Politique de Gestion des Données

CHARTE DE PROTECTION DES DONNÉES PERSONNELLES

Le présent document constitue la politique de protection des données à caractère personnel mise en œuvre par CAPE dans le cadre de ses activités.

CAPE est un sous-traitant.

Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles CAPE s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci- après, « le règlement européen sur la protection des données »).

Description du traitement faisant l’objet de la sous-traitance

CAPE est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s).

Pour l’exécution du service, objet du présent contrat, le responsable de traitement met à la disposition de CAPE les informations nécessaires.

Obligations du sous-traitant vis-à-vis du responsable de traitement

CAPE s’engage à :

  1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous- traitance.
  2. Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
  3.  Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.
  4.  Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
    • S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
    • Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  5.  Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  6. CAPE peut faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de 2 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient à CAPE de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, CAPE demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
  7.  Pour le Droit d’information des personnes concernées, Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
  8. Dans la mesure du possible, CAPE doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’Exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès de CAPE des demandes d’exercice de leurs droits, CAPE doit adresser ces demandes dès réception par courrier électronique au responsable de traitement.
  9. CAPE doit notifie au responsable de traitement toute Violation de Données à Caractère Personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen d’envoi d’un courriel. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, CAPE communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
    • La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
    • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
    • La description des conséquences probables de la violation de données à caractère personnel ;
    • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  10. CAPE s’engage à mettre en œuvre les Mesures de sécurité organisationnelles et techniques appropriées pour garantir un niveau de sécurité adapté au risque.
  11. Au terme de la prestation de services relatifs au traitement de ces données, CAPE s’engage à :
    • Détruire toutes les données à caractère personnel dans un délai défini avec le responsable de traitement à compter de la date du dépôt poste.

    Au choix des parties :

    • A renvoyer toutes les données à caractère personnel au responsable de traitement;
    • A renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement.
  12. Conformément à la loi informatique et libertés, l’Exercice des droits d’accès, d’interrogation, de modification, d’opposition et de rectification aux informations s’effectue par courrier, ou par email aux adresses suivantes:
    • Email : dpo@capeidf.fr
    • Courrier : CAPE – DPO – Z.I la Prairie – 91140 Villebon sur Yvette

En tant qu’intervenant sur les fichiers, CAPE transmettra la demande au responsable de traitement.

MISE A JOUR DE LA CHARTE

CAPE se réserve le droit de modifier la présente Charte, à tout moment, en tout ou partie compte tenu des modifications et évolutions de nos usages et procédures internes. Ces dernières veilleront à être toujours en conformité avec les éventuelles modifications des dispositions législatives et réglementaires françaises et européennes.