Rechercher
Panier Panier 0 Produit Produits (vide)

Aucun produit

À définir Livraison
CAD $0.00 Total

Les prix sont HT

Commander

Menu

Français
Devise : CAD

Section XIII - Politique de protection des données

 

Avant-propos

 

 

Nous adhérons à ce principe: lors du stockage et de la transmission de données, nous devons garantir un niveau élevé de protection des données et de sécurité des données. Cela concerne les informations relatives à nos clients, prospects, partenaires commerciaux et employés. Parce que la protection des données est la protection des personnes. Nous voulons que Barbaware soit non seulement synonyme de toilettage pour hommes, mais également de normes en matière de protection des données. Pour cette raison, nous considérons qu’il est de notre devoir, en tant qu’entreprise internationale, de respecter les diverses réglementations légales dans le monde qui régissent la collecte et le traitement des données personnelles. Notre priorité absolue est de garantir des normes universellement applicables pour le traitement des données personnelles. Pour nous, la protection des droits personnels et de la vie privée de chacun est la base de la confiance dans nos relations commerciales. Notre politique de protection des données d'entreprise établit des exigences strictes pour le traitement des données personnelles relatives aux clients, aux prospects, aux partenaires commerciaux et aux employés. Il répond aux exigences de la directive européenne sur la protection des données et garantit la conformité aux principes des lois nationales et internationales sur la protection des données en vigueur dans le monde entier. La politique établit une norme de protection des données et de sécurité applicable à l'échelle mondiale pour notre société et réglemente le partage d'informations entre les sociétés du groupe. Nous avons établi sept principes de protection des données - parmi lesquels la transparence, l’économie de données et la sécurité des données - comme ligne directrice. Nos gestionnaires et employés sont tenus de respecter la politique de protection des données de l'entreprise et d'observer leurs lois locales de protection des données.

 

 

 

I. L'objectif de la politique de protection des données

 

 

Dans le cadre de sa responsabilité sociale, Barbaware s'engage à respecter les lois internationales en matière de protection des données. Cette politique de protection des données s’applique dans le monde entier à Barbaware et se base sur des principes fondamentaux de protection des données acceptés au niveau mondial. Garantir la protection des données est la base de relations d'affaires fiables et la réputation de Barbaware en tant qu'employeur attrayant. La politique de protection des données constitue l'une des conditions-cadres nécessaires à la transmission transfrontalière des données entre les entreprises. Il garantit le niveau adéquat de protection des données prescrit par la directive de l'Union européenne sur la protection des données et les lois nationales sur la transmission de données transfrontalières, y compris dans les pays qui ne disposent pas encore de lois adéquates sur la protection des données.

 

 

 

II. Portée et modification de la politique de protection des données

 


Cette politique de protection des données s’applique à toutes les sociétés de Barbaware, à toutes les sociétés du groupe, aux sociétés affiliées et à leurs employés. Dans ce cas, «dépendant» signifie que Barbaware peut imposer l’adoption de cette politique de protection des données directement ou indirectement, sur la base de la majorité des votes, de la représentation de la direction majoritaire ou par accord. La politique de protection des données s'étend à tous les traitements de données personnelles. Dans les pays où les données des personnes morales sont protégées au même titre que les données personnelles, la présente politique de protection des données s’applique également aux données des personnes morales. Données anonymisées, par ex. pour les évaluations ou études statistiques, n'est pas soumis à cette politique de protection des données. Les sociétés du groupe ne sont pas autorisées à adopter des réglementations qui dérogent à cette politique de protection des données. Des politiques supplémentaires en matière de protection des données peuvent être créées en accord avec le Chef de la protection des données uniquement si les lois nationales applicables l'exigent. Cette politique de protection des données peut être modifiée en coordination avec le responsable de la protection des données du chef de la direction dans le cadre de la procédure définie pour la modification des politiques. Les modifications seront signalées immédiatement aux sociétés Barbaware en utilisant le processus de modification des politiques. Les modifications ayant un impact majeur sur la conformité à la politique de protection des données doivent être signalées chaque année aux autorités de protection des données qui approuvent cette politique de protection des données en tant que règles d'entreprise contraignantes.

 

 

 

III. Application des lois nationales

 

 

Cette politique de protection des données comprend les principes de confidentialité des données acceptés au niveau international sans remplacer les lois nationales existantes. Il complète les lois nationales sur la confidentialité des données. La législation nationale pertinente prévaudra en cas de conflit avec la présente politique de protection des données ou en cas d'exigences plus strictes que cette politique. Le contenu de cette politique de protection des données doit également être observé en l'absence de législation nationale correspondante. Les exigences de déclaration pour le traitement des données en vertu des lois nationales doivent être respectées. Chaque entreprise de Barbaware est responsable du respect de cette politique de protection des données et des obligations légales. S'il existe une raison de croire que les obligations légales contredisent les obligations découlant de la présente politique de protection des données, la société du groupe concernée doit en informer le directeur général de la protection des données d'entreprise. En cas de conflit entre la législation nationale et la politique de protection des données, Barbaware travaillera avec la société du groupe concernée afin de trouver une solution pratique répondant aux objectifs de la politique de protection des données.

 

 

 

IV. Principes de traitement des données personnelles

 

 

1. Équité et licéité Lors du traitement des données à caractère personnel, les droits individuels des personnes concernées doivent être protégés. Les données personnelles doivent être collectées et traitées de manière légale et équitable.

2. Restriction à un objectif spécifique Les données personnelles ne peuvent être traitées que dans le but défini avant la collecte des données. Les modifications ultérieures apportées à l'objectif ne sont possibles que dans une mesure limitée et nécessitent une justification.

3. Transparence, la personne concernée doit être informée de la manière dont ses données sont traitées. En général, les données personnelles doivent être collectées directement auprès de la personne concernée. Lors de la collecte des données, la personne concernée doit être au courant ou informée de: » L'identité du contrôleur de données» Le but du traitement des données » Des tiers ou des catégories de tiers auxquels les données pourraient être transmises.

4. Réduction des données et économie des données Avant de traiter les données personnelles, vous devez déterminer si et dans quelle mesure le traitement des données à caractère personnel est nécessaire pour atteindre l'objectif pour lequel elles sont effectuées. Lorsque le but le permet et lorsque les dépenses engagées sont proportionnées à l'objectif poursuivi, des données anonymes ou statistiques doivent être utilisées. Les données personnelles ne peuvent être collectées à l'avance et stockées à des fins futures potentielles, sauf si requis ou permis par la législation nationale.

5. La suppression données personnelles qui ne sont plus nécessaires à l'expiration des périodes légales ou liées aux processus métier doivent être supprimées. Il peut y avoir une indication des intérêts qui méritent d'être protégés ou de la signification historique de ces données dans des cas individuels. Si tel est le cas, les données doivent rester dans le fichier jusqu'à ce que les intérêts qui justifient la protection aient été clarifiés légalement ou que les archives de l'entreprise aient évalué les données pour déterminer si elles doivent être conservées à des fins historiques.

6. Précision factuelle; mise à jour des données Les données personnelles contenues dans le fichier doivent être correctes, complètes et, si nécessaire, mises à jour. Des mesures appropriées doivent être prises pour garantir que les données inexactes ou incomplètes sont supprimées, corrigées, complétées ou mises à jour.

7. Confidentialité et sécurité des données Les données personnelles sont soumises au secret des données. Il doit être traité comme confidentiel à un niveau personnel et sécurisé avec des mesures organisationnelles et techniques appropriées pour empêcher tout accès non autorisé, tout traitement ou distribution illicite, ainsi que toute perte, modification ou destruction accidentelle.

 

 

 

V. Fiabilité du traitement des données

 

 

La collecte, le traitement et l'utilisation des données personnelles ne sont autorisés que sous les bases légales suivantes. L'une de ces bases juridiques est également requise si l'objectif de la collecte, du traitement et de l'utilisation des données personnelles doit être modifié par rapport à l'objectif initial.

 

 

 

1. Données client et partenaire

 

 

1.1 Traitement de données pour une relation contractuelle

Les données personnelles des prospects, clients et partenaires concernés peuvent être traitées pour établir, exécuter et résilier un contrat. Cela inclut également les services de conseil pour le partenaire dans le cadre du contrat si cela est lié à l'objet contractuel. Avant un contrat - pendant la phase d'initiation du contrat - les données personnelles peuvent être traitées pour préparer des offres ou des bons de commande ou pour répondre à d'autres demandes du client potentiel liées à la conclusion du contrat. Les prospects peuvent être contactés pendant le processus de préparation du contrat en utilisant les informations qu'ils ont fournies. Toute restriction demandée par les prospects doit être respectée. Pour les mesures publicitaires au-delà de cela, vous devez respecter les exigences suivantes sous V.1.2.

 

1.2 Traitement de données à des fins publicitaires

Si la personne concernée contacte une société Barbaware pour demander des informations (par exemple, demande de recevoir des informations sur un produit), le traitement des données pour répondre à cette demande est autorisé. Les mesures de fidélisation ou de publicité du client sont soumises à d’autres exigences légales. Les données personnelles peuvent être traitées à des fins publicitaires ou de recherche de marché et d'opinion, à condition que cela corresponde à l'objectif pour lequel les données ont été collectées à l'origine. La personne concernée doit être informée de l'utilisation de ses données à des fins publicitaires. Si les données ne sont collectées qu'à des fins publicitaires, la divulgation de la personne concernée est volontaire. La personne concernée est informée que la fourniture de données à cette fin est volontaire. Lors de la communication avec la personne concernée, un consentement doit être obtenu de sa part pour traiter les données à des fins publicitaires. En donnant son consentement, la personne concernée devrait avoir le choix parmi les formes de contact disponibles, telles que le courrier ordinaire, le courrier électronique et le téléphone (consentement, voir V.1.3).

Si la personne concernée refuse l'utilisation de ses données à des fins publicitaires, elle ne peut plus être utilisée à ces fins et doit être bloquée pour ces fins. Toute autre restriction de certains pays concernant l'utilisation de données à des fins publicitaires doit être respectée.

 

1.3 Consentement au traitement des données

Les données peuvent être traitées après consentement de la personne concernée. Avant de donner son consentement, la personne concernée doit être informée conformément à IV.3. de cette politique de protection des données. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, telles que les conversations téléphoniques, le consentement peut être donné verbalement. L'octroi du consentement doit être documenté.

 

1.4 Traitement de données en vertu d'une autorisation légale

Le traitement des données personnelles est également autorisé si la législation nationale le demande, l'exige ou l'autorise. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement de données légalement autorisée et doivent être conformes aux dispositions légales pertinentes.

 

1.5 Traitement de données dans l'intérêt légitime

Les données personnelles peuvent également être traitées si cela est nécessaire pour un intérêt légitime de Barbaware. Les intérêts légitimes sont généralement de nature juridique (par exemple, la collecte de créances impayées) ou de nature commerciale (par exemple, en évitant les violations de contrat). Les données personnelles ne peuvent être traitées à des fins d’intérêt légitime si, dans des cas individuels, il existe des preuves que les intérêts de la personne concernée méritent d’être protégés, et que cela prime. Avant de traiter les données, il est nécessaire de déterminer s’il existe des intérêts qui méritent d’être protégés.

 

1.6 Traitement de données hautement sensibles

Les données personnelles hautement sensibles ne peuvent être traitées que si la loi l'exige ou si la personne concernée a donné son consentement exprès. Ces données peuvent également être traitées s’il est obligatoire de faire valoir, d’exercer ou de défendre des actions en justice concernant la personne concernée. S'il est prévu de traiter des données hautement sensibles, le responsable en chef de la protection des données doit en être informé à l'avance.

 

1.7 Décisions individuelles automatisées

Le traitement automatisé de données à caractère personnel utilisé pour évaluer certains aspects (par exemple, la solvabilité) ne peut constituer le seul fondement de décisions ayant des conséquences juridiques négatives ou pouvant porter gravement atteinte à la personne concernée. La personne concernée doit être informée des faits et des résultats des décisions individuelles automatisées et de la possibilité de répondre. Pour éviter des décisions erronées, un employé doit effectuer un test et un contrôle de vraisemblance.

 

1.8 Données utilisateur et internet

Si des données personnelles sont collectées, traitées et utilisées sur des sites Web ou dans des applications, les personnes concernées doivent en être informées dans une déclaration de confidentialité et, le cas échéant, des informations sur les cookies. La déclaration de confidentialité et toute information relative aux cookies doivent être intégrées de manière à ce qu’elles soient faciles à identifier, directement accessibles et systématiquement disponibles pour les personnes concernées.

Si des profils d'utilisation (tracking) sont créés pour évaluer l'utilisation de sites Web et d'applications, les personnes concernées doivent toujours être informées en conséquence dans la déclaration de confidentialité. Le suivi personnel ne peut être affecté que si cela est autorisé par la législation nationale ou avec le consentement de la personne concernée. Si le suivi utilise un pseudonyme, la personne concernée doit avoir la possibilité de se retirer de la déclaration de confidentialité.

Si les sites Web ou les applications peuvent accéder aux données personnelles dans une zone réservée aux utilisateurs enregistrés, l'identification et l'authentification de la personne concernée doivent offrir une protection suffisante lors de l'accès.

 

 

 

2. Données sur les employés

 

 

2.1 Traitement de données pour la relation de travail

Dans les relations de travail, les données personnelles peuvent être traitées si nécessaire pour initier, exécuter et résilier le contrat de travail. Lors de l'ouverture d'une relation de travail, les données personnelles des demandeurs peuvent être traitées. Si le candidat est rejeté, ses données doivent être supprimées dans le respect de la période de conservation requise, à moins que le candidat n'ait accepté de rester en ligne pour un futur processus de sélection. Le consentement est également nécessaire pour utiliser les données pour d'autres processus d'application ou avant de partager l'application avec d'autres sociétés du Groupe. Dans la relation de travail existante, le traitement des données doit toujours se rapporter à l'objet du contrat de travail si aucune des circonstances suivantes ne se présente pour les applications de traitement de données autorisées. Si, au cours de la procédure de demande, il est nécessaire de collecter des informations sur un demandeur auprès d'un tiers, il convient de respecter les exigences des lois nationales correspondantes. En cas de doute, le consentement doit être obtenu auprès de la personne concernée. Il doit y avoir une autorisation légale de traiter les données personnelles liées à la relation de travail mais ne faisant pas partie à l'origine de l'exécution du contrat de travail. Cela peut inclure des exigences légales, des règlements collectifs avec les représentants des employés, le consentement de l'employé ou l'intérêt légitime de l'entreprise.

 

2.2 Traitement de données en vertu d'une autorisation légale

Le traitement des données personnelles des employés est également autorisé si la législation nationale le demande, l'exige ou l'autorise. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement de données légalement autorisée et doivent être conformes aux dispositions légales pertinentes. S'il existe une certaine flexibilité juridique, les intérêts de l'employé qui méritent d'être protégés doivent être pris en compte.

 

2.3 Conventions collectives sur le traitement des données

Si une activité de traitement de données dépasse les objectifs de l'exécution d'un contrat, cela peut être autorisé si cela est autorisé par le biais d'une convention collective. Les conventions collectives sont des accords sur les salaires ou des accords entre employeurs et représentants des travailleurs, dans les limites autorisées par le droit du travail applicable. Les accords doivent couvrir l'objectif spécifique de l'activité de traitement de données envisagée et doivent être élaborés dans le respect des paramètres de la législation nationale en matière de protection des données.

 

2.4 Consentement au traitement des données

Les données des employés peuvent être traitées avec le consentement de la personne concernée. Les déclarations de consentement doivent être soumises volontairement. Le consentement involontaire est nul. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, le consentement peut être donné verbalement, auquel cas il doit être dûment documenté. En cas de fourniture informée et volontaire de données par la partie concernée, le consentement peut être supposé si les lois nationales n'exigent pas un consentement exprès. Avant de donner son consentement, la personne concernée doit être informée conformément à IV.3. de cette politique de protection des données.

 

2.5 Traitement de données dans l'intérêt légitime

Les données personnelles peuvent également être traitées s'il est nécessaire de faire valoir un intérêt légitime de Barbaware. Les intérêts légitimes sont généralement de nature juridique (par exemple, dépôt, exécution ou défense contre des réclamations légales) ou financière (par exemple évaluation de sociétés). Les données personnelles ne peuvent être traitées sur la base d'un intérêt légitime si, dans des cas individuels, il existe des preuves que les intérêts de l'employé méritent d'être protégés. Avant que les données ne soient traitées, il faut déterminer s’il existe des intérêts qui méritent d’être protégés. Les mesures de contrôle nécessitant le traitement des données sur les employés ne peuvent être prises que s'il existe une obligation légale de le faire ou s'il existe une raison légitime. Même s'il existe une raison légitime, la proportionnalité de la mesure de contrôle doit également être examinée. Les intérêts justifiés de la société dans l'exécution de la mesure de contrôle (par exemple, respect des dispositions légales et des règles internes de l'entreprise) doivent être mis en balance avec tout intérêt pouvant être protégé par le salarié concerné par la mesure et ne peuvent être exercés que si cela est approprié. L'intérêt légitime de l'entreprise et les intérêts de l'employé méritant d'être protégés doivent être identifiés et documentés avant toute mesure. En outre, toute exigence supplémentaire en droit national (droits de codécision pour les représentants des salariés et droits d’information des personnes concernées, par exemple) doit être prise en compte.

 

2.6 Traitement de données hautement sensibles

Les données personnelles hautement sensibles ne peuvent être traitées que sous certaines conditions. Les données très sensibles sont des données sur l'origine raciale et ethnique, les convictions politiques, les convictions religieuses ou philosophiques, l'appartenance à un syndicat et la santé et la vie sexuelle de la personne concernée. En droit national, d'autres catégories de données peuvent être considérées comme très sensibles ou le contenu des catégories de données peut être rempli différemment. En outre, les données relatives à un crime ne peuvent souvent être traitées que sous des conditions spéciales prévues par la législation nationale. Le traitement doit être expressément autorisé ou prescrit par la législation nationale. De plus, le traitement peut être autorisé s'il est nécessaire que l'autorité responsable remplisse ses droits et devoirs dans le domaine du droit du travail. L'employé peut également consentir expressément à traiter. S'il est prévu de traiter des données hautement sensibles, le responsable de la protection des données doit en être informé à l'avance.

 

2.7 Décisions automatisées

Si les données personnelles sont traitées automatiquement dans le cadre de la relation de travail et que des données personnelles spécifiques sont évaluées (par exemple dans le cadre de la sélection du personnel ou de l'évaluation des profils de compétences), ce traitement automatique ne peut constituer l'unique base problèmes importants pour l'employé concerné. Pour éviter des décisions erronées, le processus automatisé doit garantir qu'une personne physique évalue le contenu de la situation et que cette évaluation constitue la base de la décision. La personne concernée doit également être informée des faits et des résultats des décisions individuelles automatisées et de la possibilité d'y répondre.

 

2.8 Télécommunications et internet

L'équipement téléphonique, les adresses e-mail, l'intranet et Internet ainsi que les réseaux sociaux internes sont fournis principalement par l'entreprise pour les tâches liées au travail. Ils sont un outil et une ressource d'entreprise. Ils peuvent être utilisés conformément aux réglementations légales applicables et aux politiques internes de l'entreprise. En cas d'utilisation autorisée à des fins privées, les lois sur le secret des télécommunications et les lois nationales sur les télécommunications doivent être respectées, le cas échéant. Il n'y aura pas de surveillance générale des communications par téléphone et par courrier électronique ou de l'utilisation d'Intranet / Internet. Pour se défendre contre les attaques sur l'infrastructure informatique ou les utilisateurs individuels, des mesures de protection peuvent être mises en place pour les connexions au réseau Barbaware qui bloquent les contenus techniquement nuisibles ou analysent les modèles d'attaque. Pour des raisons de sécurité, l’utilisation d’équipements téléphoniques, d’adresses de courrier électronique, d’intranet / Internet et de réseaux sociaux internes peut être enregistrée pendant une période temporaire. Les évaluations de ces données d'une personne spécifique ne peuvent être effectuées que dans un cas concret et justifié de violations présumées des lois ou des politiques de Barbaware. Les évaluations ne peuvent être effectuées que par les services chargés de l'enquête, tout en garantissant le respect du principe de proportionnalité. Les lois nationales pertinentes doivent être respectées de la même manière que les réglementations du Groupe.

 

 

 

VI. Transmission de données personnelles

 

 

La transmission de données personnelles à des destinataires externes ou internes à Barbaware est soumise aux exigences d'autorisation pour le traitement des données personnelles en vertu de la section V. Le destinataire des données doit être tenu d'utiliser les données uniquement aux fins définies. Si des données sont transmises à un destinataire situé en dehors de Barbaware dans un pays tiers, ce pays doit accepter de maintenir un niveau de protection des données équivalent à celui de la présente politique de protection des données. Ceci ne s'applique pas si la transmission est basée sur une obligation légale. Une obligation légale de ce type peut être fondée sur les lois du pays de résidence de la société du Groupe transmettant les données. À titre subsidiaire, les lois du pays de résidence de la société du groupe peuvent reconnaître la finalité de la transmission de données fondée sur l’obligation légale d’un pays tiers. Si des données sont transmises par un tiers à l'entreprise Barbaware, il convient de s'assurer que les données peuvent être utilisées aux fins prévues. Si des données personnelles sont transférées d'une société du groupe ayant son siège social dans l'Union européenne / Espace économique européen à une société du groupe ayant son siège social en dehors de l'Espace économique européen (pays tiers), l'entreprise importatrice est tenue de coopérer avec toute enquête effectuée par l'autorité de surveillance compétente du pays dans lequel la partie exportatrice des données a son siège, et de se conformer aux observations éventuelles de l'autorité de contrôle en ce qui concerne le traitement des données transmises. Il en va de même pour la transmission de données par les sociétés du Groupe d'autres pays. S'ils font partie d'un système international de certification de règles contraignantes en matière de protection des données, ils doivent assurer la coopération avec les bureaux et agences d'audit compétents. La participation à de tels systèmes de certification doit être convenue avec le responsable de la protection des données.
 
Dans le cas où une personne concernée affirme que la société du Groupe située dans un pays tiers qui importe les données a violé cette politique de protection des données, la société du groupe située dans l’espace économique européen qui exporte les données s’engage à concerné, dont les données ont été collectées dans l'Espace économique européen, à établir les faits et à faire valoir ses droits conformément à la présente politique à l'encontre de l'entreprise importatrice des données. En outre, la personne concernée est également en droit de faire valoir ses droits contre la société du groupe exportant les données. En cas de réclamation pour violation, la société qui exporte les données doit documenter à la personne concernée que l’entreprise qui importe les données dans un pays tiers (dans le cas où les données sont traitées après réception) n’a pas enfreint cette politique de protection des données. . En cas de transmission de données personnelles d'une société du Groupe située dans l'Espace économique européen à une société du Groupe située dans un pays tiers, le responsable du traitement des données transmettant les données sera tenu responsable de toute violation de cette politique commise par la société du Groupe dans un pays tiers en ce qui concerne la personne concernée dont les données ont été collectées dans l'Espace économique européen, comme si la violation avait été commise par le responsable du traitement des données transmettant les données. Le lieu légal est le tribunal responsable où se trouve l'entreprise qui exporte les données.

 

 

 

VII. Traitement des données contractuelles

 

 

Le traitement des données pour le compte de tiers signifie qu'un fournisseur est engagé pour traiter les données à caractère personnel, sans être responsable du processus technique associé. Dans ces cas, un accord sur le traitement des données doit être conclu avec des fournisseurs externes et entre des entreprises au sein de Barbaware. Le client conserve l'entière responsabilité de la bonne exécution du traitement des données. Le fournisseur peut traiter les données personnelles uniquement selon les instructions du client. Lors de la commande, les conditions suivantes doivent être respectées; le service qui passe la commande doit s'assurer de leur respect.
 

1. Le fournisseur doit être choisi en fonction de sa capacité à couvrir les mesures de protection techniques et organisationnelles requises.

2. La commande doit être passée par écrit. Les instructions sur le traitement des données et les responsabilités du client et du fournisseur doivent être documentées.

3. Les normes contractuelles relatives à la protection des données fournies par le responsable de la protection des données doivent être prises en compte.

4. Avant le traitement des données, le client doit être sûr que le fournisseur se conformera aux obligations. Un fournisseur peut documenter sa conformité aux exigences de sécurité des données, notamment en présentant une certification appropriée. En fonction du risque de traitement des données, les révisions doivent être répétées régulièrement pendant la durée du contrat.

5. En cas de traitement des données contractuelles transfrontalières, les exigences nationales applicables en matière de divulgation de données à caractère personnel à l'étranger doivent être respectées. En particulier, les données à caractère personnel provenant de l'Espace économique européen ne peuvent être traitées dans un pays tiers que si le fournisseur peut prouver qu'il dispose d'une norme de protection des données équivalente à celle de la présente politique de protection des données. Des outils appropriés peuvent être:

a. Accord sur les clauses contractuelles types de l'UE pour le traitement des données contractuelles dans les pays tiers avec le fournisseur et tout sous-traitant.

b. Participation du fournisseur à un système de certification agréé par l'UE pour la fourniture d'un niveau de protection des données suffisant.

c. Reconnaissance des règles contraignantes du fournisseur pour créer un niveau approprié de protection des données par les autorités de surveillance responsables de la protection des données.

 

 

 

VIII. Droits de la personne concernée

 

 

Chaque personne concernée dispose des droits suivants. Leur affirmation doit être traitée immédiatement par l’unité responsable et ne peut pas nuire à la personne concernée.
 

1. La personne concernée peut demander des informations sur lesquelles des données à caractère personnel le concernant ont été stockées, comment les données ont été collectées et à quelles fins. S'il existe d'autres droits pour consulter les documents de l'employeur (par exemple, le dossier personnel) pour la relation de travail en vertu des lois sur l'emploi pertinentes, celles-ci resteront inchangées.

2. Si des données à caractère personnel sont transmises à des tiers, des informations doivent être fournies sur l'identité du destinataire ou les catégories de destinataires.

3. Si les données personnelles sont incorrectes ou incomplètes, la personne concernée peut exiger qu’elle soit corrigée ou complétée.

4. La personne concernée peut s'opposer au traitement de ses données à des fins de publicité ou d'études de marché / d'opinion. Les données doivent être bloquées à partir de ces types d'utilisation.

5. La personne concernée peut demander la suppression de ses données si le traitement de ces données n'a aucune base légale ou si la base juridique a cessé de s'appliquer. La même chose s’applique si la finalité du traitement des données est devenue caduque ou a cessé d’être applicable pour d’autres raisons. Les durées de conservation existantes et les intérêts contradictoires méritant d'être protégés doivent être respectés.

6. La personne concernée a généralement le droit de s'opposer au traitement de ses données, et cela doit être pris en compte si la protection de ses intérêts prime sur l'intérêt du responsable du traitement en raison d'une situation personnelle particulière. Cela ne s'applique pas si une disposition légale exige que les données soient traitées.

 

 

 

IX. Confidentialité du traitement

 

 

Les données personnelles sont soumises au secret des données. Toute collecte, traitement ou utilisation non autorisé de ces données par des employés est interdit. Tout traitement de données effectué par un employé qu'il n'a pas été autorisé à exercer dans le cadre de ses fonctions légitimes n'est pas autorisé. Le principe du "besoin de savoir" s'applique. Les employés peuvent avoir accès aux informations personnelles uniquement en fonction du type et de la portée de la tâche en question. Cela nécessite une ventilation et une séparation soigneuses, ainsi que la mise en œuvre des rôles et des responsabilités. Il est interdit aux employés d'utiliser des données personnelles à des fins privées ou commerciales, de les divulguer à des personnes non autorisées ou de les rendre disponibles de toute autre manière. Les superviseurs doivent informer leurs employés au début de la relation de travail de l'obligation de protéger le secret des données. Cette obligation reste en vigueur même après la fin de l'emploi.

 

 

 

X. Sécurité de traitement

 

 

Les données personnelles doivent être protégées contre tout accès non autorisé et tout traitement ou divulgation illicite, ainsi que toute perte, modification ou destruction accidentelle. Ceci s'applique indépendamment du fait que les données soient traitées électroniquement ou sous forme papier. Avant l'introduction de nouvelles méthodes de traitement des données, en particulier les nouveaux systèmes informatiques, des mesures techniques et organisationnelles de protection des données à caractère personnel doivent être définies et mises en œuvre. Ces mesures doivent être basées sur l'état de la technique, les risques de traitement et la nécessité de protéger les données (déterminées par le processus de classification des informations). En particulier, le service responsable peut consulter son responsable de la sécurité de l’information (ISO) et son coordinateur de la protection des données. Les mesures techniques et organisationnelles de protection des données personnelles font partie de la gestion de la sécurité de l'information et doivent être adaptées en permanence aux évolutions techniques et aux changements organisationnels.

 

 

 

XI. Contrôle de la protection des données

 

 

Le respect de la politique de protection des données et des lois applicables en matière de protection des données est contrôlé régulièrement par des audits de protection des données et d’autres contrôles. La performance de ces contrôles incombe au chef de la protection des données, aux coordinateurs de la protection des données et aux autres unités de l'entreprise disposant de droits d'audit ou d'auditeurs externes. Les résultats des contrôles de protection des données doivent être signalés au chef de la protection des données. Le Conseil de surveillance de Barbaware doit être informé des principaux résultats dans le cadre des obligations de reporting correspondantes. Sur demande, les résultats des contrôles de protection des données seront mis à la disposition de l'autorité de protection des données responsable. L'autorité responsable de la protection des données peut effectuer ses propres contrôles de conformité avec les réglementations de cette politique, comme le permet la législation nationale.

 

 

 

XII. Incidents de protection des données

 

 

Tous les employés doivent informer immédiatement leur supérieur hiérarchique, le coordinateur de la protection des données ou le directeur de la protection des données des cas de violation de la présente politique de protection des données ou de toute autre réglementation relative à la protection des données personnelles. Le responsable de la fonction ou de l’unité est tenu d’informer immédiatement le responsable de la protection des données ou le responsable de la protection des données des incidents liés à la protection des données.

En cas de

»Transmission inappropriée de données personnelles à des tiers,

»Accès non autorisé par des tiers à des données personnelles, ou

»Perte de données personnelles Les rapports d'entreprise requis (Information Security Incident Management) doivent être établis immédiatement afin que les obligations de déclaration en vertu de la législation nationale puissent être respectées.

 

 

 

XIII. Responsabilités et sanctions

 

 

Les organes exécutifs des sociétés du groupe sont responsables du traitement des données dans leur domaine de responsabilité. Par conséquent, ils sont tenus de veiller à ce que les exigences légales et celles contenues dans la politique de protection des données pour la protection des données soient respectées (par exemple, les obligations de déclaration nationales). Le personnel de direction est chargé de veiller à ce que des mesures organisationnelles, RH et techniques soient en place pour que tout traitement de données soit effectué conformément à la protection des données. Le respect de ces exigences incombe aux employés concernés. Si les organismes officiels effectuent des contrôles de protection des données, le chef de la protection des données doit en être informé immédiatement. Les organes exécutifs compétents doivent informer le responsable en chef de la protection des données du nom de leur coordinateur de la protection des données. Sur le plan organisationnel, en accord avec le responsable de la protection des données, cette tâche peut être confiée à un coordinateur de la protection des données de plusieurs sociétés ou usines. Les coordinateurs de la protection des données sont les interlocuteurs sur site pour la protection des données. Ils peuvent effectuer des vérifications et familiariser les employés avec le contenu des politiques de protection des données. La direction concernée est nécessaire pour aider le chef de la protection des données et les coordonnateurs de la protection des données dans leurs efforts. Les services chargés des processus et des projets commerciaux doivent informer les coordinateurs de la protection des données en temps utile du nouveau traitement des données à caractère personnel. Pour les plans de traitement des données susceptibles de présenter des risques particuliers pour les droits individuels des personnes concernées, le responsable de la protection des données doit être informé avant le début du traitement. Cela concerne en particulier les données personnelles extrêmement sensibles. Les responsables doivent s'assurer que leurs employés sont suffisamment formés à la protection des données. Un traitement inapproprié des données à caractère personnel ou d'autres violations des lois sur la protection des données peut faire l'objet de poursuites pénales dans de nombreux pays et donner lieu à des demandes d'indemnisation. Les violations pour lesquelles des employés sont responsables peuvent entraîner des sanctions en vertu du droit du travail.

 

 

 

XIV. Chef de la protection des données

 

 

Le chef de la protection des données travaille à la conformité avec les réglementations nationales et internationales en matière de protection des données. Il est responsable de la politique de protection des données et supervise sa conformité. Le Chief Officer Data Protection est nommé par le Barbaware Board of Management. En règle générale, les sociétés du groupe qui sont légalement tenues de nommer un responsable de la protection des données désigneront le chef de la protection des données. Des exceptions spécifiques doivent être convenues avec le responsable de la protection des données. Les coordinateurs de la protection des données informent rapidement le responsable de la protection des données de tout risque de protection des données. Toute personne concernée peut contacter le responsable de la protection des données ou le coordinateur de la protection des données, à tout moment, pour formuler des préoccupations, poser des questions, demander des informations ou déposer des plaintes relatives à la protection des données ou à la sécurité des données. Sur demande, les préoccupations et les plaintes seront traitées de manière confidentielle. Si le coordinateur de données en question ne peut pas résoudre une plainte ou remédier à une violation de la Politique de protection des données, le Chief Officer Corporate Data Protection doit être consulté immédiatement. Les décisions prises par le Chief Officer Corporate Data Protection pour remédier aux violations de la protection des données doivent être confirmées par la direction de l'entreprise en question. Les demandes de renseignements émanant des autorités de surveillance doivent toujours être communiquées au directeur de la protection des données de l'entreprise.

 

Les coordonnées du chef de la protection des données et du personnel sont les suivantes:

 


Alexis Daniel

Barbaware, directeur général de la protection des données,

G6W 6Y3, 1139 Rue Paul-Émile-Dubé, QC, Canada

E-mail: alexis.ceo@barbaware.com


  

 

AUTRES RENSEIGNEMENTS UTILES


Lettre d'informations

Obtenez nos meilleurs conseils, recevez des mises à jour de produits et des offres spéciales.

En vous inscrivant, vous acceptez nos conditions d'utilisation et de recevoir des courriels de marketing.