Política de tratamiento y protección de sus datos personales

1. Preámbulo

Angibaud, Derôme & Spécialités (en adelante “Angibaud”) a través de su empresa matriz SEDE Environnement, dentro del grupo Veolia, asume fuertes compromisos a favor de la protección de datos personales. Esta Política de Protección de Datos Personales tiene como objetivo informar a cualquier persona física interesada (empleados o candidatos, clientes, proveedores o socios y sus empleados) de las medidas así implementadas cuando la empresa Angibaud recaba datos personales en el ejercicio de sus actividades. Es probable que cambie según sea necesario, debido al contexto legal, en Francia o dentro de la Unión Europea, así como a las recomendaciones o decisiones de la CNIL.

2. Datos recopilados, fines de procesamiento y función del DPO

Angibaud aplica la política del grupo en esta área y ha constituido una organización para asegurar el cumplimiento de esta Política, bajo el control del Director de Cumplimiento del grupo Veolia (“grupo CCO”).

Además, Angibaud toma medidas para concienciar a sus empleados de la necesidad de proteger los datos personales para que la recogida o tratamiento se lleve a cabo solo si es necesario para los fines previstos y si estos fines están definidos para garantizar su legalidad, determinación, explícita y legítima. naturaleza.

El tratamiento realizado por Angibaud y que contiene datos personales es objeto de una ficha de descripción completa, incluida en el «registro de tratamiento» que lleva el Delegado de Protección de Datos (o Data Protection Officer DPO).

El DPO asegura así que la recogida de datos personales y su tratamiento cumplen con :

  • Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 sobre la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (RGPD) y
  • la ley de ley n ° 78-17 del 6 de enero de 1978 relativa al procesamiento de datos, archivos y libertades modificadas (Ley I&L).

3. Reglas de oro

Angibaud garantiza el cumplimiento de las siguientes seis reglas de oro para cada persona requerida para recopilar y procesar datos personales :

  • cumple con el RGPD al garantizar que los datos personales se recopilen, utilicen y compartan respetando los derechos de los interesados ​​y el concepto de «privacidad desde el diseño» para la protección de datos desde la etapa de diseño del procesamiento;
  • ser transparente y claro con los interesados ​​sobre los fines del procesamiento planificado, sobre el motivo y los métodos de su implementación, así como sobre los destinatarios con los que se pueden compartir estos datos; buscar el consentimiento de las personas físicas interesadas siempre que sea posible y solo actuar sin su consentimiento en los casos previstos por el RGPD o la ley o cuando su consulta previa sea imposible o presente un riesgo particular;
  • buscar asesoramiento cuando tenga dudas sobre cómo manejar los datos personales, interactuar con otros especialistas, buscar asesoramiento legal o solicitar el asesoramiento de la autoridad reguladora competente y mantener un registro de sus decisiones;
  • tomar la decisión de recopilar, usar o compartir datos personales teniendo en cuenta el interés de la persona física de procesar solo los datos necesarios, relevantes, adecuados, proporcionados, justos, oportunos y seguros, durante un período limitado de tiempo, las necesidades de tratamiento;
  • asegurarse de que los datos personales solo se compartan con aquellos a quienes el acceso es necesario para proporcionar el servicio esperado y lograr el propósito del procesamiento;
  • asegura que se han tomado medidas de seguridad acordes con los riesgos para preservar la disponibilidad, confidencialidad e integridad del procesamiento.

4. Información de las personas físicas interesadas

De acuerdo con el RGPD, Angibaud se esfuerza por informar a las personas físicas interesadas de los derechos que se les garantizan informándoles :

  • de la identidad del responsable del tratamiento;
  • el propósito del procesamiento;
  • la naturaleza obligatoria u opcional de las respuestas y las posibles consecuencias de no responder;
  • los destinatarios de los datos;
  • su derecho a acceder, consultar, modificar y rectificar la información que les concierne, su derecho a oponerse por motivos legítimos, su derecho a oponerse a que sus datos personales sean utilizados con fines de prospección comercial, así como su derecho a definir instrucciones sobre el tratamiento de sus datos personales después de su muerte;
  • el período de conservación para las categorías de datos procesados.

5. Destinatario de los datos

Angibaud puede compartir los datos personales recopilados con personas del grupo Veolia o con sus proveedores de servicios o con sus proveedores, solo en la medida necesaria para realizar las tareas que les sean encomendadas. Angibaud asegura que sus proveedores de servicios y socios actúan de acuerdo con las leyes y regulaciones aplicables sobre protección de datos personales, pero también que prestan especial atención a la confidencialidad de estos datos.

6. Retención de datos

El procesamiento de los datos personales recopilados por Angibaud o en su nombre es guardado por Angibaud o por sus proveedores de servicios, en particular en plataformas de almacenamiento en la nube. Por motivos principalmente técnicos o relacionados con la dimensión internacional de Angibaud dentro del grupo, determinados datos pueden, por tanto, ser almacenados o accedidos fuera de la Unión Europea o del Espacio Económico Europeo (EEE). En este caso, Angibaud se asegura de que se implementen medidas para garantizar un nivel de protección de los datos personales compatible con los requisitos del GDPR, en particular mediante medidas físicas, técnicas, organizativas y de procedimiento rigurosas y adecuadas para garantizar la disponibilidad, confidencialidad y integridad de los datos personales modulándolos de acuerdo con la naturaleza y la sensibilidad de los datos en cuestión. Angibaud se esfuerza por limitar el período de retención de los datos personales por el tiempo necesario para las operaciones para las que fueron recopilados y procesados, de conformidad con la normativa aplicable. A continuación, los datos personales se eliminan o anonimizan de forma irreversible.

7. Seguridad y alertas

Angibaud toma medidas para garantizar que la seguridad de los datos personales que procesa sea adecuada de acuerdo con la sensibilidad de estos datos y los riesgos asociados a ellos. Con este fin, los equipos de TI afectados o sus subcontratistas implementan los requisitos de la política de ciberseguridad de Veolia y, en particular, los relacionados con :

  • la identificación de riesgos cibernéticos,
  • la implementación de protecciones de red adecuadas, a través de dispositivos de filtrado,
  • mantener los diversos componentes de la infraestructura y las aplicaciones en condiciones seguras, en particular la aplicación de actualizaciones de seguridad y la actualización de los componentes para evitar el uso de componentes que no sean de mantenimiento,
  • el endurecimiento de los componentes de la infraestructura, como servidores o estaciones de trabajo,
  • Comprobación periódica de las vulnerabilidades de la infraestructura o de las aplicaciones mediante la supervisión y el uso de escáneres de vulnerabilidades técnicas o de las aplicaciones.
  • cifrado de datos en reposo cuando sea necesario y en tránsito,
  • el uso de buenas prácticas de seguridad durante el desarrollo de aplicaciones, en particular para aplicaciones de tipo web, el uso del repositorio OWASP,
  • la asignación de derechos de usuario respetando la regla del privilegio mínimo y el derecho a saber,
  • protección de acceso mediante la implementación de fuertes mecanismos de autenticación, mediante el uso de SSO (inicio de sesión único) basado en el repositorio de identidad digital del grupo Veolia y mediante la revisión periódica de las cuentas,
  • supervisar la seguridad de los datos personales y las aplicaciones que acceden a ellos, en particular mediante la centralización y el uso de registros,
  • la conservación de elementos que acrediten la implementación de las medidas anteriores. En caso de violación de los datos personales que posee, Angibaud (grupo SEDE) está obligada a reaccionar sin demora tan pronto como tenga conocimiento del hecho para, por un lado, informar a la CNIL y si hay toma lugar, las personas interesadas y, por otro lado, identificar las fallas y poner en marcha las medidas de seguridad adecuadas.

8. Derechos de las personas

De acuerdo con la ley francesa de protección de datos, alineada con el GDPR, de 20 de junio de 2018, las personas físicas cuyos datos personales se recopilan tienen un derecho de acceso, modificación, si es necesario, portabilidad, así como un derecho al olvido en lo que respecta a los datos personales. datos que le conciernen.

También tienen derecho a oponerse al procesamiento de sus datos personales por motivos legítimos y el derecho a definir pautas generales y específicas sobre el destino de sus datos después de su muerte.

Para el ejercicio de estos derechos, toda persona interesada en el tratamiento que contenga datos personales puede ponerse en contacto por escrito con el responsable del tratamiento dentro de Angibaud cuya identidad fue puesta en conocimiento durante la recogida o con su DPO enviando un correo electrónico a la dirección dpo@sede.fr.

9. Contactar

Para cualquier solicitud de información sobre nuestra política de protección de datos, puede enviar una carta al DPO de SEDE (dpo@sede.fr).

En general, siempre puede ponerse en contacto con la CNIL (https://www.cnil.fr o en 3, Place de Fontenoy, 75007 París).

10. Cookies