API

Définition des données

Le RGPD définit les « données à caractère personnel » comme toute information relative à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, une adresse e-mail ou un numéro de téléphone.

Dans ses opérations commerciales courantes, Auto Integrate utilise une variété de données à caractère personnel concernant des personnes identifiables (les « personnes physiques »), y compris des données à caractère personnel concernant :

• Employés et consultants actuels, passés et potentiels
• Visiteurs externes actuels, passés et potentiels (p. ex. auditeurs)
• Utilisateurs de son site Web
• Autres parties prenantes pertinentes

Lors de la collecte et de l’utilisation de ces données, la société est soumise à une variété de lois contrôlant la manière dont ces activités peuvent être menées et les garanties qui doivent être mises en place pour les protéger.

Finalité

La finalité de la présente Politique est de définir la législation pertinente et de décrire les mesures prises par Auto Integrate pour s’assurer qu’elle est conforme.

Ce contrôle s’applique à tous les systèmes, personnes et processus qui constituent les systèmes d’information de la société, y compris les administrateurs, employés, fournisseurs et autres tiers qui ont accès aux systèmes d’Auto Integrate.

Auto Integrate s’engage non seulement à respecter les textes de loi, mais aussi l’esprit des lois et accorde une grande importance au traitement exact, légitime et équitable de toutes les données à caractère personnel dans le respect des droits légaux, de la vie privée et de la confiance accordée par toutes les personnes avec lesquelles elle traite.

Définition

Les articles 4 et 9 du RGPD définissent ainsi les termes clés suivants :

Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable

Données de catégorie spéciale : données à caractère personnel comprenant ou concernant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, la biométrie, la santé, la vie sexuelle ou l’orientation sexuelle. En outre, bien qu’elles soient considérées comme des « données de catégorie spéciale », les données des enfants et les données relatives au casier judiciaire bénéficient de protections supplémentaires.

Personne concernée : personne physique identifiée ou identifiable

Traitement : toute opération (d’un ensemble d’opérations) effectuée sur des données à caractère personnel

Restriction du traitement  : le marquage des données à caractère personnel stockées dans le but de limiter leur traitement à l’avenir.

Profilage : toute forme de traitement automatisé des données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects liés à une personne

Anonymisation : traitement des données à caractère personnel de telle sorte que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément.

Principes

Six principes de protection des données sont définis à l’article 5 du RGPD. Elles exigent que toutes les données à caractère personnel soient :

• Traitées de manière légitime, équitable et transparente
• Collectées uniquement à des fins spécifiques, explicites et limitées (« limitation de la finalité »)
• Adéquates, pertinentes et non excessives (« minimisation des données »).
• Exactes et tenues à jour si nécessaire
• Ne pas être conservées plus longtemps que nécessaire (« conservation »)
• Traitées avec les mesures de sécurité et de confidentialité appropriées

Auto Integrate s’engage à respecter les principes de protection des données. Toutes les données à caractère personnel sous le contrôle d’Auto Integrate doivent être traitées conformément à ces principes.

Traitement légitime

Tout traitement de données à caractère personnel doit respecter l’une des six bases légales définies à l’article 6(2) du RGPD :

• Lorsqu’Auto Integrate a le consentement de la personne concernée.
• Lorsque cela est dans l’intérêt légitime d’Auto Integrate et n’est pas supplanté par les droits et libertés de la personne concernée.
• Lorsque cela est nécessaire pour satisfaire à une obligation légale.
• Lorsque cela est nécessaire pour remplir un contrat ou des obligations précontractuelles.
• Lorsqu’Auto Integrate protège les intérêts vitaux d’une personne.
• Lorsque nous réalisons une tâche d’intérêt public ou agissons sous une autorité officielle.

Toutes les données de catégorie spéciale (catégories sensibles de données à caractère personnel telles que définies à l’Article 9(1) du RGPD) doivent être traitées ultérieurement uniquement conformément à l’une des conditions précisées à l’Article 9(2).

La base légale la plus appropriée sera notée dans le Registre de traitement des données.

Lorsque le traitement est basé sur le consentement, la personne concernée peut retirer facilement son consentement.

Lorsque des communications électroniques de publicité directe sont envoyées, le destinataire doit avoir la possibilité de se désinscrire de chaque communication envoyée et Auto Integrate doit reconnaître et respecter ce choix.

Rôles et responsabilités

Auto Integrate a la responsabilité générale de s’assurer qu’elle est conforme à la loi sur la protection des données de 2018 et au RGPD. Cependant, tous les employés qui traitent des données à caractère personnel dans le cadre de leur emploi sont également responsables de garantir la conformité à la loi sur la protection des données et au RGPD.

Auto Integrate fournira un soutien, une assistance, des conseils et des formations à tout le personnel concerné pour s’assurer qu’il est en mesure de se conformer à la législation. Le délégué à la protection des données d’Auto Integrate (coordonnées ci-dessous) aidera la société et son personnel à se conformer à la législation sur la protection des données.

Plus précisément, les rôles et responsabilités suivants s’appliquent conformément à la Politique :

Tous les utilisateurs des Informations de la Société :

• Doivent suivre les formations et les activités de sensibilisation pertinentes fournies par la société pour soutenir la conformité à la présente politique ;
• Doivent prendre toutes les mesures nécessaires pour s’assurer qu’aucune violation de la sécurité de l’information ne résulte de leurs actions ;
• Doivent signaler toute violation présumée et réelle de la sécurité des données au Délégué à la protection des données afin que les mesures nécessaires puissent être prises pour minimiser les dommages ;
• Doivent informer la société de tout changement apporté aux informations qu’ils ont fournies à la société en lien avec leur emploi (par ex., changements d’adresse ou de coordonnées bancaires).

Équipe de direction d’Auto Integrate (AIMT)

• L’AIMT est responsable de l’examen et de l’approbation de la présente Politique conformément aux recommandations du Délégué à la protection des données ;
• Chaque membre de l’AIMT est tenu de veiller au respect de la Loi sur la protection des données de 2018 et du RGPD et la présente politique entre dans son domaine de responsabilité ;

Personnel de la Société

L’ensemble du personnel est tenu de :

• Se familiariser avec les conditions de la Politique de protection des données et s’y conformer ;
• Comprendre ce que l’on entend par « données à caractère personnel » et « catégories particulières de données personnelles » et savoir comment traiter ces données ;
• Comprendre les bases légales du traitement des données à caractère personnel ;
• Ne pas compromettre les droits des personnes concernées ou risquer d’enfreindre la loi sur la protection des données ;
• Signaler immédiatement toute violation de la sécurité des données au Délégué à la protection des données ;
• Contacter le Délégué à la protection des données en cas de doute

Violations des données

Le non-respect des principes de protection des données de la présente politique peut entraîner la responsabilité pénale personnelle de l’employé. Il peut également entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement en cas de violation importante ou délibérée de la présente politique, comme l’accès aux données à caractère personnel des employés ou des clients sans autorisation ou sans avoir une raison légitime de le faire.

Les employés doivent immédiatement signaler au Délégué à la protection des données toute violation réelle ou présumée de la protection des données qui fera l’objet d’une enquête conformément à la politique DR relative aux violations de la protection des données d’Auto Integrate.

Si Auto Integrate découvre qu’il y a eu violation des données à caractère personnel relatives aux employés qui présente un risque pour les droits et libertés des personnes concernées, la société est tenue de le signaler au Commissaire à l’information dans les 72 heures suivant la découverte. Auto Integrate consignera toute violation, quel que soit son effet.

Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées, la société informera les personnes concernées de la violation et leur fournira des informations sur ses conséquences probables et les mesures d’atténuation qu’elle a prises.

Lorsqu’Auto Integrate engage des tiers pour traiter des données à caractère personnel en son nom, ces tiers le font sur la base d’instructions écrites, sont soumis à une obligation de confidentialité et sont tenus de mettre en œuvre les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données.

Droits des personnes concernées

Le RGPD prévoit les droits suivants pour les personnes concernées :

1. Le droit à l’information : le droit d’être informées de la manière dont leurs données personnelles sont utilisées dans un langage clair et transparent
2. Le droit d’accès : le droit de connaître et d’avoir accès aux données à caractère personnel d’Auto Integrate les concernant
3. Le droit de rectification : le droit de faire corriger leurs données à caractère personnel si celles-ci sont inexactes ou incomplètes
4. Le droit à l’effacement : Le droit à l’effacement de leurs données à caractère personnel
5. Le droit de restreindre le traitement : le droit de limiter l’étendue du traitement de leurs données à caractère personnel.
6. Le droit à la portabilité des données : le droit de recevoir leurs données dans un format commun et lisible par machine
7. Le droit d’opposition : le droit de se plaindre et de s’opposer au traitement
8. Droits relatifs à la prise de décision automatisée et au profilage : le droit de ne pas faire l’objet de décisions sans implication humaine.

Auto Integrate défendra les droits des personnes concernées en vertu des lois sur la protection des données et leur permettra d’exercer leurs droits sur les données à caractère personnel qu’elle détient à leur sujet. Les informations sur la confidentialité reconnaîtront ces droits et expliqueront comment les personnes concernées peuvent les exercer. La plupart des droits ne sont pas absolus, et la personne concernée pourra les exercer en fonction des circonstances, sachant que des dérogations peuvent s’appliquer dans certains cas.

Toute demande relative à ces droits doit de préférence être faite par écrit à l’adresse dataprotection@autointegrate.com. Toutefois, Auto Integrate acceptera également les demandes verbales.

Il n’y a pas de frais pour déposer une demande, sauf si la demande est « manifestement infondée ou excessive », auquel cas des frais administratifs peuvent être recouvrés.

Les demandes « manifestement infondées ou excessives » peuvent être refusées.

Auto Integrate prendra des mesures raisonnables pour exiger des personnes concernées qu’elles prouvent leur identité s’il n’est pas évident qu’elles sont effectivement la personne concernée.

Auto Integrate répondra à la demande dans un délai d’un mois à compter de la date de la demande ou de la possibilité d’identifier la personne concernée, sauf si la demande est particulièrement complexe (auquel cas Auto Integrate répondra dans un délai maximum de 90 jours).

Le DPD s’assurera que les mesures nécessaires sont prises et que la réponse appropriée est transmise dans les délais.

Le DPD établira des procédures pour répondre aux demandes si nécessaire, par exemple pour traiter les demandes d’accès des personnes concernées.

Sécurité des informations

Le principe (f) du RGPD stipule que les entreprises doivent assurer « une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte accidentelle, la destruction ou les dommages, en utilisant les mesures techniques ou organisationnelles nécessaires ». Au vu des changements permanents de la technologie et de la demande de moyens toujours plus simples par lesquels les informations peuvent être consultées et partagées, il est important d’adopter une approche cohérente pour protéger les informations.

Auto Integrate garantira que les mesures techniques et organisationnelles nécessaires sont en place, soutenues par des évaluations de l’impact et des risques sur la vie privée, afin d’assurer un haut niveau de sécurité pour les données à caractère personnel et confidentielles, et un environnement sécurisé pour les informations conservées manuellement et électroniquement.

Gestion des dossiers

La gestion des dossiers fait référence à un ensemble d’activités imposées pour contrôler systématiquement la création, la distribution, l’utilisation, la maintenance et la suppression des informations enregistrées conservées comme preuve des activités et transactions commerciales. Il est impossible de se conformer à la loi sur l’information sans mettre en place des politiques et pratiques solides de gestion des dossiers.

De bonnes pratiques de gestion des dossiers garantissent non seulement la qualité des dossiers, mais également que les données à caractère personnel sont conservées aussi longtemps que nécessaire pour leur finalité initiale et contribuent à la minimisation des données. Elles font partie intégrante de la méthodologie de sécurité de l’information et garantissent l’intégrité et la confidentialité des données à caractère personnel. C’est une caractéristique clé de la gestion des risques.

Auto Integrate s’engage à mettre en œuvre une politique, un processus et des pratiques solides en matière de gestion des dossiers afin de garantir la conformité au RGPD.

Informations supplémentaires

Si vous avez des questions concernant la présente politique, veuillez contacter :

The Data Protection Officer (DPD)
Auto Integrate Ltd
2000 Lakeside,
Portsmouth,
Hampshire,
PO6 3EN, Royaume-Uni

E-mail : dataprotection@autointegrate.com

Examen de la présente Politique

Nous révisons régulièrement la présente politique. La présente politique a été mise à jour pour la dernière fois en janvier 2020.