Contactez-nous

politique de confidentialité

Nous révisons régulièrement la présente Politique de confidentialité. Il se peut que nous devions y apporter des modifications ou des ajouts qui pourraient affecter le traitement de vos données. Nous indiquerons sur cette page toute modification apportée à la Politique de confidentialité ; veuillez donc la consulter régulièrement.

La présente politique de confidentialité a été révisée et mise à jour pour la dernière fois en mai 2023.

1. INTERPRÉTATION

1.1 DÉFINITIONS :

Prise de décision automatisée (ADM) :
Lorsqu'une décision est prise sur la base exclusive d'un traitement automatisé (y compris le profilage) produisant des effets juridiques ou affectant de manière significative une personne physique, le RGPD interdit la prise de décision automatisée (sauf sous certaines conditions), mais pas le traitement automatisé.
Traitement automatisé :
Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne, notamment pour analyser ou prédire des aspects concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements. Le profilage est un exemple de traitement automatisé.
Nom de l'entreprise:
Sona Business BV.
Personnel de l'entreprise :
tous les employés, travailleurs, entrepreneurs, intérimaires, consultants, administrateurs, membres et autres.
Consentement:
un accord qui doit être donné librement, spécifique, éclairé et constituer une indication sans équivoque des souhaits de la personne concernée par laquelle celle-ci, par une déclaration ou par une action positive claire, signifie son accord au traitement des données à caractère personnel la concernant.
Responsable du traitement des données :
La personne ou l'organisation qui détermine quand, pourquoi et comment traiter les données personnelles. Elle est responsable de la mise en place de pratiques et de politiques conformes au RGPD. Nous sommes le responsable du traitement de toutes les données personnelles relatives à notre personnel, aux candidats potentiels et aux données personnelles que nous utilisons dans le cadre de nos activités commerciales légitimes.
Personne concernée :
Une personne physique vivante, identifiée ou identifiable, dont nous détenons des données personnelles. Les personnes concernées peuvent être des ressortissants ou des résidents de n'importe quel pays et peuvent disposer de droits légaux concernant leurs données personnelles.
Évaluation d'impact relative à la protection des données (EIPD) :
Les outils et évaluations utilisés permettent d'identifier et de réduire les risques liés au traitement des données. L'analyse d'impact relative à la protection des données (AIPD) peut être réalisée dans le cadre du principe de protection des données dès la conception et devrait être menée pour tout projet de changement majeur de système ou d'activité impliquant le traitement de données personnelles.
Délégué à la protection des données (DPO) :
La personne dont la désignation est obligatoire dans certaines circonstances en vertu du RGPD. Lorsqu'aucun délégué à la protection des données (DPO) n'a été désigné, ce terme désigne un responsable de la protection des données ou toute autre désignation volontaire d'un DPO, ou encore l'équipe de l'entreprise chargée de la protection des données et de la conformité au RGPD.
EEE :
les 28 pays de l'UE, ainsi que l'Islande, le Liechtenstein et la Norvège.
Consentement explicite :
un consentement qui requiert une déclaration très claire et précise (c’est-à-dire, pas seulement une action).
Règlement général sur la protection des données (RGPD) :
Le Règlement général sur la protection des données ((UE) 2016/679). Les données personnelles sont soumises aux garanties juridiques prévues par le RGPD.
Données personnelles :
Toute information permettant d'identifier une personne concernée ou relative à une personne concernée que nous pouvons identifier (directement ou indirectement) à partir de ces données seules ou combinées à d'autres identifiants que nous possédons ou auxquels nous pouvons raisonnablement accéder. Les données personnelles comprennent les données personnelles sensibles et les données personnelles pseudonymisées, mais excluent les données anonymisées ou les données dont l'identité d'une personne a été définitivement supprimée. Les données personnelles peuvent être factuelles (par exemple, un nom, une adresse électronique, un lieu de résidence ou une date de naissance) ou constituer une opinion sur les actions ou le comportement de cette personne.
Violation de données personnelles :
Tout acte ou omission compromettant la sécurité, la confidentialité, l'intégrité ou la disponibilité des Données Personnelles, ou les mesures de protection physiques, techniques, administratives ou organisationnelles mises en place par nous ou nos prestataires de services tiers pour les protéger. La perte, l'accès non autorisé, la divulgation ou l'acquisition de Données Personnelles constitue une Violation de Données Personnelles.
Protection de la vie privée dès la conception :
mettre en œuvre de manière efficace les mesures techniques et organisationnelles appropriées pour assurer la conformité au RGPD.
Avis de confidentialité (également appelés avis de traitement équitable) :
Des avis distincts précisent les informations susceptibles d'être communiquées aux personnes concernées lorsque la société collecte des données les concernant. Ces avis peuvent prendre la forme de déclarations générales de confidentialité applicables à un groupe spécifique de personnes (par exemple, les avis de confidentialité destinés aux employés, aux candidats ou la politique de confidentialité du site web) ou de déclarations de confidentialité ponctuelles et autonomes couvrant le traitement lié à une finalité spécifique.
Traitement ou Processus :
Toute activité impliquant l'utilisation de données personnelles comprend la collecte, l'enregistrement, la conservation ou toute opération effectuée sur ces données, notamment leur organisation, leur modification, leur extraction, leur utilisation, leur divulgation, leur effacement ou leur destruction. Le traitement inclut également la transmission ou le transfert de données personnelles à des tiers.
Pseudonymisation ou pseudonymisé :
remplacer les informations qui identifient directement ou indirectement une personne par un ou plusieurs identifiants artificiels ou pseudonymes, de sorte que la personne à laquelle les données se rapportent ne puisse être identifiée sans l'utilisation d'informations supplémentaires destinées à être conservées séparément et en toute sécurité.
Politiques connexes :
les politiques, procédures opérationnelles ou processus de toute entreprise liés à la présente norme de confidentialité et conçus pour protéger les données personnelles.
Données personnelles sensibles :
les informations révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, l'état de santé physique ou mentale, la vie sexuelle, l'orientation sexuelle, les données biométriques ou génétiques, et les données personnelles relatives aux infractions et condamnations pénales.

2. INTRODUCTION

La présente norme de confidentialité décrit comment nous traitons les données personnelles de nos clients, clients potentiels, fournisseurs, employés, candidats à l'emploi, travailleurs et autres tiers.

La présente norme de confidentialité s'applique à toutes les données personnelles que nous traitons, quel que soit le support sur lequel ces données sont stockées ou qu'elles concernent d'anciens ou actuels employés, candidats, travailleurs, clients, fournisseurs, actionnaires, utilisateurs de site Web ou toute autre personne concernée.

La présente Politique de confidentialité s'applique à l'ensemble du personnel de notre entreprise. Tout membre du personnel est tenu de lire, de comprendre et de respecter cette Politique de confidentialité lorsqu'il traite des données personnelles pour notre compte et suivra une formation sur ses exigences. Cette Politique de confidentialité définit nos attentes afin que l'entreprise soit conforme à la législation applicable. Le respect de cette Politique de confidentialité est obligatoire. Des politiques et directives de confidentialité connexes peuvent être disponibles pour vous aider à interpréter et à appliquer cette Politique de confidentialité. Tout manquement à cette Politique de confidentialité pourra faire l'objet de mesures disciplinaires.

Cette norme de confidentialité ne peut être partagée avec des tiers, des clients ou des organismes de réglementation sans l'autorisation préalable du DPO.

3. CHAMP D'APPLICATION

Nous reconnaissons que le traitement correct et licite des données personnelles est essentiel au maintien de la confiance dans notre organisation et à la réussite de nos activités. La protection de la confidentialité et de l'intégrité des données personnelles est une responsabilité primordiale que nous prenons très au sérieux. En cas de non-respect des dispositions du RGPD, la société s'expose à des amendes pouvant atteindre 20 millions d'euros ou 41 030 milliards de dollars de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu et en fonction de la gravité de l'infraction.

Tous les PDG, directeurs, gestionnaires, chefs de département, superviseurs et cadres supérieurs sont responsables de veiller à ce que tout le personnel de l'entreprise respecte cette norme de confidentialité et doivent mettre en œuvre des pratiques, des processus, des contrôles et des formations appropriés pour garantir cette conformité.

Le délégué à la protection des données (DPO) est responsable de la supervision de la présente norme de confidentialité et, le cas échéant, de l'élaboration des politiques et lignes directrices connexes en matière de confidentialité. Vous pouvez contacter le DPO à l'adresse suivante : data@sonabusiness.com.

Veuillez contacter le Délégué à la protection des données (DPO) pour toute question relative à l'application de la présente norme de confidentialité ou du RGPD, ou si vous craignez que cette norme ne soit pas ou n'ait pas été respectée. En particulier, vous devez impérativement contacter le DPO dans les circonstances suivantes :

  1. Si vous n’êtes pas certain de la base légale sur laquelle nous nous appuyons pour traiter les données personnelles (y compris les intérêts légitimes utilisés par la société) (voir la section [5.1] ci-dessous) ;
  2. Si vous estimez que nous devons nous appuyer sur le consentement et/ou que nous devons recueillir un consentement explicite (voir la section [5.2] ci-dessous) ;
  3. Si vous pensez que nous devons rédiger ou partager des avis de confidentialité ou des avis de traitement équitable (voir la section [5.3] ci-dessous) ;
  4. Si vous n’êtes pas sûr de la durée de conservation des Données Personnelles Traitées (voir la section [9] ci-dessous) ;
  5. Si vous n’êtes pas certain des mesures de sécurité ou autres à mettre en œuvre pour protéger les données personnelles (voir la section [10.1] ci-dessous) ;
  6. En cas de violation de données personnelles (section [10.2] ci-dessous) ;
  7. Si vous n’êtes pas certain de la base sur laquelle nous transférons des données personnelles en dehors de l’EEE (voir la section [11] ci-dessous) ;
  8. Si vous avez besoin d’aide concernant vos droits ou tout droit invoqué par une personne concernée (voir la section [12]) ;
  9. Lorsque vous pensez que nous nous engageons dans une nouvelle activité de traitement importante, ou dans une modification de celle-ci, susceptible de nécessiter une analyse d’impact relative à la protection des données (voir la section [13.4] ci-dessous) ou que nous prévoyons d’utiliser des données personnelles à des fins autres que celles pour lesquelles elles ont été collectées ;
  10. Si vous pensez que nous prévoyons d’entreprendre des activités impliquant un traitement automatisé, y compris le profilage ou la prise de décision automatisée (voir la section [13.5] ci-dessous) ;
  11. Si vous avez besoin d'aide ou de conseils concernant le respect de la législation applicable lors de nos activités de marketing direct ou si vous avez des inquiétudes concernant les activités de marketing direct auxquelles la Société pourrait participer (voir la section [13.6] ci-dessous) ; ou
  12. Si vous avez besoin d’aide concernant des contrats ou d’autres domaines liés à notre partage de données personnelles avec des tiers (y compris les fournisseurs) (voir la section [13.7] ci-dessous).

4. PRINCIPES DE PROTECTION DES DONNÉES PERSONNELLES

Nous adhérons aux principes relatifs au traitement des données personnelles énoncés dans le RGPD, qui exigent que les données personnelles soient :

  1. Traité de manière licite, équitable et transparente (Légalité, Équité et Transparence).
  2. Collectées uniquement à des fins spécifiques, explicites et légitimes (Limitation de la finalité).
  3. Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).
  4. Exact et, le cas échéant, mis à jour (Exactitude).
  5. Les données ne sont pas conservées sous une forme permettant l’identification des personnes concernées pendant une durée supérieure à celle nécessaire aux fins pour lesquelles elles sont traitées (limitation de la conservation).
  6. Traitées de manière à garantir leur sécurité grâce à des mesures techniques et organisationnelles appropriées pour les protéger contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou dommage accidentel (Sécurité, Intégrité et Confidentialité).
  7. Ne peut être transféré vers un autre pays sans que des garanties appropriées soient en place (limitation des transferts).
  8. Mise à la disposition des personnes concernées et leur permettant d'exercer certains droits relatifs à leurs données personnelles (droits et demandes des personnes concernées).

Nous sommes responsables et devons être en mesure de démontrer notre conformité aux principes de protection des données énumérés ci-dessus (Responsabilité).

5. LÉGALITÉ, ÉQUITÉ, TRANSPARENCE

5.1 LÉGALITÉ ET ÉQUITÉ

Les données personnelles doivent être traitées de manière licite, loyale et transparente à l’égard de la personne concernée.

Nous ne collecterons, ne traiterons et ne partagerons les données personnelles que de manière loyale et licite, et pour des finalités spécifiques. Le RGPD encadre strictement nos actions relatives aux données personnelles et les limite à des finalités légitimes. Ces restrictions n'ont pas pour but d'empêcher le traitement des données, mais de garantir un traitement loyal et sans préjudice pour la personne concernée.

Le RGPD autorise le traitement des données à des fins spécifiques, dont certaines sont présentées ci-dessous :

  1. La personne concernée a donné son consentement ;
  2. Le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée ou en vue de l’exécution d’un contrat avec la personne concernée ;
  3. Pour respecter nos obligations légales en matière de conformité.;
  4. Pour protéger les intérêts vitaux de la personne concernée ;
  5. Pour poursuivre nos intérêts légitimes, à condition que le traitement ne porte pas atteinte aux intérêts ou aux libertés et droits fondamentaux des personnes concernées. Les finalités du traitement des données personnelles fondées sur nos intérêts légitimes sont décrites ci-dessous. Nous sommes convaincus d'avoir identifié des intérêts légitimes, que le traitement est nécessaire à sa réalisation et qu'il est proportionné aux intérêts, droits et libertés de la personne concernée. Nous avons également la certitude d'utiliser les données personnelles uniquement de la manière dont la personne concernée peut raisonnablement s'y attendre et qu'il n'existe aucun moyen moins intrusif d'obtenir le même résultat.
  6. Accomplir une tâche spécifique d'intérêt public définie par la loi

Nous avons déterminé que les fondements juridiques sur lesquels nous nous appuyons pour traiter les données personnelles sont les suivants :

  • Données personnelles de l'entreprise – Contrat, c'est-à-dire que nous devons traiter des données personnelles pour remplir nos obligations contractuelles et/ou le traitement des données constitue un intérêt légitime, c'est-à-dire pour exploiter notre entreprise.
  • Données relatives au personnel ou aux candidats potentiels de l'entreprise – Contrat : nous devons traiter des données personnelles afin de décider de nommer, de recommander ou de présenter un candidat. Ce traitement peut également relever d'un intérêt légitime, c'est-à-dire du fonctionnement de notre entreprise, et il serait bénéfique à la fois pour l'entreprise et pour le candidat que ce dernier soit recruté. Nous pouvons également obtenir votre consentement.
  • Clients et consommateurs – Contrat, c’est-à-dire que nous devons traiter des données personnelles pour remplir nos obligations contractuelles envers nos clients et/ou le traitement des données personnelles constitue un intérêt légitime, c’est-à-dire pour exploiter notre entreprise.
  • Fournisseurs – Contrat, c’est-à-dire que nous devons traiter des données personnelles pour remplir nos obligations contractuelles envers les fournisseurs et/ou le traitement des données personnelles constitue un intérêt légitime, c’est-à-dire pour exploiter notre entreprise.
  • Contacts professionnels, prospects et clients potentiels : le traitement de leurs données personnelles est nécessaire pour déterminer l’opportunité d’établir une relation contractuelle avec ces personnes et/ou constitue un intérêt légitime pour l’exploitation de notre entreprise. Le marketing auprès de clients potentiels et/ou le traitement de leurs données personnelles constituent également un intérêt légitime pour l’exploitation de notre entreprise et sont bénéfiques à la fois pour l’entreprise et pour ces personnes.

5.1.1 DONNÉES SENSIBLES

Nous traitons uniquement les données personnelles sensibles relatives au personnel de l'entreprise, aux candidats et aux personnes susceptibles de l'être. Le traitement de ces données est également soumis à une condition spécifique prévue à l'article 9 du RGPD. L'entreprise remplit la condition B, paragraphe 2, car le traitement est nécessaire à l'exécution des obligations et à l'exercice des droits spécifiques du responsable du traitement ou de la personne concernée en matière d'emploi. Nous pouvons également recueillir un consentement spécifique.

5.2 CONSENT

Un responsable du traitement des données ne peut traiter les données personnelles que sur la base d'une ou plusieurs des bases légales prévues par le RGPD, notamment le consentement.

Une personne concernée consent au traitement de ses données personnelles si elle manifeste clairement son accord, soit par une déclaration, soit par une action positive. Le consentement requiert une action positive ; le silence, les cases pré-cochées ou l’inaction ne sont donc pas suffisants. Si le consentement est donné dans un document traitant d’autres sujets, il doit être conservé séparément de ces autres sujets.

Les personnes concernées doivent pouvoir retirer facilement leur consentement au traitement de leurs données à tout moment, et ce retrait doit être effectif sans délai. Le consentement peut être renouvelé si nous envisageons de traiter des données personnelles à des fins différentes et incompatibles, qui n'avaient pas été divulguées lors du consentement initial.

Sauf si nous pouvons nous appuyer sur une autre base juridique pour le traitement, le consentement explicite peut être requis pour le traitement des données personnelles sensibles, la prise de décision automatisée et les transferts transfrontaliers de données. En règle générale, nous nous appuierons sur une autre base juridique, comme indiqué ci-dessus (et n'exigerons pas de consentement explicite), pour traiter la plupart des types de données sensibles. Lorsque le consentement explicite est requis, nous adresserons à la personne concernée une notice d'information relative au traitement équitable des données afin de recueillir son consentement.

Nous conserverons la preuve des consentements recueillis et tiendrons un registre de tous les consentements afin que la société puisse démontrer sa conformité aux exigences en matière de consentement.

5.3 TRANSPARENCE (NOTIFICATION DES PERSONNES CONCERNÉES)

Le RGPD impose aux responsables du traitement de fournir aux personnes concernées des informations détaillées et spécifiques, selon que les données ont été collectées directement auprès d'elles ou auprès d'autres sources. Ces informations doivent être fournies par le biais de mentions d'information appropriées, concises, transparentes, intelligibles, facilement accessibles et rédigées dans un langage clair et simple afin d'être aisément compréhensibles par les personnes concernées.

Lorsque nous collectons des données personnelles directement auprès des personnes concernées, notamment à des fins de ressources humaines ou d'emploi, nous leur fournissons toutes les informations requises par le RGPD, y compris l'identité du responsable du traitement et du délégué à la protection des données (DPO), ainsi que les modalités et les raisons pour lesquelles nous utilisons, traitons, divulguons, protégeons et conservons ces données personnelles, au moyen d'une notice d'information sur le traitement équitable qui doit être présentée lorsque la personne concernée fournit pour la première fois les données personnelles.

Lorsque des données personnelles sont collectées indirectement (par exemple, auprès d'un tiers ou d'une source publique), nous fournissons à la personne concernée toutes les informations requises par le RGPD dès que possible après la collecte ou la réception des données. Nous vérifions également que le tiers a collecté les données personnelles conformément au RGPD et sur une base qui prévoit le traitement que nous envisageons pour ces données.

6. LIMITATION DE L'OBJET

Les données personnelles ne doivent être collectées que pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

Nous n'utiliserons pas les données personnelles à des fins nouvelles, différentes ou incompatibles avec celles divulguées lors de leur collecte initiale, sauf si nous avons informé la personne concernée de ces nouvelles finalités et qu'elle a donné son consentement si nécessaire.

7. MINIMISATION DES DONNÉES

Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Nous ne traiterons les données personnelles que lorsque l'exercice de nos fonctions l'exige. Nous ne pouvons traiter les données personnelles pour aucune raison sans lien avec nos fonctions.

Nous ne collecterons que les données personnelles nécessaires à l'exercice de nos fonctions et nous nous abstiendrons de toute collecte excessive. Nous veillerons à ce que toutes les données personnelles collectées soient adéquates et pertinentes au regard des finalités prévues.

Nous veillerons à ce que les données personnelles, lorsqu'elles ne sont plus nécessaires aux fins spécifiées, soient supprimées ou anonymisées.

8. PRÉCISION

Les données personnelles doivent être exactes et, si nécessaire, mises à jour. Elles doivent être corrigées ou supprimées sans délai lorsqu'elles sont inexactes.

Nous veillons à ce que les données personnelles que nous utilisons et conservons soient exactes, complètes, à jour et pertinentes au regard de la finalité pour laquelle elles ont été collectées. Nous vérifions l'exactitude des données personnelles au moment de leur collecte et à intervalles réguliers par la suite. Nous prenons toutes les mesures raisonnables pour supprimer ou rectifier les données personnelles inexactes ou obsolètes.

9. LIMITATION DE STOCKAGE

Les données personnelles ne doivent pas être conservées sous une forme identifiable pendant une durée supérieure à celle nécessaire aux fins pour lesquelles elles sont traitées.

Nous ne conserverons pas les données personnelles sous une forme permettant l'identification de la personne concernée pendant une durée supérieure à celle nécessaire aux fins légitimes pour lesquelles nous les avons initialement collectées, y compris pour satisfaire à toute obligation légale, comptable ou de déclaration.

La société maintiendra des politiques et des procédures de conservation afin de garantir que les données personnelles soient supprimées après un délai raisonnable au regard des finalités pour lesquelles elles étaient conservées, à moins qu'une loi n'exige que ces données soient conservées pendant une durée minimale.

Nous prendrons toutes les mesures raisonnables pour détruire ou effacer de nos systèmes toutes les données personnelles dont nous n'avons plus besoin, conformément aux politiques et aux calendriers de conservation des données applicables de l'entreprise. Cela inclut l'obligation, le cas échéant, pour les tiers de supprimer ces données.

Nous veillerons à ce que les personnes concernées soient informées de la durée de conservation des données et de la manière dont cette durée est déterminée dans toute notice de confidentialité ou notice d'information sur le traitement équitable applicable.

10. SÉCURITÉ, INTÉGRITÉ ET CONFIDENTIALITÉ

10.1 PROTECTION DES DONNÉES PERSONNELLES

Les données personnelles doivent être protégées par des mesures techniques et organisationnelles appropriées contre tout traitement non autorisé ou illicite, ainsi que contre toute perte, destruction ou altération accidentelle.

Nous développerons, mettrons en œuvre et maintiendrons des mesures de protection adaptées à notre taille, notre champ d'activité, nos ressources disponibles, le volume de données personnelles que nous détenons ou conservons pour le compte de tiers et les risques identifiés (y compris le recours au chiffrement et à la pseudonymisation, le cas échéant). Nous évaluerons et testerons régulièrement l'efficacité de ces mesures afin de garantir la sécurité du traitement des données personnelles. Nous sommes responsables de la protection des données personnelles que nous détenons. Nous mettrons en œuvre des mesures de sécurité raisonnables et appropriées pour prévenir tout traitement illicite ou non autorisé des données personnelles et pour prévenir toute perte ou altération accidentelle de ces données. Nous veillerons particulièrement à protéger les données personnelles sensibles contre la perte, l'accès non autorisé, l'utilisation abusive ou la divulgation.

Nous mettrons en place des politiques visant à garantir la sécurité de toutes les données personnelles, de leur collecte à leur destruction. Nous ne transférerons les données personnelles qu'à des prestataires de services tiers qui s'engagent à respecter les politiques et procédures requises et à mettre en œuvre les mesures adéquates, conformément à nos demandes.

Nous assurerons la sécurité des données en protégeant la confidentialité, l'intégrité et la disponibilité des Données Personnelles, définies comme suit :

  1. La confidentialité signifie que seules les personnes qui ont besoin de connaître et qui sont autorisées à utiliser les données personnelles peuvent y accéder.
  2. L’intégrité signifie que les données personnelles sont exactes et adaptées à la finalité pour laquelle elles sont traitées.
  3. La disponibilité signifie que les utilisateurs autorisés peuvent accéder aux données personnelles lorsqu'ils en ont besoin à des fins autorisées.

Nous maintiendrons et respecterons une politique en matière de technologies de l'information et ne tenterons pas de contourner les mesures de protection administratives, physiques et techniques que nous mettons en œuvre et maintenons conformément au RGPD et aux normes pertinentes pour protéger les données personnelles.

10.2 SIGNALER UNE VIOLATION DE DONNÉES PERSONNELLES

Le RGPD exige que les responsables du traitement des données notifient toute violation de données à caractère personnel à l'autorité de contrôle compétente et, dans certains cas, à la personne concernée.

Nous avons mis en place la procédure suivante pour traiter toute suspicion de violation de données personnelles et nous informerons les personnes concernées ou toute autorité de réglementation compétente lorsque nous y sommes légalement tenus.

Si vous avez connaissance ou soupçonnez une violation de données personnelles, n'essayez pas d'enquêter vous-même. Contactez immédiatement le délégué à la protection des données (DPO), la personne ou l'équipe désignée comme interlocuteur privilégié en cas de violation de données personnelles. Conservez tous les éléments de preuve relatifs à cette potentielle violation.

11. LIMITATION DU TRANSFERT

Le RGPD restreint les transferts de données vers les pays situés en dehors de l'EEE afin de garantir que le niveau de protection des données personnelles assuré par le RGPD ne soit pas compromis. Vous transférez des données personnelles originaires d'un pays vers un autre lorsque vous transmettez, envoyez, consultez ou accédez à ces données dans ou vers un autre pays.

Vous ne pouvez transférer des données personnelles en dehors de l'EEE que si l'une des conditions suivantes est remplie :

  1. La Commission européenne a rendu une décision confirmant que le pays vers lequel nous transférons les données personnelles assure un niveau de protection adéquat des droits et libertés des personnes concernées ;
  2. Des garanties appropriées sont en place, telles que des règles d'entreprise contraignantes (BCR), des clauses contractuelles types approuvées par la Commission européenne, un code de conduite approuvé ou un mécanisme de certification, dont une copie peut être obtenue auprès du DPO ;
  3. La personne concernée a donné son consentement explicite au transfert proposé après avoir été informée des risques potentiels ; ou
  4. Le transfert est nécessaire pour l'une des autres raisons énoncées dans le RGPD, notamment l'exécution d'un contrat entre nous et la personne concernée, des raisons d'intérêt public, la constatation, l'exercice ou la défense de droits en justice ou la protection des intérêts vitaux de la personne concernée lorsque celle-ci est physiquement ou juridiquement incapable de donner son consentement et, dans certains cas limités, pour notre intérêt légitime.

12. DROITS ET DEMANDES DE LA PERSONNE CONCERNÉE

Les personnes concernées disposent de droits quant à la manière dont nous traitons leurs données personnelles. Ces droits comprennent notamment le droit de :

  1. Retirer son consentement au traitement à tout moment ;
  2. Recevoir certaines informations concernant les activités de traitement du responsable du traitement des données ;
  3. Demander l'accès à leurs données personnelles que nous détenons ;
  4. Empêcher notre utilisation de leurs données personnelles à des fins de marketing direct ;
  5. Demandez-nous d’effacer vos données personnelles si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, ou de rectifier des données inexactes ou de compléter des données incomplètes ;
  6. Limiter le traitement dans des circonstances spécifiques ;
  7. Contester le traitement qui a été justifié sur la base de nos intérêts légitimes ou dans l’intérêt public ;
  8. Demander une copie d'un accord en vertu duquel des données personnelles sont transférées en dehors de l'EEE ;
  9. S’opposer aux décisions fondées exclusivement sur un traitement automatisé, y compris le profilage (ADM) ;
  10. Empêcher tout traitement susceptible de causer un préjudice ou une détresse à la personne concernée ou à toute autre personne ;
  11. Être informé d'une violation de données personnelles susceptible d'entraîner un risque élevé pour leurs droits et libertés ;
  12. Déposez une plainte auprès de l'autorité de surveillance ; et
  13. Dans des circonstances limitées, recevoir ou demander que leurs données personnelles soient transférées à un tiers dans un format structuré, couramment utilisé et lisible par machine.

Nous vérifierons l'identité de toute personne demandant l'accès à ses données en vertu de l'un des droits mentionnés ci-dessus. Nous ne permettrons à aucun tiers de nous contraindre à divulguer des données personnelles sans autorisation préalable.

Nous transmettrons immédiatement toute demande d'une personne concernée que nous recevrons au délégué à la protection des données (DPO) et nous nous conformerons à la procédure de réponse aux personnes concernées de l'entreprise.

13. RESPONSABILITÉ

13.1

Le responsable du traitement des données mettra en œuvre, de manière efficace, les mesures techniques et organisationnelles appropriées afin de garantir le respect des principes de protection des données. Il est responsable du respect de ces principes et doit être en mesure de le démontrer.

L’entreprise doit disposer des ressources et des contrôles adéquats pour garantir et documenter la conformité au RGPD, notamment :

  1. Désigner un DPO dûment qualifié et un responsable de la protection des données ;
  2. Mise en œuvre du principe de protection des données dès la conception lors du traitement des données personnelles et réalisation d’analyses d’impact relatives à la protection des données (AIPD) lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées ;
  3. Intégrer la protection des données dans les documents internes, notamment la présente norme de confidentialité, les politiques connexes, les avis de confidentialité ou les avis de traitement équitable ;
  4. L’entreprise doit former régulièrement son personnel au RGPD, à la présente norme de confidentialité, aux politiques connexes et aux questions de protection des données, notamment aux droits des personnes concernées, au consentement, à la base juridique, à l’analyse d’impact relative à la protection des données (AIPD) et aux violations de données personnelles. L’entreprise doit tenir un registre des présences de son personnel aux formations.
  5. Tester régulièrement les mesures de protection de la vie privée mises en œuvre et réaliser des examens et des audits périodiques pour évaluer la conformité, notamment en utilisant les résultats des tests pour démontrer les efforts d'amélioration de la conformité.

13.2 TENUE DE REGISTRES

Le RGPD nous oblige à tenir des registres complets et précis de toutes nos activités de traitement des données.

Nous conserverons et tiendrons à jour des registres d'entreprise précis reflétant nos traitements, y compris les enregistrements des consentements des personnes concernées et les procédures d'obtention de ces consentements.

Ces enregistrements comprendront au minimum le nom et les coordonnées du responsable du traitement et du délégué à la protection des données (DPO), une description claire des types de données à caractère personnel, des catégories de personnes concernées, des activités de traitement, des finalités du traitement, des destinataires tiers des données à caractère personnel, des lieux de stockage des données à caractère personnel, des transferts de données à caractère personnel, de la durée de conservation des données à caractère personnel et une description des mesures de sécurité mises en œuvre. Afin de créer ces enregistrements, des cartographies des données seront élaborées, reprenant les informations susmentionnées ainsi que les flux de données pertinents.

13.3 FORMATION ET AUDIT

Nous sommes tenus de veiller à ce que tout le personnel de l'entreprise ait suivi une formation adéquate pour lui permettre de respecter la législation sur la protection des données. Nous devons également tester régulièrement nos systèmes et processus afin d'en évaluer la conformité.

Le personnel de l'entreprise suivra toutes les formations obligatoires relatives à la protection des données.

L'ensemble du personnel de l'entreprise examinera régulièrement tous les systèmes et processus sous son contrôle afin de s'assurer de leur conformité à la présente norme de confidentialité et de vérifier que des contrôles de gouvernance et des ressources adéquats sont en place pour garantir une utilisation et une protection appropriées des données personnelles.

13.4 PROTECTION DES DONNÉES DÈS LA CONCEPTION ET ANALYSE D'IMPACT SUR LA PROTECTION DES DONNÉES (AIPD)

Nous sommes tenus de mettre en œuvre des mesures de protection des données dès la conception lors du traitement des données personnelles en appliquant des mesures techniques et organisationnelles appropriées (comme la pseudonymisation) de manière efficace, afin de garantir le respect des principes de protection des données.

Nous évaluerons quelles mesures de protection des données dès la conception peuvent être mises en œuvre sur tous les programmes/systèmes/processus qui traitent des données personnelles en tenant compte des éléments suivants :

  1. L'état de l'art ;
  2. Le coût de la mise en œuvre ;
  3. La nature, la portée, le contexte et les finalités du traitement ; et
  4. Les risques, de probabilité et de gravité variables, que le traitement comporte pour les droits et libertés des personnes concernées.

Les responsables du traitement des données doivent également réaliser des analyses d'impact relatives à la protection des données (AIPD) concernant les traitements à haut risque.

Nous procéderons systématiquement à une analyse d'impact relative à la protection des données (AIPD) (et discuterons des conclusions avec le délégué à la protection des données) lors de la mise en œuvre de programmes majeurs de changement de système ou d'activité impliquant le traitement de données personnelles, notamment :

  1. Utilisation de nouvelles technologies (programmes, systèmes ou processus), ou de technologies en évolution (programmes, systèmes ou processus) ;
  2. Traitement automatisé, y compris le profilage et l'ADM ;
  3. Traitement à grande échelle de données sensibles ; et
  4. Surveillance systématique à grande échelle d'une zone accessible au public.

Une analyse d'impact relative à la protection des données (AIPD) doit inclure :

  1. Une description du traitement, de ses finalités et des intérêts légitimes du responsable du traitement, le cas échéant ;
  2. Une évaluation de la nécessité et de la proportionnalité du traitement au regard de sa finalité ;
  3. Une évaluation des risques pour les individus ; et
  4. Les mesures d'atténuation des risques mises en place et la démonstration de la conformité.

13.5 TRAITEMENT AUTOMATISÉ (Y COMPRIS LE PROFILAGE) ET PRISE DE DÉCISION AUTOMATISÉE

En règle générale, l'ADM est interdite lorsqu'une décision a un effet juridique ou similaire significatif sur une personne, sauf si :

  1. La personne concernée a donné son consentement explicite ;
  2. Le traitement est autorisé par la loi ; ou
  3. Le traitement est nécessaire à l'exécution ou à la conclusion d'un contrat.

Si certains types de données sensibles sont traités, les motifs (b) ou (c) ne seront pas autorisés, mais ces données sensibles peuvent être traitées lorsqu'il est nécessaire (à moins que des moyens moins intrusifs puissent être utilisés) pour un intérêt public important comme la prévention de la fraude.

Si une décision doit être fondée exclusivement sur un traitement automatisé (y compris le profilage), les personnes concernées seront informées, dès notre premier contact, de leur droit d'opposition. Ce droit leur sera explicitement porté à leur attention et présenté clairement et séparément de toute autre information. Par ailleurs, des mesures appropriées devront être mises en œuvre afin de garantir les droits, les libertés et les intérêts légitimes des personnes concernées.

Nous informerons également la personne concernée de la logique sous-jacente à la prise de décision ou au profilage, de son importance et des conséquences envisagées, et nous lui donnerons le droit de demander une intervention humaine, d'exprimer son point de vue ou de contester la décision.

Une analyse d'impact relative à la protection des données (AIPD) doit être réalisée avant toute activité de traitement automatisé (y compris le profilage) ou d'ADM.

13.6 MARKETING DIRECT

Nous sommes soumis à certaines règles et lois sur la protection de la vie privée lorsque nous faisons du marketing auprès de nos clients.

Par exemple, le consentement préalable d'une personne concernée peut être requis pour le marketing direct électronique (par exemple, par courriel, SMS ou appels automatisés). L'exception limitée relative aux clients et contacts existants, appelée “ opt-in souple ”, permet aux organisations d'envoyer des SMS ou des courriels marketing si elles ont obtenu les coordonnées de la personne dans le cadre de leurs relations commerciales avec elle, si elles commercialisent des produits ou services similaires et si elles lui ont offert la possibilité de se désinscrire du marketing lors de la collecte initiale de ses coordonnées et dans chaque message ultérieur.

Le droit de s'opposer au marketing direct sera explicitement offert à la personne concernée de manière intelligible, afin qu'il soit clairement distinguable des autres informations.

Toute objection d'une personne concernée au démarchage marketing direct sera prise en compte sans délai. Si un client se désinscrit, ses données seront supprimées dans les meilleurs délais. La suppression consiste à conserver uniquement les informations nécessaires pour garantir le respect des préférences marketing futures.

13.7 PARTAGE DES DONNÉES PERSONNELLES

En règle générale, nous ne sommes pas autorisés à partager des données personnelles avec des tiers, sauf si certaines garanties et dispositions contractuelles ont été mises en place.

Nous ne partagerons les données personnelles que nous détenons avec un autre employé, agent ou représentant de notre groupe (y compris nos filiales et notre société mère ainsi que ses filiales) que si le destinataire a besoin de connaître ces informations dans le cadre de son travail et si le transfert est conforme aux restrictions applicables en matière de transfert transfrontalier.

Nous ne partagerons les données personnelles que nous détenons avec des tiers, tels que nos prestataires de services, que si :

  1. Ils ont besoin de connaître ces informations afin de fournir les services contractuels ;
  2. Le partage des données personnelles est conforme à la notice de confidentialité fournie à la personne concernée et, si nécessaire, le consentement de cette dernière a été obtenu ;
  3. La tierce partie a accepté de se conformer aux normes, politiques et procédures de sécurité des données requises et de mettre en place des mesures de sécurité adéquates ;
  4. Le transfert est conforme à toutes les restrictions applicables en matière de transferts transfrontaliers ; et
  5. Un contrat écrit, dûment signé et contenant des clauses relatives aux tiers conformes au RGPD, a été obtenu.

14. MODIFICATIONS APPORTÉES À LA PRÉSENTE NORME DE CONFIDENTIALITÉ

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment et sans préavis.

La présente norme de confidentialité ne remplace aucune loi ni réglementation nationale applicable en matière de protection des données dans les pays où la société exerce ses activités.

Liens rapides
À propos de nous Partenaires de distribution Partenaires de l'écosystème
Produits
Connectivité
Communication
Mobilité
Nuage
Politique
Centre de confidentialité politique de confidentialité Conditions générales
Contactez-nous
info@sonabusiness.com
Réseaux sociaux
Site créé par Social Sparrow
©2025 Sona Business, Tous droits réservés

Nuage

Cloud privé
Serveur privé virtuel
Serveur dédié

Mobilité

Messagerie
Données mobiles
FMC

Communication

Routage direct des équipes
Centre de contact cloud
Solutions vocales
Numéro virtuel

Connectivité

SD WAN
Transit IP
Centre de données
haut débit