Politique de confidentialité

RollandPolitique de confidentialité

La désignation d’un délégué à la protection des données : pilote de la gouvernance des données personnelles

Rolland a désigné un délégué à la protection des données : Anthony COZIEN – Société ROLLAND – ZA des landes – 29800 TREFLEVENEZ – dpo@remorquerolland.com

Rolland permet au délégué à la protection des données d’entretenir ses connaissances spécialisées, par exemple par la participation à des formations, ou par l’abonnement à des lettres d’information spécialisées. En outre, Rolland met à la disposition du délégué à la protection des données les ressources et les conditions de travail nécessaires à l’exercice de ses missions.

Le délégué à la protection des données sera reçu par la direction générale aussi souvent que ses missions l’exigent.

Le délégué à la protection des données a au moins les missions suivantes :

  • informer et conseiller ceux qui procèdent au traitement ainsi que les employés sur les obligations qui leur incombent en matière de protection des données
  • analyser les projets de traitement et les traitements en termes de finalité du traitement, de proportionnalité, de minimisation des données collectées au regard de la finalité, de licéité du traitement, de sécurité des données collectées, de durée de conservation des données collectées, de destinataires des données collectées, d’encadrement des relations avec les sous-traitants, d’information claire et préalable des personnes concernées, de conditions d’exercice des droits des personnes, et le cas échéant d’encadrement des transferts de données hors Union européenne
  • contrôler le respect de la règlementation en matière de protection des données et des règles internes du responsable du traitement, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant
  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci
  • coopérer avec l’autorité de contrôle ; faire office de point de contact auprès de l’autorité de contrôle sur les questions relatives au traitement, et coopérer avec cette dernière

Le délégué à la protection des données s’appuie sur un réseau d’interlocuteurs qui devront le saisir et lui remonter les informations en temps utile.

Comité de gouvernance

Rolland crée un Comité de gouvernance et d’éthique de la protection des données.

Il est un lieu de débat des questions d’éthique autour de l’exploitation des données par Rolland. En effet, au-delà de la conformité, certaines exploitations peuvent ne pas être souhaitées. Le Comité établit les limites et définit ce qui n’est pas compatible avec les valeurs de Rolland.

Le Comité se réunira régulièrement et pourra être saisi sur des questions particulières par le délégué à la protection des données nécessitant son avis.

Les membres du comité de gouvernance sont le délégué à la protection des données et un membre de la direction. Le comité pourra saisir le comité de direction pour toutes questions relatives à la protection des données.

Ce Comité aura pour principale mission d’assurer la remontée d’informations des différentes directions opérationnelles et d’établir les documents nécessaires à la conformité.

Il évalue et prévient les risques en matière de protection des données et résout ou aide les équipes à la résolution des questions qui se posent.

Le Comité s’appuie sur les équipes au sein des entités de Rolland qui l’informent systématiquement des cas dont elles ont connaissance, et peuvent lui demander conseil.

Effectivité des droits des personnes : procédure de gestion des réclamations et d’exercice des droits des personnes

La gestion des réclamations et des demandes relatives à l’exercice des droits des personnes est gérée par le délégué à la protection des données.

Les réclamations et demandes seront traitées au cas par cas (droit d’accès, de rectification, d’effacement, de limitation du traitement, à la portabilité, de définir le sort de ses données après son décès).

Le délégué à la protection des données fera office de point de contact des personnes concernées et pilotera le traitement des réclamations. Celles-ci seront envoyées sur l’adresse mail dpo@remorquerolland.com.

Politiques internes et externes

Rolland a établi deux politiques de protection des données, une interne concernant la protection des données des salariés et l’autre externe concernant la protection des données des clients et des prospects.

Ces politiques de protection des données incluent l’ensemble des principes nécessaires pour garantir la mise en œuvre de traitements équitables et transparents. Elles comprendront notamment les coordonnées du responsable de traitement, celles du délégué à la protection des données, ainsi que les principes énoncés par le règlement européen général sur la protection des données, au regard notamment de la mise en œuvre de traitements licites, du respect des droits des personnes, des éventuels transferts vers un pays tiers, des destinataires des données collectées, de la durée de conservation des données collectées, des mesures de sécurité des données.

Le délégué à la protection des données contrôle le respect des politiques mises en place en matière de protection des données.

Ces politiques seront réexaminées et actualisées si nécessaire, a minima tous les trois ans.

Charte de protection des données

Afin de permettre de diffuser les bonnes pratiques que chacun au sein de l’organisme doit respecter en matière de protection, il sera établi une charte de protection des données.

Cette charte précisera les grands principes de protection des données applicables (finalité déterminée, explicite et légitime, pertinence des données au regard de la finalité du traitement, durée de conservation limitée, restriction de l’accès aux données, mesures de sécurité physique et logiques, information des personnes concernées et, si nécessaire, les règles relatives en matière de transferts de données hors Union européenne).

Elle déterminera les rôles et responsabilités des différents acteurs.

Processus de validation des activités liées à la protection des données

Tous les documents sortant qu’ils soient des contrats ou des formulaires de collecte de données feront l’objet d’un visa du délégué à la protection des données afin qu’il s’assure que les documents répondent aux contraintes légales.

Consultation préalable du délégué à la protection des données

Le délégué à la protection des données sera consulté préalablement à tout déploiement de projet ayant une incidence sur la protection des données par le chef de projet et par tout opérationnel souhaitant mettre en œuvre un traitement de données personnelles ou en modifier un. Il est associé systématiquement en amont des réflexions sur toutes les questions relatives à la protection des données. Il procédera à une analyse et à chaque fois qu’il le juge utile, dans le but d’introduire le respect de la protection des données par défaut et dès la conception du projet.

Analyse des risques

Le délégué à la protection des données s’assurera que les traitements soumis à l’analyse d’impact feront bien l’objet d’une analyse. Dans ce cas, le délégué à la protection des données informera l’opérationnel en charge du projet de la nécessité de procéder à une analyse de risque pour le traitement concerné. A cet égard, le délégué à la protection des données peut demander à un tiers d’intervenir.

Le délégué à la protection des données est consulté pour toute analyse d’impact et vérifie son exécution.En tout état de cause, les résultats de l’analyse d’impact sont remis au délégué à la protection des données qui formulera ses recommandations avant la mise en œuvre du traitement. Si le responsable de traitement ne suit pas les recommandations du délégué à la protection des données, la documentation de l’analyse d’impact doit en mentionner la raison.

Registre des traitements

Rolland établira un registre des traitements mis en œuvre en son sein pour répondre aux dispositions du règlement européen sur la protection des données.

Les interlocuteurs désignés dans les directions opérationnelles devront s’assurer que les traitements répertoriés par leur direction dans le registre sont maintenus à jour. En cas de changement dans les modalités de mise en œuvre, ils devront en informer le délégué à la protection des données.

Sécurité des données

Compte tenu des nouvelles obligations en matière de notification des failles de sécurité à la Cnil, une procédure et une politique en matière de réponse à apporter lors d’une faille ou incident de sécurité seront établies.

La procédure comprendra notamment une obligation de notification de l’autorité de contrôle compétente, si possible dans les 72 heures après avoir pris connaissance de la violation ainsi que les actions à mettre en œuvre selon les cas, en particulier, l’information des personnes, le dépôt de plainte.

Evaluation du dispositif de conformité en matière de protection des données

Le délégué à la protection des données contrôle le respect des contraintes informatiques et libertés. Il s’assure que les politiques et procédures définies en ce domaine sont respectées et peut diligenter ou faire diligenter des audits pour un examen de conformité périodique permettant de s’assurer que les traitements considérés comme les plus sensibles au regard des risques sont mis en œuvre dans le respect des contraintes légales.

En cas d’écarts constatés, le délégué à la protection des données fera part à la direction générale d’un plan d’actions de remédiation.