Politique de Confidentialité
Politique Générale de Confidentialité
ALTIOS est une société de conseil spécialisée dans l’expansion et l’implantation à l’international des PME et les ETI.
ALTIOS est spécialisée dans l’internationalisation des entreprises, la gestion de solution salariale et dans l’accompagnement à la création de filiales sur les marchés étrangers.
Dans le cadre des missions de conseil et d’activités de gestion salariale qui nous sont confiées, nous accordons la plus grande attention au traitement des données à caractère personnel tant de nos clients que des salariés et des utilisateurs de nos services en général, en accord avec la Règlementation Générale de Protection des données.
La présente Politique s’applique dans toutes les relations de ALTIOS avec ses contractants à défaut d’accord plus spécifique, et les personnes concernées.
1. DEFINITIONS
Au sein de la présente politique, les termes suivants ont le sens indiqué ci-dessous et les termes apparentés doivent être interprétés en conséquence :
« Données à caractère personnel », ci-après « DCP » : désigne toute information permettant l’identification directe ou indirecte d’une personne physique qu’ALTIOS et/ou un prestataire traitent en qualité de « Responsable de traitement » ou de « Sous-traitant ».
« Matériels » signifie tout matériel, système, équipement, outils communiqués, appartenant à ALTIOS ou transférés ou rendus accessibles à ALTIOS par son contractant.
« Règlementation » signifie, pour le besoin des présentes, toutes les lois et règlements applicables en France en matière de protection des données à caractère personnel, c’est-à-dire visant à la protection des libertés et droits fondamentaux des individus et, en particulier, leur droit au respect de la vie privée eu égard au traitement de leurs DCP et en particulier le règlement européen de protection des données N° 2016/679 (« RGPD ») et la loi Informatique et Libertés du 6 janvier 1978 modifiée.
« Personne concernée », « Responsable de traitement », « Responsables Conjoints de Traitement », « Sous-traitant », « traitement », « autorité de contrôle », « violation de données à caractère personnel », « analyse d’impact » (AIPD) conservent le sens qui leur est attribué dans la Règlementation susvisée.
2. PRINCIPES GENERAUX
Dans le cadre de l’exécution du Contrat, ALTIOS est amenée à connaitre et traiter des données à caractère personnel.
ALTIOS s’engage à se conformer aux obligations légales qui lui incombent au regard de la loi applicable et de la Réglementation susmentionnée, et à permettre à son contractant de respecter la loi applicable et la Règlementation.
ALTIOS effectue toutes les formalités exigées par la réglementation, ou toute autre disposition légale ou réglementaire applicable en matière de protection de la vie privée et des données à caractère personnel auprès des autorités compétentes.
ALTIOS adopte les mesures techniques et organisationnelles de sécurité et de confidentialité adaptées aux risques et conformes à l’état de l’art, et à prévoir des mécanismes de gestion des habilitations, permettant de limiter l’accès aux DCP aux seules personnes ayant à en connaitre.
En toute hypothèse, ALTIOS et ses contractants sont, chacun, responsables des manquements aux obligations qui leurs incombent, pour ce qui les concerne. En aucun cas, ils ne pourront être tenus pour responsable d’un manquement commis par l’autre partie, toute solidarité étant exclue.
ALTIOS, pour les cas où elle intervient en qualité de sous-traitant, ne pourra être tenue responsable de tout dommage causé par le traitement de DCP, qu’à la condition de n’avoir pas respecté ses obligations légales ou contractuelles et si elle a agi contrairement aux instructions du Responsable de Traitement.
ALTIOS garantit ses Responsable de Traitements contre toute revendication et/ou procédure quelle qu’en soit la forme, l’objet et la nature, engagée par tout tiers et invoquant une violation de DCP exclusivement liée à un manquement de ALTIOS dans ses obligations résultant des présentes, et/ou un de ses sous-traitants.
ALTIOS s’engage à intervenir à ses frais, dans toute procédure amiable ou judiciaire, engagée contre le responsable de Traitement et due à un manquement de ALTIOS elle-même et/ou de l’un de ses sous-traitants ultérieurs.
Les supports contenant des DCP et transmis à ALTIOS par le Responsable de Traitement restent la propriété de ce dernier. Les supports contenant des DCP collectées par ALTIOS demeurent quant à eux la propriété de ce dernier.
ALTIOS s’engage à ne conserver les DCP traitées dans le cadre du Contrat, que dans la limite dans la durée nécessaire aux traitements, augmentée des délais de prescription légaux durant lesquels les informations seront archivées en vue de toute réclamation comptable, fiscale ou judiciaire.
ALTIOS s’engage à :
– Ne pas utiliser les DCP à des fins autres que celles d’exécution du Contrat
– Ne pas diffuser, communiquer, vendre, céder, licencier ou fournir de quelque manière que ce soit les DCP à des tiers (à l’exception des conseils, auditeurs, représentants, gestionnaires)
– Ne pas faire des DCP une exploitation commerciale.
3. TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL PAR ALTIOS
3.1 Les obligations générales de ALTIOS
ALTIOS s’engage à :
– Traiter les DCP dans le strict respect de la Réglementation en vigueur en la matière ;
– Veiller au respect de la confidentialité de ces informations par ses employés ayant à en connaitre ;
– Traiter les DCP au sein de l’Espace Economique européen ou d’un pays considéré comme adéquat par la commission européenne ou offrant des garanties suffisantes en terme de sécurité et de protection des données et pour le cas où les DCP sont transférées à l’étranger, mettre en place les garanties nécessaires à leur traitement conforme à la RGPD ;
– Informer les personnes concernées quant aux traitements effectués et de leurs droits ;
– Répondre aux demandes des personnes concernées ;
– Notifier aux personnes concernées toute violation de données pouvant avoir des conséquences sur leurs droits et libertés ;
– Mettre à la disposition du Responsable de Traitement, et sur simple demande de ce dernier, les informations et documents permettant de démontrer le respect de la Réglementation
3.2 Modes de traitement des données
Le traitement des données transmises ou collectées est réalisé au moyen de procédures et de mesures adaptées afin de protéger la sécurité des informations en matière d’intégrité, de confidentialité et d’accessibilité, conformément aux dispositions de la loi applicable. Ledit traitement sera également réalisé, notamment, au moyen de ressources papiers, électroniques et informatiques et sera limité aux données strictement nécessaires pour les finalités indiquées ci-dessous.
ALTIOS utilise principalement les outils Microsoft et Sage.
3.3 Finalités et Base légale du traitement
ALTIOS procède au traitement des données en vue de permettre la négociation, l’établissement et l’exécution des conventions liant les parties, afin de se conformer aux obligations afférentes découlant de la loi applicable, et pour permettre l’exercice des droits d’ALTIOS devant les autorités compétentes.
Le traitement des données du Client aux fins susmentionnées est nécessaire à la mise en place et l’exécution de la relation contractuelle entre ALTIOS et ses contractants ou prospects, ainsi que pour le respect des obligations légales en découlant.
La fourniture des données du contractant aux fins susmentionnées constitue une condition sine qua non de la conclusion et l’exécution d’un contrat avec ALTIOS. Le défaut de fourniture desdites données rendrait impossible la mise en œuvre d’une relation contractuelle avec ALTIOS.
3.4 Typologie des traitements
Du fait de son expertise professionnelle, ALTIOS peut intervenir en qualité de responsable conjoint de traitement ou de sous-traitant des données, selon son autonomie dans le cadre de sa mission, le type et l’étendue de la mission confiée.
Ces traitements peuvent notamment couvrir les fonctions suivantes :
- La gestion comptable
- La gestion salariale
- La lutte contre le blanchiment et le terrorisme
- Le transfert de mandat
- La reddition des comptes
- La gestion de précontentieux ou contentieux nés dans le cadre de l’exécution du Contrat intervenant entre le Contractant et ALTIOS
3.5 Typologie de Données à caractère personnel traitées
Afin de mener à bien les traitements précités, et dans le cadre des finalités indiquées, ALTIOS peut notamment être amenée à traiter directement ou par l’intermédiaire d’un sous-traitant :
– Les données d’identification (nom, prénom, pièce d’identité, image, badges avec identification biométrique ou non…), de contact (adresse email, adresse postale, numéro de téléphone, …) des candidats, des salariés de l’entreprise Client ou les siens propres, des salariés des sociétés partenaires ;
– Les données des prospects et de leurs employés ;
– Les données des fournisseurs et autres prestataires fournissant des prestations de service ;
– Les données liées à la vie privée des personnes (situation familiale, salaires, postes, demandes particulières, …) ;
– Les données d’ordre économiques et financières (rémunération) ;
– Les données collectées aux fins de reporting….
3.6 Délai de conservation des données
Les données personnelles des personnes concernées seront conservées pendant le temps strictement nécessaire à l’exécution du contrat, ainsi que pendant un délai de cinq (5) ans supplémentaires suivant la fin du contrat liant les parties, pour respecter des obligations prévues par la loi applicable et/ou pour assurer l’exercice ou la défense d’un droit.
Conformément à la Règlementation, les données comptables sont conservées dix (10) ans.
3.7 Personnes qui peuvent avoir connaissance des données ou qui pourraient en être les destinataires
Les données du contractant seront traitées par les personnes habilitées par ALTIOS à effectuer les traitements concernés. En outre, les données pourront être communiquées à, et traitées par, toutes les personnes auxquelles ladite communication est rendue nécessaire par l’exécution du contrat liant les parties et des finalités des traitements de données prévues, et notamment aux destinataires suivants :
- Les salariés d’ALTIOS impliqués dans les prestations objets des contrats ;
- Les sociétés du groupe ;
- Les prestataires de services d’ALTIOS ;
- Les consultants, partenaires et professionnels ;
- Les compagnies d’assurance ;
Les autorités administratives et/ou judiciaires, sur réquisition.
4. LA SOUS-TRAITANCE ET SOUS-TRAITANCE ULTERIEURE
Si ALTIOS, agissant en tant que responsable conjoint du traitement ou sous-traitant, entend faire appel à un sous-traitant ou sous-traitant ultérieur, il informe, sauf urgence caractérisée, son Responsable de Traitement du nom et des coordonnées de ce sous-traitant ainsi que de sa fonction. Si le Responsable de Traitement souhaite s’opposer à la sous-traitance proposée, il doit en faire part dans le mois de l’information et en proposer un autre. A défaut il est réputé l’accepter.
Conformément à la Règlementation, ALTIOS s’assure que chacun de ses sous-traitants garantit au moins le même niveau de protection des DCP que celui figurant dans la présente politique et respecte la Règlementation.
Chacun des sous-traitants s’engage à assurer au moins le même niveau de protection des DCP que celui figurant dans la présente politique et à respecter la Règlementation.
En outre, ALTIOS veille à ce que son personnel et celui de ses sous-traitants respectent le caractère confidentiel des informations auxquelles ils accèdent.
Si les lois applicables auxquelles ALTIOS est soumise, en France ou à l’étranger, exigent d’agir autrement. ALTIOS devra alors, dans la mesure permise par les lois applicables, informer le Responsable de Traitement de cette exigence légale avant de procéder au traitement de ces données à caractère personnel.
Conformément à l’article 35 du règlement européen de protection des données personnelles, ALTIOS s’oblige à assister le Responsable de Traitement dans la réalisation d’analyse d’impact dans l’hypothèse où les traitements nécessités par le contrat sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.
Si un traitement présente des risques élevés pour les individus, ALTIOS s’engage à suivre la procédure d’Analyse d’impact devant l’autorité administrative française, la CNIL.
5. DROITS DES PERSONNES CONCERNEES
Dans le cadre du traitement des données, effectué par ALTIOS, la personne concernée par les traitements de données susvisés a le droit d’exercer à tout moment, les droits suivants, prévus par le Règlement (UE) 2016/679 :
- le droit d’obtenir la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accès auxdites données personnelles et celui d’en obtenir une copie.
- Le droit d’obtenir la rectification de ses données personnelles et, le cas échéant, de les compléter, lorsque ces données ne sont pas exactes.
- Le droit d’obtenir l’effacement de données personnelles le concernant, dans les cas et aux conditions prévus par la loi applicable.
- Le droit d’obtenir la limitation du traitement dans les cas et aux conditions prévus par la loi applicable.
- Le droit d’introduire une réclamation auprès de la CNIL située 3 rue de Fontenoy, TSA 80715- 75334 PARIS CEDEX 077, ou de l’autorité de contrôle compétente.
- Le droit de recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine et de transmettre ces données à un autre responsable du traitement sans obstacle, dans les cas prévus par la loi applicable ;
- Le droit de définir des directives relatives au sort des données le concernant après sa mort.
ALTIOS s’engage à répondre aux demandes des personnes concernées dans un délai d’un mois suite à la réception d’une demande.
Lorsque cela est nécessaire, il est demandé à ses contractants d’assister ALTIOS dans les réponses apportées aux personnes concernées souhaitant exercer leur droit d’accès, d’opposition, de rectification, d’effacement, de limitation du traitement, de portabilité des données ou encore d’adresser des directives relatives au sort des DCP le concernant en cas de décès. Les contractants collaborent avec ALTIOS dans la mise en œuvre de ces droits.
Toute personne concernée peut exercer ses droits auprès du délégué à la protection des données de ALTIOS aux adresses suivantes :
Par voie postale :
Pour ALTIOS France :
DPO ALTIOS – Metronomy Park 3, 2 rue Jacques Brel 44800 Saint-Herblain (France)
Pour ALTIOS INTERNATIONAL :
DPO ALTIOS – 22 Rue de la Pépinière, 75008 Paris (France)
Par voie électronique : dpo@altios.com
La fourniture d’un justificatif d’identité est requise en vue de préserver la confidentialité des données personnelles.
Si malgré tous nos efforts la personne concernée estime notre réponse insatisfaisante, il est rappelé qu’elle dispose d’un droit de réclamation devant l’organisme de contrôle français, la CNIL. L’exercice de ce droit s’effectue par un courrier à l’adresse suivante : CNIL- 3 Place de Fontenoy – TSA 80717- 75334 PARIS CEDEX 07 , ou en ligne sur son site : https://www.cnil.fr/fr/plaintes
6. SECURITE INFORMATIQUE
6.1 Programme de sécurité
ALTIOS prend toutes les mesures techniques et organisationnelles nécessaires et adaptées afin d’assurer la confidentialité, la sécurité, la disponibilité et l’intégrité des DCP et Matériels, les siens propres comme ceux mis à disposition par ses contractants.
ALTIOS prend toutes les mesures raisonnables pour garantir la fiabilité de tout employé, agent ou prestataire pouvant avoir accès aux DCP traitées pour l’exécution du contrat et en particulier, à ce qu’il respecte la confidentialité des informations qu’il a à connaitre.
ALTIOS a adopté un programme de sécurité de l’information qui incorpore les mesures de protection administratives, techniques et physiques appropriées et proportionnées, telles que :
- La pseudonymisation, dans la mesure où cette mesure est proportionnée aux moyens et risques et où les outils informatiques de ALTIOS le lui permettent, et/ou le chiffrement des DCP traitées,
- Les moyens d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience constante des DCP et Matériels;
- Les moyens de restaurer la disponibilité et l’accès aux DCP et Matériels dans un délai raisonnable en cas d’incident technique ou physique ;
- Un processus ayant pour objet de tester, évaluer et estimer l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement des données ;
- Un archivage physique et numérique actif.
ALTIOS s’engage à régulièrement auditer et revoir le Programme de Sécurité de l’Information afin de garantir son efficacité continue et de déterminer si des ajustements sont nécessaires au vu des circonstances, y compris des changements technologiques, règlementaires, dans les pratiques du secteur ou dans les menaces et risques susceptibles d’affecter les DCP et Matériels.
ALTIOS s’engage à répondre dans les plus brefs délais à toute demande d’information sur son Programme de Sécurité de l’Information.
6.2 Atteinte à la sécurité des données
Dès la survenance d’un incident ou dès que ALTIOS a des soupçons sur la survenance d’un incident en lien avec une atteinte à la sécurité ou de tout autre manquement au titre des stipulations relatives au traitement des données à caractère personnel, par lui ou à son égard, ALTIOS s’engage à :
- Informer les personnes concernées ou l’autorité de contrôle, selon la gravité et les conséquences de l’Atteinte à la Sécurité.
- Faire au plus tôt ce qui est en son possible pour minimiser l’impact ou tout autre dommage que l’atteinte est susceptible de causer aux personnes concernées et pour empêcher, autant que faire se peut, la survenance d’atteintes similaires à l’avenir.
6.3 Audit
ALTIOS permet à ses Clients de réaliser des audits de conformité en matière de traitement de données à caractère personnel, en ce compris inspections, dans la mesure où cet Audit est notifié quinze (15) jours à l’avance à ALTIOS et où il est effectué pendant les heures habituelles de travail.
7. TRANSFERTS DES DONNEES A CARACTERE PERSONNEL VERS DES PAYS TIERS
Le transfert des données personnelles vers des pays hors de l’Union Européenne sera effectué s’il est nécessaire à l’exécution de la relation contractuelle, ou pour la mise en œuvre de mesures précontractuelles à la demande de la personne concernée, ou tant que le transfert est nécessaire pour constater, exercer ou défendre un droit devant une autorité judiciaire, ou si la personne concernée a expressément donné son consentement au transfert, ou pour protéger ses intérêts vitaux lorsqu’il est dans l’incapacité physique ou juridique de donner son consentement.
En cas de transferts ultérieurs éventuels des données personnelles, ALTIOS procédera auxdits transferts uniquement :
- vers des Pays Tiers, ou vers un ou plusieurs secteurs particuliers dans un Pays Tiers ou vers des organisations internationales que la Commission Européenne considère comme ayant mis en place un niveau adéquat de protection des données personnelles ;
- si le destinataire des données a obtenu une certification appropriée ou a adhéré à un code de conduite déterminé garantissant que le traitement des données personnelles est réalisé avec des garanties appropriées et équivalentes à celles prévues en vertu du droit de l’UE ; ou
- Si le Prestataire a mis en place des garanties appropriées pour protéger vos Données Personnelles, les contrats incluant des Clauses Types, telles qu’établies par la Commission européenne ou par l’autorité nationale de protection des données et approuvées par la Commission Européenne.
La personne concernée peut obtenir une copie des garanties mises en place par ALTIOS en envoyant un courrier électronique accompagné d’un justificatif d’identité et d’une adresse de contact courriel à l’adresse suivante: dpo@altios.com
8. SUPPRESSION DES DONNEES A CARACTERE PERSONNEL
ALTIOS cesse de procéder au traitement des DCP effectués en sous-traitance à l’issue du Contrat.
ALTIOS cesse le traitement dès que possible et, soit détruit les DCP traitées, soit restitue les supports les contenant à son contractant, selon l’option déterminée, et supprime les DCP concernées de ses systèmes.
ALTIOS ne conserve les DCP fournies par le contractant que dans la mesure requise par les lois applicables et veille à ce que ces DCP soient uniquement traitées à la fin ou aux fins spécifiées dans les lois applicables imposant ou rendant nécessaire leur conservation.
ALTIOS s’engage à ne conserver les DCP traitées, que dans la limite dans la durée nécessaire aux traitements, augmentée des délais de prescription légaux durant lesquels les informations seront archivées en vue de toute réclamation comptable, fiscale ou judiciaire.
9. SITE INTERNET
Afin de garantir la qualité de ses services et pouvoir assurer un fonctionnement aussi qualitatif que possible de son site web, la société ALTIOS, peut être amenée à traiter des données à caractère personnel de l’Utilisateur lors de la navigation de ce dernier sur le site internet www.altios.com ou www.altiosfr.conobiumdz.com ;
Les CGU du Site et la Politique Cookies du Site sont accessibles en ligne sur www.altios.com ou www.altiosfr.conobiumdz.com
10. VERSIONS DE LA POLITIQUE DE CONFIDENTIALITE
La présente politique de confidentialité peut faire l’objet de modifications. ALTIOS publiera toute nouvelle version sur son site ou la fournira à première demande.
11. CONTACTS
Pour toute information concernant les droits et leur exercice, ainsi que pour toute question concernant le traitement des données personnelles, veuillez contacter le Délégué à la protection des données en envoyant un courriel à l’adresse : dpo@altios.com