Politique de protection des données personnelles de SEDE

1. PRÉAMBULE

Sede Environnement (SEDE) prend des engagements forts en faveur de la protection des données personnelles qu’elle entend inscrire au cœur de ses préoccupations. La présente Politique de protection des données personnelles vise à informer toute personne physique concernée (employés ou candidats, clients, fournisseurs ou partenaires et leurs employés) des mesures ainsi mises en œuvre lorsque SEDE collecte des données personnelles dans l’exercice de ses activités. Elle est susceptible d’évoluer selon les besoins, en raison du contexte légal, en France ou au sein de l’Union européenne, ainsi que des recommandations ou décisions de la CNIL.

2. DONNÉES COLLECTÉES, FINALITÉS DES TRAITEMENTS ET RÔLE DU DPO

SEDE a mis en place dans l’entreprise une organisation responsable de la bonne application et du respect de la présente Politique, sous le contrôle du Directeur de la conformité du groupe Veolia (“group CCO”). De plus, SEDE prend des mesures pour sensibiliser ses employés à la nécessité de protéger les données personnelles pour qu’une collecte ou un traitement ne s’opère que s’il est nécessaire au regard des finalités envisagées et si ces finalités sont définies pour garantir leur caractère licite, déterminé, explicite et légitime. Les traitements mis en oeuvre par SEDE et contenant des données personnelles font l’objet d’une fiche de description complète, intégrée dans le “registre des traitements” tenu par le Délégué à la Protection des Données (ou Data Protection Officer - DPO).

Le DPO de SEDE veille ainsi à la conformité de la collecte des données personnelles et de leur traitement avec :

  • le règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD),
  • la loi du loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (Loi I&L).

3. RÈGLES D’OR

SEDE se fonde sur six règles d’or pour que chaque personne amenée à collecter et traiter des données personnelles :

  • respecte le RGPD en s’assurant que les données personnelles sont collectées, utilisées et partagées dans le respect des droits des personnes concernées et du concept de “privacy by design” pour la protection des données dès la conception du traitement,
  • soit transparente et claire avec les personnes concernées sur les finalités du traitement envisagé, sur la raison et les modalités de sa mise en oeuvre ainsi que sur les destinataires avec lesquels ces données seront éventuellement partagées,
  • recherche le consentement des personnes physiques concernées chaque fois que possible et n’agisse sans leur consentement que dans les cas prévus par le RGPD ou la loi ou lorsque leur consultation préalable est impossible ou présente un risque particulier,
  • recherche un avis en cas de doute sur la façon de traiter les données personnelles, échange avec d’autres spécialistes, demande un avis juridique ou recueille l’avis de l’autorité de régulation compétente et conserve une trace de ses décisions,
  • prenne la décision de collecter, d’utiliser ou de partager des données personnelles en tenant compte de l’intérêt de la personne physique pour ne traiter que les données nécessaires, pertinentes, adéquates, proportionnées, justes, opportunes et sécurisées, pour une durée limitée aux besoins du traitement,
  • s’assure que les données personnelles ne sont partagées qu’avec ceux auxquels l’accès est nécessaire pour rendre le service attendu et atteindre l’objectif du traitement,
  • s’assure que les mesures de sécurité proportionnelles aux risques ont été prises en vue de préserver la disponibilité, la confidentialité et l’intégrité des traitements.

4. INFORMATION DES PERSONNES PHYSIQUES CONCERNÉES

Conformément au RGPD, SEDE s’attache à informer les personnes physiques concernées des droits qui leur sont garantis en les avisant :

  • de l’identité du responsable du traitement,
  • de la finalité poursuivie par le traitement,
  • du caractère obligatoire ou facultatif des réponses et des conséquences éventuelles d’un défaut de réponse,
  • des destinataires des données,
  • de leur droit d’accès, d’interrogation, de modification et de rectification aux informations qui les concerne, de leur droit d’opposition pour des motifs légitimes, de leur droit de s’opposer à ce que leurs données personnelles soient utilisées à des fins de prospection commerciale ainsi que de leur droit de définir des instructions quant au traitement de leurs données personnelles après leur mort,
  • de la durée de conservation des catégories de données traitées.

5. DESTINATAIRES DES DONNÉES

SEDE est susceptible de partager les données personnelles collectées avec des personnes du groupe Veolia ou avec ses prestataires de services ou avec ses fournisseurs, uniquement dans la limite nécessaire à l’accomplissement des tâches qui leur sont confiées.

SEDE veille à ce que ses prestataires et partenaires agissent en conformité avec les lois et règlement applicables en matière de protection de données personnelles mais également à ce qu’ils accordent une attention particulière à la confidentialité de ces données.

6. CONSERVATION DES DONNÉES

Les traitements de données personnelles collectées par SEDE ou pour son compte sont conservés par SEDE ou par ses prestataires, notamment sur des plateformes de stockage cloud. Pour des raisons principalement techniques ou liées à la dimension internationale de SEDE, certaines données peuvent ainsi être conservées ou accédées en dehors de l’Union européenne ou de l’Espace Economique Européen (EEE). Dans ce cas, SEDE veille à l’instauration de mesures permettant d’assurer un niveau de protection des données personnelles compatible avec les exigences du RGPD, notamment par des mesures physiques, techniques, organisationnelles et procédurales rigoureuses et adaptées pour assurer la disponibilité, la confidentialité et l’intégrité des données personnelles en les modulant selon la nature et la sensibilité des données concernées.

SEDE s’attache à limiter la durée de conservation des données personnelles pour le temps nécessaire aux opérations pour lesquelles leur collecte et leur traitement est intervenu, dans le respect de la réglementation applicable. Les données personnelles sont ensuite irréversiblement supprimées ou anonymisées.

7. SÉCURITÉ ET ALERTES

SEDE prend des mesures pour assurer que la sécurité des données personnelles qu’elle traite est adaptée selon la sensibilité de ces données et des risques qui y sont attachés. A cet effet, les équipes informatiques concernées ou leurs sous-traitants mettent en oeuvre les exigences de la politique de cybersécurité Veolia et notamment celles relatives à :

  • l’identification des risques cyber,
  • la mise en oeuvre de protections réseaux adaptées, via des dispositifs de filtrage,
  • le maintien en condition de sécurité des différents composants de l’infrastructure et des applications, notamment l'application des mises à jour de sécurité et la mise à niveau des composants pour éviter l’usage de composants hors maintenance,
  • le durcissement des composants d’infrastructure tels que les serveurs ou les postes de travail,
  • la vérification régulière des vulnérabilités de l’infrastructure ou des applications via une veille et l'utilisation de scanner de vulnérabilité technique ou applicative,
  • le cryptage des données au repos quand cela est nécessaire et en transit,
  • l’usage des bonnes pratiques de sécurité lors du développement des applications notamment pour les applications de type web, l’utilisation du référentiel OWASP,
  • l’attribution des droits des utilisateurs respectant la règle du moindre privilège et le droit d’en connaître,
  • la protection des accès par la mise en oeuvre de mécanismes d’authentification forte, par l’utilisation du SSO (Single Sign On) basé sur le référentiel d’identité digitale du groupe Veolia et par la revue régulière des comptes,
  • la supervision de la sécurité des données personnelles et des applications y accédant notamment via une centralisation et une utilisation des logs,
  • la conservation des éléments prouvant la mise en oeuvre des mesures ci-dessus.

En cas d’atteinte aux données personnelles qu’elle détient, SEDE s’impose de réagir sans délai dès qu’elle a connaissance de l’événement pour, d’une part, informer la CNIL et s’il y a lieu, les personnes concernées et d’autre part, identifier les défaillances et mettre en place des mesures de sécurité adaptées.

8. DROITS DES PERSONNES PHYSIQUES

Conformément à la loi française relative à la protection des données - alignée sur le RGPD - du 20 juin 2018, les personnes physiques dont les données personnelles sont collectées disposent d’un droit d’accès, de modification, s’il y a lieu de portabilité ainsi que d’un droit à l’oubli portant sur les données personnelles qui la concerne.

Elles disposent également d’un droit d’opposition au traitement de leurs données personnelles pour des motifs légitimes et du droit de définir des directives générales et particulières concernant le sort de leurs données après leur décès.

Pour exercer ces droits, chaque personne concernée par un traitement contenant des données à caractère personnel peut s’adresser par écrit à la personne en charge du traitement au sein de SEDE dont l’identité a été portée à sa connaissance lors de la collecte ou à son DPO en envoyant un email à l’adresse : [email protected].

9. CONTACT

Pour toutes demandes d’information concernant notre politique de protection des données, vous pouvez adresser un courrier au DPO de SEDE ([email protected]).

D’une manière générale, vous pouvez toujours vous adresser à la CNIL ( https://www.cnil.fr ou à l’adresse 3, Place de Fontenoy, 75007 Paris).