRAITEMENT DE 1 MOIS (prolongeable de 2 mois en cas de difficultés justifiées)
3. Gestion interne des demandes de droit
3.1 Tableau de suivi des demandes
Le tableau suivant doit être complété pour chaque demande d’exercice de droit afin de pouvoir opérer un suivi des demandes.
Numéro de demande | Date de la demande | Identité de la personne | Adresse de contact | Type de demande | Pièce d’identité | Commentaire | Statut |
3.2 Adresse de contact dédié à l’exercice des droits
L’adresse d’exercice des droits dédiée pour l’Entreprise est : protectiondesdonnees@alkern.fr
4. Gestion des demandes de droit : éléments communs à tous les droits
4.1 Identité du demandeur
Le responsable du traitement doit répondre à une demande après s’être assuré de l’identité du demandeur sous peine de communiquer des informations à un tiers non autorisé.
En cas de doute sur l’identité de la personne, un justificatif peut être demandé à l’individu.
Les modalités de cette vérification d’identité sont au choix du responsable de traitement, qui doit l’adapter à la sensibilité du traitement et des données personnelles, mais il ne saurait être question de chercher à gêner l’exercice du droit d’accès en formulant des exigences trop élevées.
Concernant les pièces d’identité acceptées, il est possible de s’inspirer de la liste définie par le code électoral. L’arrêté du 12 décembre 2013 pris en application des articles R. 5 et R. 60 du code électoral liste treize pièces pour les ressortissants français et celles que doivent produire les ressortissants de l’Union européenne.
Pour les mineurs, il faut demander une copie du livret de famille en plus de la justification d’identité.
Le droit d’accès est, certes, personnel, mais le titulaire peut tout à fait donner mandat à un tiers.
4.2 Délai de réponse à un droit
L’Entreprise doit répondre dans un délai d’1 mois.
Elle a la possibilité de prolonger le délai de réponse de deux mois (total : 3 mois) dans le cas où la demande est complexe et qu’en parallèle vous faites face à un grand nombre de demandes.
Toutefois, l’Entreprise est tenue d’informer la personne concernée de ce report dans un délai d’un mois à compter de la réception de la demande complète (soit le délai initial) et de fournir les motifs qui justifient le retard.
Il est prudent de conserver pendant un temps raisonnable une copie des éléments communiqués au demandeur (en sus du courrier de réponse), pour prouver la bonne diligence, pour traiter un éventuel droit de suite (correction, opposition, suppression), voire même un éventuel litige.
4.3 Demande abusive
L’Entreprise n’est pas tenue de répondre (de fournir les données demandées) à une demande manifestement abusive.
Le caractère manifestement abusif, se caractérise par le nombre, le caractère répétitif ou systématique de la demande.
En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
Le RGPD laisse le choix au responsable du traitement confronté à une demande manifestement infondée ou excessive, soit d’exiger le paiement de frais raisonnables liés aux coûts administratifs que cela suppose, soit de refuser de donner suite à une telle demande (Article 12 5°).
L’Entreprise s’appuie sur son DPO quant à l’analyse du caractère abusif de la demande.
Le raisonnement suivi par le DPO est à documenter, pour conserver trace de sa propre doctrine et rester cohérent lors des analyses du même type à venir.
5. Spécificités du droit d’accès
5.1 Catégories de données visées par le droit d’accès
L’article 15 du RGPD prévoit de communiquer une copie des données faisant l’objet du traitement. Toute donnée traitée par l’entreprise doit donc être communiquée à l’individu.
(Exemple pour un client : factures / date d’envoi des newsletters / historique de navigation / historique d’achat / historique lié au SAV. Exemple pour un salarié : Historique des congés ou absences / fiches de paie / Planning / données d’un système de badge / données d’un outil de géolocalisation…)
Dans sa délibération°2007-046 du 15 mars 2007, la CNIL indique que : « les informations enregistrées dans les zones dites bloc-notes, zones libres ou commentaires sont des données à caractère personnel au même titre que les données relatives au contrat client ». En conséquence, elles doivent également être communiquées.
Par ailleurs, en transmettant les données, il convient également de fournir à l’individu une liste étoffée d’informations :
– La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement (article 15.1) ;
– Les données à caractère personnel qui la concernent (article 15.1) ;
– Les finalités du traitement (article 15.1.a) ;
– Les catégories de données concernées (article 15.1.b) ;
– Les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier ceux qui sont établis dans des pays tiers ou les organisations internationales (article 15.1.c) ;
– La durée de conservation des données envisagée, ou si ce n’est pas possible, les critères utilisés pour déterminer cette durée (article 15.1.d) ;
– La possibilité d’exercer auprès du responsable du traitement les droits de rectification des données, d’effacement des données, d’opposition au traitement, et à la limitation du traitement (article 15.1.e);
– Le droit d’introduire une réclamation auprès d’une autorité de contrôle (article 15.1.f) ;
– Toute information disponible quant à la source des données la concernant lorsqu’elles ne sont pas collectées directement auprès d’elle (article 15.1.g) ;
– L’existence d’une prise de décision automatisée, y compris un profilage, ou du moins des informations utiles concernant aussi bien la logique sous-jacente que l’importance et les conséquences prévues de ce traitement pour elle (article 15.1.h) ;
– Les garanties appropriées en cas de transfert des données la concernant vers un pays tiers ou à une organisation internationale (article 15.2).
Avant que la réponse soit adressée, le DPO / PERSONNE HABILITÉE EN INTERNE veillera à sa complétude.
L’article 15.1.h) du RGPD indique que la personne concernée a le droit d’obtenir « des informations utiles » à propos de la logique sous-jacente du traitement de données qui entraîne une prise de décision automatisée. Précisant que la personne concernée a également le droit de se voir communiquer l’importance et les conséquences issues de ce traitement.
5.2 Recherches
À moins de précision de la part du demandeur, la recherche doit porter en priorité sur les applications majeures ALKERN et celles dont la personne concernée a naturellement connaissance (gestion de ses commandes, dossier du personnel, etc.).
Dans certains cas particuliers à identifier (dont le service Ressources humaines), les informations peuvent également être cherchées dans les dossiers papier.
La réponse doit être rédigée de manière claire et lisible. Pour se faire, les codes et abréviations qui figureraient sur les documents communiqués au demandeur doivent être explicités.
Le DPO / PERSONNE HABILITÉE EN INTERNE y veille (en essayant de se mettre « à la place » du demandeur) et formule ses conseils.
5.3 Limites
Le RGPD limite le droit d’accès en fonction du droit des tiers. Il indique dans son considérant 63 que ce droit doit s’exercer sans porter atteinte aux droits et libertés d’autrui, ni au secret des affaires ou à la propriété intellectuelle, « notamment au droit d’auteur protégeant le logiciel ».
5.4 Salariés
Un salarié doit pouvoir accéder à l’ensemble des données de gestion des ressources humaines qui ont servi à prendre une décision à son égard (quel qu’en soit le support – le dossier papier, sur lequel des notes manuscrites peuvent avoir été portées, doit également pouvoir être accédé), mais le salarié (ou l’ancien salarié) n’a pas le droit d’accéder aux données concernant la situation personnelle d’un tiers, notamment d’un autre salarié, et aux données prévisionnelles de carrière (potentiel de carrière, classement), sauf si ces données ont été prises en compte pour décider de son augmentation de salaire, de sa promotion, de son affectation, etc.
6. Spécificités du droit de rectification
Lorsqu’une personne demande que ses données soient rectifiées, il convient de vérifier si les données ont été transmises par l’entreprise à un destinataire.
Dans ce cas, si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit de rectification.
7. Spécificités du droit à l’effacement (droit à l’oubli)
Une personne a le droit d’obtenir l’effacement des données lorsque :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- La personne a retiré son consentement au traitement des données ;
- La personne exerce un droit d’opposition avec un motif valable et l’Entreprise n’a pas de motif impérieux à conserver les données ;
- Les données concernent un mineur de moins de 15 ans ;
- Les données doivent être effacées pour respecter une obligation légale.
Le droit à l’effacement sera limité dans les cas suivants :
- Le traitement est nécessaire au respect du droit à la liberté d’expression et d’information ;
- Une obligation légale requiert le traitement de données ou la conservation des données ;
- La conservation des données est nécessaire à la constatation, à l’exercice ou à la défense des droits en justice.
Si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit à l’effacement.
8. Spécificités du droit à la limitation du traitement
Le droit à la limitation du traitement est un droit temporaire.
Pendant la limitation du traitement, les données peuvent être conservées par le responsable de traitement à l’exclusion de tout autre traitement.
Il s’applique dans les cas suivants :
- L’exactitude des données est contestée : la limitation s’applique pendant la durée de vérification des données ;
- Le responsable de traitement n’a plus besoin des données mais celles-ci sont encore nécessaires pour une personne afin d’exercer ses droits en justice. Ex : les images d’un système de vidéosurveillance sont supprimées après un délai d’1 mois. En exerçant son droit à la limitation, la personne demande que la suppression sont soit suspendue le temps de récupérer les données pour exercer un droit en justice ;
- La personne exerce son droit d’opposition : la limitation du traitement s’applique le temps de vérifier le motif légitime de la demande et de donner suite ou non à la demande.
Si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit à la limitation.
9. Spécificités du droit à la portabilité des données
9.1 Étendue du droit à la portabilité
Le droit à la portabilité des données ne concerne que les données qui ont été fournies par l’individu à l’entreprise.
Cela ne concerne donc pas les données générées par l’entreprise (données enrichies et données nouvelles) sur cet individu et qui n’auraient pas été collectées directement auprès de cet individu.
Ex : Un client fournit son nom, prénom et adresse email. L’entreprise catégorise ce client comme un « client gold ».
Dans ce cas, le droit à la portabilité des données ne portera que sur le nom, prénom et l’adresse email.
A noter que le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers à cette demande.
9.2 Bases juridiques pour lesquelles le droit à la portabilité s’applique
À noter que le droit à la portabilité ne s’applique que pour les traitements qui se basent sur le consentement de l’individu ou sur l’exécution d’un contrat à l’exclusion de toute autre base juridique.
9.3 Méthode de mise à disposition des données
Pour le droit à la portabilité, il y a deux hypothèses :
- Soit l’individu demande à récupérer ses données pour les transmettre lui-même à une autre entreprise ;
- Soit l’individu demande que l’Entreprise qui a collecté les données, les transmettent directement à l’autre entreprise.
En l’absence de précisions de l’individu, les données doivent lui être remises dans un format générique exploitable et interopérable (ex : doc .csv .rtf…).
10. Spécificités du droit d’opposition au traitement de données : hypothèses de droit d’opposition
Le droit d’opposition est de deux ordres :
- Un droit d’opposition pour des raisons tenant à sa situation particulière ;
- Un droit d’opposition spécifique à la prospection commerciale et au profilage à des fins de prospection ;
Le premier droit d’opposition s’applique lorsque la personne concernée justifie de raisons propres à sa demande et que l’entreprise ne peut démontrer aucun motif légitime et impérieux de conserver les données.
Le droit d’opposition spécifique à la prospection commerciale et au profilage à des fins de prospection s’applique sans motif. Dès lors, l’Entreprise doit y donner droit dans tous les cas.
Exemples de droit d’opposition à la prospection commerciale : Désabonnement email / désabonnement SMS / Désabonnement prospection par courrier.