ACT365 - Data Protection Statement

Date 17/04/2018

Version 0.1

La présente politique de confidentialité présente la façon dont Vanderbilt International GmbH et ses filiales (ci-après, « Vanderbilt » ou « nous ») collectent, conservent, utilisent, divulguent, partagent et transmettent les informations qui vous concernent.

NOUS VOUS RECOMMANDONS DE PRENDRE ATTENTIVEMENT CONNAISSANCE DE LA PRÉSENTE DÉCLARATION DE CONFIDENTIALITÉ AVANT D’UTILISER L’ENSEMBLE DU SITE INTERNET, DU LOGICIEL ET DES SERVICES DE VANDERBILT (CI-APRÈS COLLECTIVEMENT, LES « SERVICES VANDERBILT »). EN UTILISANT LES SERVICES VANDERBILT, VOUS ACCEPTEZ, D’UNE PART, LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ ET, D’AUTRE PART, LA COLLECTE, LA CONSERVATION, L’UTILISATION, LA DISTRIBUTION, LE PARTAGE ET LE TRANSFERT DE VOS DONNÉES CONFORMÉMENT À LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ. NOUS SOMMES SUSCEPTIBLES DE MODIFIER À TOUT MOMENT LA PRÉSENTE POLITIQUE DE CONFIDENTIALITÉ, SOUS RÉSERVE QUE CERTAINES DE SES DISPOSITIONS SE RÉVÈLENT INCOMPLÈTES OU OBSOLÈTES ET QUE DE TELLES MODIFICATIONS PRÉSENTENT UN INTÉRÊT RAISONNABLE. DANS LE CAS OÙ NOUS APPORTERIONS DES MODIFICATIONS SIGNIFICATIVES À LA PRÉSENTE DÉCLARATION DE CONFIDENTIALITÉ, NOUS EN PUBLIERONS LA NOUVELLE VERSION SUR NOTRE SITE INTERNET QUI ENTRERA IMMÉDIATEMENT EN VIGUEUR.

Introduction

Le présent document a pour objectif de fournir une déclaration de politique claire au sujet des obligations qui incombent à Vanderbilt en matière de protection des données à l’égard du produit ACT365. Il s’agit notamment de nos obligations en matière de traitement des données à caractère personnel en vue de garantir que nous nous conformons aux exigences de la législation applicable, à savoir le règlement général sur la protection des données de l’UE (ci-après, le « RGPD UE » : https://www.eugdpr.org/).

Justification

Vanderbilt est tenue de se conformer aux principes de protection des données stipulés dans la législation applicable. La présente politique s’applique à l’ensemble des données à caractère personnel que nous collectons, traitons et conservons en lien avec nos prestataires de services et nos clients dans le cadre de nos activités.

Champ d’application

La présente politique s’applique aussi bien aux données à caractère personnel personnelles qu’aux données à caractère personnel sensibles que Vanderbilt détient au sujet de personnes concernées. En outre, elle couvre de la même façon les données à caractère personnel obtenues et conservées au moyen d’un traitement manuel ou automatisé.

Vanderbilt traitera toutes les données à caractère personnel et les données à caractère personnel sensibles avec le même niveau d’attention. Sauf stipulation contraire expresse contenue dans les présentes, ces deux catégories de données seront collectivement désignées sous le terme « données à caractère personnel » dans le cadre de la présente politique.

Nous vous recommandons de prendre connaissance de la présente politique conjointement avec la procédure de demande d’accès des personnes concernées, la politique de conservation et de destruction des données, la liste des durées de conservation des données ainsi que la procédure de notification de perte de données.

Vanderbilt en qualité de responsable du traitement

Dans le cadre de ses activités structurelles quotidiennes, Vanderbilt acquiert, traite et conserve des données à caractère personnel qui se rapportent aux :

• Clients de Vanderbilt
• Prestataires de services tiers engagés par Vanderbilt

Conformément aux dispositions du RGPD UE, de telles données doivent être acquises et gérées de façon loyale. Vanderbilt n’attendra pas de tous les membres de son personnel qu’ils soient des experts en matière de législation sur la protection des données. Toutefois, nous nous engageons à faire en sorte que notre personnel présente un degré de connaissance suffisant de la législation dans le but de pouvoir anticiper et identifier, le cas échéant, un problème de protection des données. Dans un tel cas de figure, le personnel devra veiller à en informer le délégué à la protection des données de sorte à prendre des mesures correctives appropriées.

En raison de la nature des services que nous fournissons, nous échangeons de façon régulière et active des données à caractère personnel avec des personnes concernées. En outre, nous échangeons des données à caractère personnel avec des sous-traitants au nom des personnes concernées.

Il s’agit d’une pratique conforme aux obligations qui nous incombent en vertu des contrats que nous concluons avec nos sous-traitants.

La présente politique fournit les lignes directrices applicables à un tel échange d’informations ainsi que la procédure à suivre dans le cas où un membre du personnel de Vanderbilt ne saurait pas si les données en question peuvent faire l’objet d’une divulgation.

De façon générale, les membres du personnel sont censés se rapprocher du délégué à la protection des données pour obtenir des précisions.

Demandes d’accès des personnes concernées

Toute demande formelle écrite d’une personne concernée visant à obtenir une copie de ses données à caractère personnel (demande d’accès d’une personne concernée) sera transmise dans les plus brefs délais au délégué à la protection des données qui la traitera dès que possible conformément aux dispositions du RGPD.

En se conformant à de telles dispositions, Vanderbilt entend adhérer aux meilleures pratiques en matière de législation sur la protection des données.

Sous-traitants tiers

Dans le cadre de sa mission de responsable du traitement, Vanderbilt engage un certain nombre de sous-traitants pour traiter des données à caractère personnel en son nom. En tout état de cause, le sous-traitant et le responsable du traitement concluent un contrat écrit formel qui stipule leurs obligations respectives en matière de données à caractère personnel, la ou les finalités spécifiques pour lesquelles le sous-traitant est engagé ainsi que son accord quant au fait qu’il traitera les données conformément aux dispositions du RGPD.

Parmi ces sous-traitants figurent :

• Le personnel d’assistance interne de Vanderbilt
• Microsoft Azure 

Principes de protection des données

Les principes fondamentaux suivants sont inscrits dans les dispositions du RGPD et déterminent la politique de protection des données de Vanderbilt.

En sa qualité de responsable du traitement, Vanderbilt veille à ce que toutes les données :

1.... soient obtenues et traitées de façon loyale et licite.

Afin d’obtenir des données selon ce principe de loyauté et de licéité, la personne concernée se verra communiquer les informations suivantes au moment de la collecte de ses données :

• L’identité du responsable du traitement, c’est-à-dire Vanderbilt ;
• La ou les finalités pour lesquelles les données sont collectées ;
• La ou les personnes à qui le responsable du traitement peut divulguer les données ;
• Toute autre information nécessaire permettant de garantir le caractère loyal du traitement.

Vanderbilt respectera cette obligation de la façon suivante :

• Nous solliciterons, dans la mesure du possible, le consentement éclairé de la personne concernée avant de traiter ses données ;
• Si nous sommes dans l’impossibilité de solliciter un consentement, nous veillerons à ce que la collecte des données soit justifiée en vertu de l’une des autres conditions de traitement licite, telles qu’une obligation légale, une nécessité contractuelle, etc. ;
• Si nous envisageons d’enregistrer une activité sur vidéosurveillance ou sur vidéo, nous afficherons un avis de traitement loyal de façon parfaitement visible ;
• Nous ne traiterons des données à caractère personnel que dans le cadre de nos activités légales et nous protégerons les droits et libertés de la personne concernée ;
• Nous ne divulguerons des données de personnes concernées à aucun tiers autre qu’à une partie avec laquelle nous avons signé un contrat et qui agit en notre nom.

2.... ne soient obtenues que pour une ou plusieurs finalités déterminées et légitimes.

Vanderbilt obtiendra des données pour des finalités déterminées, licites et parfaitement explicites. Chaque personne concernée sera en droit de nous interroger sur la ou les finalités pour lesquelles nous détenons ses données et nous serons en mesure les exposer de façon parfaitement explicite.

3.... ne soient pas traitées d’une façon incompatible avec la ou les finalités déterminées.

Toute utilisation de données par nos soins sera compatible avec les finalités pour lesquelles nous les avons acquises.

4.... soient conservées en lieu sûr.

Nous appliquerons des normes de sécurité élevées dans le but de protéger les données à caractère personnel qui nous sont confiées. En notre qualité de responsable du traitement, nous prendrons des mesures de sécurité appropriées pour protéger toutes les données à caractère personnel que nous détenons contre des accès non autorisés ou une altération, une destruction ou une divulgation.

L’accès aux enregistrements relatifs à notre personnel et à nos clients ainsi que la gestion de ceux-ci seront limités aux membres de notre personnel disposant d’une autorisation et d’un mot de passe d’accès appropriés.

5.... soient exactes, complètes et tenues à jour si nécessaire.

Vanderbilt :

• veillera à mettre en place des procédures de validation administratives et informatiques dans le but de procéder à des évaluations régulières du caractère exact des données ;
• procédera à des examens et des vérifications périodiques dans le but de s’assurer que les données pertinentes sont exactes et tenues à jour. Nous procèderons à l’examen d’un échantillon de données tous les six mois de sorte à vérifier leur exactitude. Les coordonnées du personnel et les informations relatives aux plus proches parents feront l’objet d’un examen et d’une mise à jour tous les deux ans ;
• procèdera à des évaluations régulières dans le but de justifier le besoin de conserver certaines données à caractère personnel.

6.... soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités pour lesquelles les données sont collectées et traitées.

Vanderbilt veillera à ce que les données qu’elle traite à l’égard des personnes concernées soient pertinentes au regard des finalités pour lesquelles celles-ci sont collectées. Les données qui ne sont pas pertinentes au regard des finalités du traitement en question ne seront pas acquises ou conservées.

7.... ne soient pas conservées plus longtemps que la durée nécessaire pour satisfaire la ou les finalités déterminées.

Vanderbilt a défini une matrice détaillée de catégories de données qui prévoit une durée de conservation appropriée pour chacune d’entre elles. La matrice s’applique aux données obtenues et conservées au moyen d’un traitement manuel et automatisé.

Une fois la durée de conservation écoulée, nous nous engageons à détruire, effacer ou rendre inutilisables les données en question.

8.... soient gérées et conservées de telle sorte que, si une personne concernée soumet une demande d’accès valable en vue d’obtenir une copie de ses données à caractère personnel, lesdites données puissent facilement être récupérées et fournies.

Vanderbilt a mis en place une procédure de demande d’accès des personnes concernées dans le but de gérer de façon efficace et en temps opportun de telles demandes, et ce, dans les délais prévus par la législation.

Demandes d’accès de personnes concernées

Dans le cadre des activités quotidiennes de Vanderbilt, notre personnel échange de façon active et régulière des informations avec des personnes concernées. Lorsqu’une personne concernée soumet une demande formelle en lien avec les données que nous détenons, une telle demande confère des droits d’accès à la personne concernée.

Nous sommes tenus de répondre à la personne concernée sous des délais précis en fonction de la nature et de l’étendue de sa demande. Les délais en question sont décrits dans la procédure de demande d’accès des personnes concernées ci-jointe.

Notre personnel veillera, le cas échéant, à transmettre en temps opportun lesdites demandes au délégué à la protection des données qui les traitera aussi rapidement et efficacement que possible conformément aux dispositions du RGPD.

Mise en œuvre

En qualité de responsable du traitement, Vanderbilt veille à ce que toute entité qui traite des données à caractère personnel en son nom (un sous-traitant) y procède de façon conforme à la législation sur la protection des données.

Tout manquement d’un sous-traitant à gérer nos données de façon conforme sera considéré comme une violation du contrat qui nous lie et nous engagerons des poursuites contre lui devant les tribunaux.

Tout manquement de notre personnel à traiter des données à caractère personnel conformément à la présente politique pourra entraîner des procédures disciplinaires.

Modifications de la présente politique de confidentialité

Si nous apportons des modifications substantielles à notre politique de confidentialité susceptibles de vous affecter, nous publierons de façon visible un avis de modification sur notre site Internet sous un délai raisonnable avant que la modification entre en vigueur. Nous vous recommandons de vérifier la politique de confidentialité de façon régulière afin de vous tenir informé de toute modification éventuelle.

Quels types d’informations collectons-nous ?

Dans le cadre du fonctionnement d’ACT365, nous sommes amenés à collecter et enregistrer des données obligatoires ou facultatives au sujet des détenteurs de badges et des utilisateurs des services. Nous collecterons notamment les données suivantes :

• Nom
• Jeton(s) de contrôle d’accès et/ou code PIN de contrôle d’accès
• Adresse e-mail
• Téléphone
• Photo
• Période de validité
• 10 champs personnalisables

En outre, nous conserverons des informations relatives aux transactions au sujet de chaque détenteur de badge ainsi que des informations d’audit au sujet des utilisateurs des services.

De quelle façon utilisons-nous ces informations ?

Nous utilisons les informations collectées afin de fournir une interface sécurisée à votre solution ACT365. En outre, l’entreprise en charge de son installation se sert également de vos informations dans le but de vous proposer des services et une assistance.

Où et de quelle façon vos informations sont-elles conservées ?

Vos informations sont conservées au sein l’UE et ne seront pas transférées en dehors de ce territoire. Nous hébergeons toutes les informations relatives à ACT365 dans une base de données. Nous effectuons des sauvegardes régulières de la base de données. Les données à caractère personnel ne sont pas dupliquées sur un autre système ou utilisées pour une quelconque autre finalité. L’accès à la base de données est strictement protégé au moyen de mots de passe. Seuls les ingénieurs en logiciels de Vanderbilt ayant le besoin absolu d’accéder à la base de données sont autorisés à le faire. Chaque accès n’est exclusivement autorisé que dans le but de gérer et de contrôler le système ou à des fins de débogage indispensables.

Pendant combien de temps vos données sont-elles conservées ?

Nous enregistrons toutes vos données aussi longtemps que vous disposez d’un compte ACT365 actif. En tant qu’utilisateur, vous pouvez à tout moment supprimer votre compte. Une fois votre compte utilisateur supprimé, toutes les informations qui vous concernent sont également supprimées.

De quelle façon vos données sont-elles protégées ?

L’accès à la base de données est strictement protégé au moyen de mots de passe. Seuls les ingénieurs en logiciels de Vanderbilt ayant le besoin absolu d’accéder à la base de données sont autorisés à le faire. Chaque accès n’est exclusivement autorisé que dans le but de gérer et de contrôler le système ou à des fins de débogage indispensables.

De quelle façon obtenons-nous vos informations ?

C’est vous, en tant qu’utilisateur d’ACT365, qui saisissez vos données manuellement via l’interface Internet.

Sur quelle base juridique repose le traitement de vos données à caractère personnel ?

En tant qu’utilisateur, vous devez accepter les « conditions d’utilisation » et la « politique de protection des données » applicables à votre compte ACT365 au moment de votre enregistrement. Il vous est également possible de supprimer vos données à caractère personnel via l’application.

Les utilisateurs de type « installateur » peuvent, lorsqu’ils utilisent certains services d’ACT365, saisir des informations au sujet des « utilisateurs finaux » sans leur consentement explicite. Dans un tel cas de figure, il appartient aux utilisateurs de type « installateur » d’obtenir le consentement des « utilisateurs finaux » et de gérer leurs données.

De quelle façon pouvez-vous gérer, supprimer ou modifier les informations qui vous concernent ?

En tant qu’utilisateur, vous pouvez à tout moment gérer, supprimer ou modifier votre compte dans l’application ACT365. Vos informations sont supprimées de la façon susmentionnée. Si vous souhaitez consulter ou supprimer vos données, vous devez renseigner le formulaire en ligne à l’adresse http://www.vanderbiltindustries.com/requestmyinfo.

De quelle façon pouvez-vous demander un accès à vos données ?

Si vous souhaitez consulter ou supprimer vos données, vous devez renseigner le formulaire en ligne à l’adresse http://www.vanderbiltindustries.com/requestmyinfo.

Politique de confidentialité applicable aux enfants

Vanderbilt ne prévoit pas qu’une quelconque partie des Services Vanderbilt soit utilisée par des enfants de moins de 16 ans ou d’un âge minimum équivalent dans leur pays. Par conséquent, toute utilisation de ce type est interdite. Si nous apprenons qu’un compte est rattaché à un utilisateur enregistré de moins de 16 ans, ou d’un âge minimum équivalent dans son pays respectif, nous supprimerons immédiatement les informations associées au compte en question. Si vous êtes le parent ou le tuteur d’un enfant de moins de 16 ans ou d’un âge minimum équivalent dans votre pays et que vous pensez que votre enfant nous a fourni des informations personnelles, veuillez nous contacter par téléphone ou par e-mail via les coordonnées du service d’assistance Vanderbilt de votre pays. Un parent ou un tuteur d’un enfant de moins de 16 ans ou d’un âge minimum équivalent dans un quelconque pays peut passer en revue et demander la suppression des informations personnelles relatives à son enfant et en interdire l’utilisation.

Activités internationales

Vous acceptez nos pratiques en matière d’informations, y compris la collecte, la conservation, l’utilisation, le traitement et la divulgation de vos données de la façon décrite dans la présente politique de confidentialité ainsi que le transfert et le traitement de vos données vers des pays dans lesquels nous disposons de ou avons recours à des installations, des prestataires de services ou des partenaires, et ce, indépendamment du pays dans lequel vous utilisez nos services. Vous reconnaissez que les lois, les règlements et les normes du pays dans lequel vos informations sont conservées ou traitées peuvent différer de celles de votre pays. Au sein de l’Espace économique européen (EEE), nous conservons et traitons vos données à caractère personnel dans l’EEE sous un format crypté, même si nous utilisons des données conservées par des tiers. Nous ne transférerons aucune donnée en dehors de l’EEE.

Informations de contact

Pour poser des questions ou formuler des commentaires au sujet de la présente politique de confidentialité et de nos pratiques en matière de confidentialité, vous pouvez nous contacter via le formulaire en ligne à l’adresse http://www.vanderbiltindustries.com/requestmyinfo.

Définitions

• Afin d’éviter toute ambiguïté, et pour des raisons de cohérence terminologique, les définitions suivantes s’appliqueront dans le cadre de la présente politique.