Politique de confidentialité

Objectif, Champ d’application et Utilisateurs

DocProcess SRL, dénommée ci-après la « Société », a comme objectif le respect des lois et réglementations applicables liées à la protection des données à caractère personnel dans les pays où la Société opère. Cette politique établit les principes de base par lesquels la Société traite les données à caractère personnel des consommateurs, clients, fournisseurs, partenaires d’affaires, employés et d’autres personnes et indique les responsabilités des départements et de ses employés pendant le traitement des données à caractère personnel.

La présente Politique est applicable à la Société et à ses filiales détenues entièrement et contrôlées intégralement ou partiellement dans l’Espace Économique Européen (EEA) ou au traitement des données à caractère personnel des personnes concernée dans le cadre de l’EAA.

Les utilisateurs du présent document sont tous les employés, permanents ou temporaires et également tous les contractants qui travaillent au nom de la Société.

Définitions

La terminologie et les expressions utilisées dans le présent document sont reprises de l’Article 4 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques et ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données dénommé également « RGPD » ou « Règlement général sur la protection des données personnelles » :

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée  « Personne concernée »), qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l’ identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne physique.

Données à caractère personnel sensibles : les données à caractère personnel lesquelles, par leur nature, sont particulièrement sensibles par rapport aux droits et libertés fondamentales, méritent une protection spécifique, parce que le contexte de leur traitement pourrait créer des risques significatifs pour les droits et libertés fondamentales. Ces données à caractère personnel comprennent des données à caractère personnel qui dévoilent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou la qualité de membre de syndicats, les données génétiques, biométriques, afin de l’identifier unique d’une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Responsable du traitement de données : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

Sous-traitant de données : Une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel a nom du responsable du traitement de données.

Traitement : Toute opération ou tout ensemble d’opérations effectuées sur les données à caractère personnel ou par éléments de données à caractère personnel, avec ou sans moyens automatiques, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données.

Anonymisation : Données à caractère personnel qui ne peuvent pas être identifiées de manière irréversible, de manière à ce que la personne ne puisse pas être identifiée par l’utilisation du temps, coût et technologie raisonnable, soit par le responsable du traitement, soit par toute autre personne pour identifier la personne respective. Les principes de traitement des données à caractère personnel ne s’appliquent pas aux données anonymes, parce qu’elles ne sont plus des données à caractère personnel.

Pseudonymisation : le traitement de données à caractère personnel de telle façon que les données personnelles ne puissent plus être attribuées à un certain sujet de données sans avoir recours à des informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable. La pseudonymisation réduit, mais n’élimine pas complètement, la capacité de connecter les données à caractère personnel de personnes concernées. Parce que les données pseudonymes sont toujours des données à caractère personnel, le traitement des données pseudonymes devra respecter les principes du traitement des données à caractère personnel.

Traitement transfrontalier des données à caractère personnel: le traitement des données à caractère personnel dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant de l’Union Européenne, lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou le traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant dans l’UE, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ;

Autorité de Contrôle : Une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 du RGPD UE ;

Autorité de Contrôle Principale : L’Autorité de contrôle qui a la responsabilité principale de gérer l’activité transfrontalière de traitement  des données, par exemple lorsqu’une personne concernée transmet une plainte relative au traitement de ses données à caractère personnel ; elle est responsable, entre autres de la réception des notifications concernant la violation des données, d’être notifiée sur l’activité à risque pour le traitement  et aura pleine autorité en ce qui concerne les obligations qui lui incombent pour assurer le respect des dispositions RGPD UE ;

Chaque « autorité de contrôle locale » maintiendra ensuite, sur son propre territoire et contrôlera tout traitement de données qui implique les personnes concernées ou est réalisé par le responsable du traitement ou des sous-traitants UE ou en dehors de l’UE, lorsque les personnes concernées par le traitement se trouvent sur son territoire. Les tâches et leurs mandats comprennent la réalisation des investigations et l’application des mesures et amendes administratives, et également la promotion de la connaissance au niveau du public des risques, les règles, la sécurité et les droits en ce qui concerne le traitement des données à caractère personnel, ainsi que l’obtention de l’accès à tout établissement du responsable du traitement ou du sous-traitant, y compris à tout équipement ou moyens de traitement des données.

« Établissement principal d’un responsable du traitement » établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement ait le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal ;

« Établissement principal d’un sous-traitant » établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du sous-traitant, dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal.

Entreprise de groupe : Toute société de type holding et ses filiales.

Principes de base relatifs au traitement des données à caractère personnel

Les principes relatifs à la protection des données à caractère personnel soulignent les responsabilités de base pour les organisations qui gèrent les données à caractère personnel. L’article 5(2) du RGPD stipule « le responsable du traitement en sera responsable et pourra démontrer la conformité avec ces principes ».

Licéité, Loyauté et Transparence

Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

Limitation de l’objectif

Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Minimisation des données

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La société doit appliquer l’anonymisation et la pseudonymisation des données à caractère personnel, si possible, pour réduire les risques sur les personnes concernées.

Exactitude

Les données à caractère personnel doivent être exactes et, si nécessaire, actualisées ; afin d’assurer l’exactitude des données à caractère personnel, il faut prendre les mesures raisonnables, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

Limitation de la période de conservation

Les données à caractère personnel ne doivent pas être conservées plus que nécessaire pour les finalités pour lesquelles elles sont traitées.

Intégrité et confidentialité

Vu le stade de la technologie et d’autres mesures de sécurité disponibles, le coût de mise en œuvre, la probabilité et la gravité des risques concernant les données à caractère personnel, la Société doit utiliser des mesures techniques ou organisationnelles appropriées pour traiter les données à caractère personnel de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre la destruction accidentelle ou illégale, la perte, le traitement non-autorisé ou la divulgation.

Responsabilité

Le responsable du traitement de données doit pouvoir démontrer la conformité avec les principes susmentionnés.

Construction de la protection pour les données dans les activités commerciales

Pour pouvoir démontrer la conformité avec les principes de la protection des données, une organisation doit construire, dans le cadre de ses activités commerciales, une modalité de protection des données.

Notifications vers les Personnes concernées

(consulter la section Guide du Traitement Correct.)

Option et Accord de la Personne concernée

(consulter la section Guide du Traitement Correct.)

Collecte

La Société doit faire l’effort pour collecter le moins possible de données à caractère personnel. Si les données à caractère personnel sont collectées des tiers, le Responsable de la Protection des données doit s’assurer que les données à caractère personnel sont collectées légalement.

Utilisation, Retenue et Élimination

Les finalités, les méthodes, la limitation de la conservation et la période de retenue des données à caractère personnel doivent être en concordance avec les informations comprises dans la Notification de Confidentialité. La Société doit maintenir l’exactitude, l’intégrité, la confidentialité et la pertinence des données à caractère personnel conformément aux finalités du traitement. Les mécanismes de sécurité appropriés conçus pour protéger les données à caractère personnel doivent être utilisés pour prévenir le vol, l’utilisation inappropriée ou abusive des données à caractère personnel, et leur violation. Le Responsable de la protection des données a la tâche d’assurer la conformité avec les exigences disposées dans la présente section.

Divulgation à des Tiers

À chaque fois que la Société utilise un fournisseur ou un partenaire d’affaires tiers pour traiter les données à caractère personnel en son nom, le Responsable de la protection des données doit s’assurer que ce sous-traitant prendra les mesures de protection nécessaires pour assurer les données à caractère personnel, adéquates par rapport aux risques associés.

La Société doit demander au fournisseur ou à son partenaire d’affaires, dans le cadre d’un contrat, d’assurer le même niveau de protection des données. Le fournisseur ou son partenaire d’affaires doit traiter seulement les données à caractère personnel nécessaires pour remplir les obligations contractuelles envers la Société, ou celles qui ressortent des instructions de la Société et dans aucune autre finalité. Lorsque la Société traite des données à caractère personnel avec un tiers indépendant, la Société doit spécifier explicitement quel est le tiers et les obligations afférentes dans le contrat pertinent ou tout autre document à caractère juridique obligatoire.

Transfert transfrontalier des Données à caractère personnel

Avant de transmettre les données à caractère personnel en dehors de l’Espace Économique Européen (EEA), il faut prendre des mesures de sécurité appropriées, comprenant la clôture d’un Contrat concernant le Transfert des Données, conformément aux exigences des l’Union Européenne, et, le cas échéant, il faut obtenir une autorisation de la part de l’Autorité pour la Protection des données. L’entité qui reçoit les données à caractère personnel doit se conformer aux principes du traitement des données à caractère personnel.

Droit d’accès des Personnes concernées

Lorsqu’il agit en qualité de responsable du traitement de données, le Responsable de la protection des données a la tâche d’assurer aux personnes concernées un mécanisme d’accès raisonnable pour leur permettre l’accès à leurs données à caractère personnel et doit leur permettre d’actualiser, rectifier, rayer ou transmettre des données à caractère personnel, si approprié ou obligatoire du point de vue légal.

Portabilité des Données

Les Personnes concernées ont le droit de recevoir, suite à une demande, une copie des données fournies à la Société, dans un format structuré, et de transmettre les respectives données à un autre responsable du traitement, gratuitement. Le Responsable de la protection des données a la tâche de s’assurer que les respectives demandes sont traitées dans un intervalle d’un mois, que ne sont pas excessives et ne touchent pas les droits concernant les données à caractère personnel d’autres personnes.

Droit à l’oubli

À la suite d’une demande, les Personnes concernées ont le droit d’obtenir de la Société l’effacement de leurs données à caractère personnel. Lorsque la Société agit en qualité de Responsable du traitement, le Responsable de la protection des données doit prendre les mesures nécessaires (y compris les mesures techniques) pour informer les tiers qui utilisent ou traitent ces données de respecter la demande.

Guide du traitement correct

Les données à caractère personnel doivent être traitées uniquement avec l’autorisation explicite du Responsable de la protection des données.

La Société doit décider d’effectuer l’Évaluation de l’impact sur la protection des données pour chaque activité de traitement des données à caractère personnel.

Notification des Personnes concernées

Au moment de la collecte, ou avant la collecte des données à caractère personnel pour tout type d’activités de traitement, comprenant, mais sans s’y limiter à la vente de produits, services ou activités de marketing, le Responsable de la protection des données a pour tâche d’informer de manière appropriée les personnes concernées des aspects suivants : le type de données à caractère personnel collectées, la période de conservation, les potentiels transferts internationaux de données, si les données seront partagées avec des tiers et les mesures de sécurité de la Société pour protéger les données à caractère personnel. Ces informations sont transmises par une Notification de Confidentialité.

Dans le cas de partage des données à caractère personnel avec un tiers, le Responsable de la protection des données doit s’assurer que les personnes concernées ont été informées par une Notification de Confidentialité.

Dans le cas de transfert des données à caractère personnel dans un État tiers, la Notification de Confidentialité doit le refléter, spécifiant clairement où et vers quelle entité sont transférées les données à caractère personnel.

Dans le cas de collecte des données à caractère personnel sensibles, le Responsable de la protection des données doit s’assurer que la Notification de Confidentialité mentionne les finalités pour lesquelles sont collectées les données à caractère personnel sensibles.

Obtention des Accords

Chaque fois que le traitement des données à caractère personnel se base sur le consentement de la personne concernée ou sur un autre fondement légal, le Responsable de la protection des données a la tâche de maintenir une évidence des accords respectifs. Le Responsable de la protection des données se doit également d’assurer aux personnes concernées l’option de conférer leur accord et doit les informer et s’assurer que leur accord (indépendamment si l’accord est utilisé comme base légale pour le traitement) peur être retiré à tout moment.

Lorsqu’il reçoit des demandes de correction, d’amendement ou de destruction des données à caractère personnel, le Responsable de la protection des données doit s’assurer que les demandes respectives soient gérées dans un délai de temps raisonnable. Le Responsable de la protection des données doit enregistrer les demandes et conserver leur évidence dans un registre.

Les données à caractère personnel doivent être traitées uniquement dans la finalité pour laquelle elles ont été collectées initialement. Dans le cas où la Société veut traiter les données à caractère personnel collectées dans un autre but, la Société doit obtenir l’accord par écrit, clair et concis de la personne concernée. Toute demande doit comprendre le but initial pour lequel ont été collectées les données respectives, et le Responsable de la protection des données a la tâche d’assurer la conformité avec les règles stipulées dans le présent paragraphe.

Maintenant et dans le futur, le Responsable de la protection des données doit s’assurer que les méthodes de collecte sont conformes à la législation pertinente et les normes de l’industrie.

Plugins et add-ons

Réseaux de socialisation – authentification

Nous collectons les données du profil public uniquement avec le consentement accordé avant l’initier l’authentification par des réseaux de socialisation, du réseau de socialisation utilisé pour la connexion sur notre site web. Ces données comprennent le nom, le prénom, l’adresse mail, le lien au profil de media social, l’identificateur unique, l’avatar du profil.

Analytics pour distribution

Nous utilisons Google Analytics pour suivre les actions sociales faites sur note site. Google collecte automatiquement et conserve certaines informations dans les journaux de server, qui comprennent des informations sur les événements du dispositif, tel que les accidents, l’activité du système, les paramètres de hardware, le type de browser, le langage du browser, la date et l’heure de la demande et l’adresse de l’URL d’envoi, les cookies qui peuvent identifier de manière unique le browser ou le compte Google, conformément à la politique de confidentialité des données: https://policies.google.com/privacy

LinkedIn Insight Tag

Nous utilisons LinkedIn Insight Tag, qui crée un cookie de navigateur LinkedIn unique sur le navigateur d’un visiteur et permet la collecte des données suivantes pour ce cookie: métadonnées (adresse IP, horodatage, événements de page (comme les pages vues) et informations démographiques LinkedIn si un cookie de membre LinkedIn.com actif est présent. Les données collectées sont cryptées. Pour plus d’informations, voir: https://www.linkedin.com/help/linkedin/answer/65521

Distribution par Facebook

Nous avons intégré un widget Facebook pour rendre visible le nombre d’appréciations / distributions/ recommandations et « j’aime/ partage je / je recommande » sur nos pages web. Ce widget peut collecter l’adresse IP, l’agent d’utilisateur du browser web, peut conserver et récupérer les cookies du browser, peut incorporer le contrôle complémentaire et peut suivre l’interaction avec le widget, y compris la corrélation du compte Facebook avec toute action effectuée en widget (comme « j’aime/ je partage / je recommande » sur notre page web) s’il y a une connexion par Facebook. Pour plus d’informations sur le mode dont peuvent être utilisées ces données, consulter la politique de confidentialité des données de Facebook: https://www.facebook.com/about/privacy/update

Facebook Pixel

Ce site utilise « Facebook Pixel ». Si l’utilisateur a donné son consentement explicite, son comportement peut être suivi après avoir vu ou cliqué sur une annonce Facebook. Ce processus est conçu pour évaluer l’impact des annonces Facebook à des fins de statistiques et d’études de marché et peut aider à optimiser les efforts de publicité futurs. Les données collectées resteront anonymes et ne pourront pas être utilisées pour découvrir l’identité de l’utilisateur. Cependant, ces données sont stockées et traitées par Facebook pour permettre une connexion à ce profil d’utilisateur et l’utilisation de ces données à des fins publicitaires, conformément à la politique de confidentialité de Facebook (https://www.facebook.com/about/privacy/). Vous pouvez autoriser Facebook et ses partenaires à placer des annonces en dehors de Facebook. Un cookie peut également être stocké sur votre ordinateur à ces fins.

Distribution par Twitter

Nous utilisons un widget Twitter Tweet sur notre site. Notre site transmet des demandes sur les servers Twitter pour que vous puissiez partager les pages web utilisant votre compte Twitter. Par ces demandes votre adresse IP devient visible pour Twitter, qui peut l’utiliser conformément à sa politique de confidentialité des données: https://twitter.com/en/privacy#update

Distribution par LinkedIn

Nous utilisons le widget Share Linkedin sur notre site pour permettre la distribution de nos pages sur Linkedin. Ces demandes peuvent suivre l’adresse IP conformément à sa politique de confidentialité des données: https://www.linkedin.com/legal/privacy-policy

Distribution par Reddit

Nous utilisons le widget Reddit Badge sur notre site, qui peut enregistrer des informations lorsque vous interagissez avec le widget. Celles-ci peuvent inclure votre adresse de IP, le fil d’utilisateur-agent, le type de browser, le système d’opération, les adresses URL d’envoi, les informations sur le dispositif (par exemple les ID du dispositif), les pages visitées, les liens sur lesquels vous donnez click, les interactions des utilisateurs (par exemple les données de vote), les paramètres de l’URL et de hardware, conformément à leur politique de confidentialité: https://www.redditinc.com/policies/privacy-policy

Organisation et Responsabilités

La responsabilité d’assurer un traitement adéquat des données à caractère personnel revient à toute personne qui y travaille ou à la Société qui a accès aux données à caractère personnel traitées par la Société.

Les zones-clé pour les responsabilités visant le traitement des données à caractère personnel se trouvent dans les rôles organisationnels suivants :

Le Responsable de la protection des données (DPO) est chargé de la gestion du programme de protection des données à caractère personnel et du développement et de la promotion des politiques de protection end-to-end (d’un bout à l’autre) des données à caractère personnel ;

Le conseiller juridique avec le Responsable de la protection des données, contrôle et analyse les lois pour la Protection des données à caractère personnel et les changements apportés aux réglementations, développe les demandes de conformité et assiste les départements commerciaux à atteindre les buts des Données à caractère personnel.

Orientations pour la Création de l’Autorité de Contrôle Principal

L’établissement principal et l’Autorité de Contrôle Principale

L’établissement principal de la Société se trouve à Bucarest, Roumanie. En conséquence, indépendamment qu’il soit en qualité de Responsable du traitement ou de Sous-traitant, il aura Autorité concernant le traitement des données à caractère personnel en Roumanie comme Autorité de Contrôle Principale, plus exactement l’Autorité Nationale de Contrôle du Traitement des Données à caractère personnel.

Les informations de contact sont :

Autoritatea Națională de  Supraveghere a Prelucrării Datelor cu Caracter Personal

B-dul G-ral. Gheorghe Magheru 28-30
Sector 1, cod postal 010336
Bucuresti, Romania

anspdcp@dataprotection.ro

Téléphone:

+40.318.059.211

+40.318.059.212

Fax:

+40.318.059.602

Réponse aux incidents de violation des Données à caractère personnel

Lorsque la Société a connaissance d’une violation des données à caractère personnel suspectée ou réelle, le Responsable de la protection des données doit effectuer une investigation interne et prendre les mesures correctives adéquates, sans délai. S’il y a des risques en ce qui concerne les droits et les libertés des personnes concernées, la Société doit en notifier sans retard les autorités compétentes pour la Protection des données et, si possible, dans les 72 heures.

Audit et Responsabilité

Le Responsable pour la protection des données a la tâche de l’audit du mode dont les départements commerciaux mettent en œuvre la présente Politique.

Tout employé qui viole la présente Politique fera l’objet de mesures disciplinaires, et le salarié peut être également, soumis à des responsabilités civiles ou pénales, si son comportement viole des lois ou des règlements.

Conflits juridiques

La présente Politique a pour but de se conformer aux lois et règlements du lieu de création et des pays tiers dans lesquels opère la Société. Dans le cas où il y a conflit entre la Politique et les lois et les règlements applicables, la dernière va prévaloir.