Politique de confidentialité des données

Politique de protection des données personnelles et de confidentialité

La présente politique de protection des données à caractère personnel décrit les règles imposées au sein de AST08. Elle constitue un domaine prioritaire dans notre démarche de responsabilité sociale de l’entreprise (RSE). Sa formalisation traduit notre volonté d'adhérer aux exigences du référentiel de gouvernance établi par la commission nationale de l'informatique et des libertés (la CNIL).

Notre politique externe de protection de la vie privée et des données à caractère personnel s'impose à tout agent de notre établissement amené à traiter ce type de données ainsi qu'à toute personne physique ou morale externe intervenant pour notre compte dans la chaîne de traitement.

La présente politique vous informe au sujet du mode de collecte et de traitement de vos données à caractère personnel ainsi que sur la manière de définir et de garantir les rôles et responsabilités de chacun des acteurs impliqués dans leur traitement.

 

 
I. Fondamentaux
 

L’ensemble des définitions est fourni à l’article 4 du RGPD, les principales sont citées ci-dessous afin de faciliter la compréhension du présent document.

 
1. Données à caractère personnel
«Données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «Personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

C’est à dire que toute donnée permettant d’identifier une personne physique, au besoin en recourant à des informations complémentaires obtenues auprès d’un tiers est une donnée personnelle.

 

2. Traitement
«Traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l'interconnexion, la limitation, l'effacement ou la destruction;

C’est à dire toute manipulation de données personnelles est un traitement, y compris lorsqu’il s’agit de documents papier.

 
3. Fichier
«Fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

Un fichier de tableur, un répertoire papier ou bien sûr une base de données contenant les coordonnées d’individus, par exemple, constituent des fichiers de données à caractère personnel au sens du règlement.

 

4. Personne concernée
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.

Il s’agit obligatoirement d’une personne physique dont les données sont collectées et traitées. Les données propres aux personnes morales (société, entreprise, collectivité) ne rentrent pas dans le champ d’application du RGPD et par conséquent ne sont pas visées par la présente politique de gestion des données à caractère personnel.

 

II. Principes de protection de la vie privée
 

1. Finalité du traitement

  • Nos finalités
  • Déterminées : vos données sont recueillies pour un usage précis et bien défini ;
  • Légitimes : les finalités sont en adéquation avec les normes et réglementation. Nous n'allons jamais à l'encontre de vos droits ou de vos libertés fondamentales ;
  • Et explicites : les finalités sont énoncées de manière compréhensible par les personnes dont les données vont être traitées.

2. Pertinence des données
La finalité définie permet de déterminer la pertinence des données que nous allons collecter. Seules les données adéquates, pertinentes et strictement nécessaires pour atteindre la finalité seront collectées et traitées. Nous veillons à mettre à jour les données tout au long des traitements afin de maintenir leur validité.

 

3. Conservation limitée des données
La durée de conservation des données n’excède pas la durée nécessaire aux finalités que nous vous exposons et nous vous informons de la durée pendant laquelle nous conserverons vos données.

Nous conservons les données que vous nous avez transmises dans le cadre des traitements liés à la gestion des contrats passés avec Ardennes Santé Travail, ainsi que pendant les durées légales applicables après la fin des contrats.

 

4. Accès restreint aux données
Seuls les destinataires dûment habilités peuvent accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à leurs missions. Des règles d’accès et de confidentialité strictes sont applicables aux données personnelles traitées.

Les droits d’accès sont accordés en adéquation avec la fonction de l’utilisateur et sont mis à jour en cas d’évolution ou de changement de fonction.

 

5. La sécurité
AST08 détermine et met en œuvre les moyens nécessaires à la protection des traitements de données à caractère personnel pour éviter les intrusions et prévenir ainsi toute perte de confidentialité, modification non désirée ou destruction de données. Nous recourons pour ce faire à des mesures d’ordre logique, physique ou organisationnel.

 

6. Respect des droits des personnes
Suivant cette politique, chaque formulaire de collecte de données informe la personne auprès de laquelle sont recueillies des données à caractère personnel :

  • de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • de la finalité poursuivie par le traitement auquel les données sont destinées ;
  • du caractère obligatoire ou facultatif de ses réponses ;
  • des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • des destinataires ou catégories de destinataires des données ;
  • des droits des personnes à l’égard des traitements des données à caractère personnel ;
  • de l’existence, le cas échéant, de transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
  • de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

En vertu de la législation applicable en matière de protection des données personnelles, la personne concernée dispose de plusieurs droits – ci-après listés – lui permettant d’assurer la maîtrise du traitement de données personnelles la concernant :

  • droit d'accès ;
  • droit de rectification ;
  • droit d’opposition ;
  • droit de suppression des données personnelles la concernant ;
  • droit de définir des directives concernant le sort de ses données après sa mort ;
  • droit de retirer son consentement à tout moment ;
  • droit de solliciter une limitation du traitement ;
  • droit à l’oubli et à l’effacement numérique ;
  • droit à la portabilité de ses données ;
  • droit d’introduire une réclamation auprès de la CNIL.

Ces droits peuvent être exercés auprès de AST08 par mail "dpo@ast08.fr" ou par courrier accompagné d’une photocopie de tout document d’identité signé et le cas échéant d’un mandat :

  •  AST08 en charge des demandes d’exercice de droits

AST08 met en œuvre les moyens nécessaires pour assurer l’effectivité de leurs droits aux personnes concernées.

7. Les transferts de données
Vos données à caractère personnel peuvent être transférées, dans le cadre de la finalité poursuivie, vers un pays situé hors de l’Union Européenne.

Les destinataires ont dans ce cas uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité.

Conformément au Règlement Général sur la protection des Données (RGPD), le questionnaire  de collecte de données précise et informe la personne auprès de laquelle ont été recueillies des données à caractère personnel, de l’existence de transferts de données à caractère personnel à destination d’un État non membre de l’Union européenne.

Les transferts hors de l’Union Européenne sont strictement encadrés par les contrats de AST08 afin de garantir le niveau de protection des données à caractère personnel transférées.

 

III. Les acteurs de la protection des données
 

1. Le délégué à la protection des données
AST08 a désigné depuis le 25 mai 2018 un délégué à la protection des données (DPD), rattaché au responsable de traitement. Les missions du DPD consistent à informer et conseiller le président, assurer la conformité et la sécurité des traitements de données à caractère personnel et à être le point de contact des personnes concernées et de l’autorité de contrôle.

La position stratégique et les missions du DPD sont formalisées dans sa lettre de mission portée à la connaissance des instances représentatives et de l’ensemble de notre personnel.

 

2. Le responsable de traitement
Responsable de tout manquement au Règlement Général sur la Protection des Données qui pourrait être constaté au sein de Ardennes Santé Travail sans s’exonérer d’aucune responsabilité civile, administrative ou pénale sur ce plan, le Président de notre établissement est garant du respect des politiques de protection interne et externe publiées.

En fournissant les moyens nécessaires, il veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL.

 

3. Les sous-traitants
Les sous-traitants sont des prestataires externes auxquels notre société peut faire appel pour recueillir, utiliser et traiter de quelque manière que ce soit, les données personnelles pour notre compte.

Les sous-traitants sont contractuellement tenus d’appliquer notre politique de protection des données ainsi que tout autre mesure de mise en conformité déployée par AST08