Politique de confidentialité

Charte RGPD- Commission de l’Association Syndicale Autorisée -ASA- du DOMAINE DE LA MARCHE

I^ère PARTIE : PROTECTION DES DONNEES A CARACTERE PERSONNEL

Article 1 : confidentialité des données

Le règlement européen n°2016/679 dit « règlement général sur la protection des données » du 27 avril 2016 (RGPD) définit les conditions dans lesquelles des traitements de données personnelles peuvent être opérés. Il institue au profit des personnes concernées par les traitements de données des droits que le présent règlement invite à respecter, tant à l’égard des utilisateurs que des tiers.

Les membres de la Commission sont soumis à une obligation de discrétion qui leur impose d’assurer la confidentialité des données qu’ils détiennent.

Un comportement exemplaire est exigé dans toute communication orale ou écrite, téléphonique ou électronique, que ce soit lors d’échanges professionnels ou au cours de discussions relevant de la sphère privée.

Article 2 : accès aux données par les membres de la Commission

L‘accès par les membres de la Commission aux informations et documents conservés doit être limité à ceux qui leur sont propres, ainsi qu’à ceux qui sont publics ou partagés.

Il est ainsi interdit de prendre connaissance des informations détenues par d‘autres même si ceux-ci ne les ont pas explicitement protégées. Cette règle s‘applique en particulier [AS1] aux conversations de type courrier électronique dont le membre de la Commission n‘est ni directement destinataire, ni en copie.

Article 3 : Délégué à la protection des données

La Commission procède à la nomination, en son sein, du Délégué à la Protection des Données (DPO) de la Commission.

Le DPO veille, au sein de la Commission, à la bonne application et au respect des règles issues du RGPD.

II^ème PARTIE : RÉPONSES AUX DEMANDES D’USAGE DES DROITS DES PERSONNES CONCERNÉES PAR LES TRAITEMENTS DE DONNÉES

Article 4 : Droits des personnes concernées par les traitements de données

Les personnes concernées par les traitements de données personnelles, quelles qu’elles soient, disposent de droits leur permettant de garder la maîtrise des informations les concernant. Ainsi, toute personne concernée peut :

• Accéder sur simple demande à l’ensemble des informations la concernant ;
• Connaître l’origine de ces informations :
• En obtenir une copie ;

●      Exiger que ses données soient rectifiées, complétées, mises à jour ou, selon les cas, supprimées.

Article 5 : Droit à l’information des personnes concernées par les traitements de données

Les membres de la Commission ont l’obligation d’informer toute personne du recueil de ses données à caractère personnel, de ses droits ainsi que des moyens par lesquels cette personne pourra user de ses droits sur ces données.

Article 6 : Demandes d’usage des droits des personnes

Les personnes concernées par les traitements de données à caractère personnel peuvent faire usage de leurs droits sur simple demande, soit par écrit, soit en personne auprès du DPO.

Le DPO recevant une telle demande a pour obligation de contrôler par tous moyens  l’identité du demandeur.

Article 7 : Instruction des demandes d’usage des droits des personnes

Le DPO recevant une demande d’usage des droits des personnes concernées par un traitement de données a pour obligation de répondre à cette demande dans les meilleurs délais et au maximum dans les six mois.

Article 8 : Refus de la demande d’usage des droits des personnes

La demande pourra être refusée pour des motifs légitimes, notamment le respect d’une obligation légale. Peuvent également être refusées les demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

Tout refus devra alors faire l’objet d’une justification. Le demandeur devra être également informé des voies et délais de recours permettant de contester cette décision.

Si la Commission ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès, une réponse précisant ce fait devra être apportée dans le même délai.

Article 9 : Réponses aux demandes d’usage des droits des personnes

Toute demande et toute réponse devront faire l’objet d’une traçabilité. Toute action instruisant une telle demande ou procédant à une telle réponse devra procéder à son inscription dans le registre des demandes d’usage des droits sur les données à caractère personnel.

Ce registre est tenu et mis à jour par le DPO.

III^ème PARTIE : VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

Article 10 : Constatation des violations de données

Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une manière, ou l’accès non autorisé à de telles données constitue une violation de données à caractère personnel.

Tout membre de la Commission amené à constater une telle violation de données aura l’obligation d’en informer immédiatement le DPO.

Article 11 : Documentation de la violation de donnée

Sous la direction du DPO, la Commission devra alors, dans un délai maximum d’un mois :

• Déterminer la nature de la violation ;
• Déterminer la catégorie et le nombre approximatif de personnes concernées par les données faisant l’objet de la violation ;
• Déterminer la catégorie et le nombre approximatif de données concernées ;
• Décrire les conséquences probables de la violation de données ;

●      Déterminer et décrire les mesures prises pour atténuer les effets de la violation et éviter que celle-ci ne se reproduise.

L’ensemble de ces éléments devront faire l’objet d’une traçabilité et d’une inscription dans le registre des violations de données.

Ce registre est tenu et mis à jour par le DPO.

Article 12 : Notification des violations de données auprès de la CNIL

Toute violation de données susceptible de porter atteinte à la vie privée des personnes concernées par les données touchées par la violation doit faire l’objet d’une notification auprès de la CNIL au moyen de la plate-forme sécurisée sur son site internet (www.cnil.fr).

Cette notification devra être réalisée par le DPO dans un délai maximal d’un mois  suivant la violation de données ou, à défaut, dans un délai maximal de un mois  suivant la constatation de la violation de données.

En cas d’impossibilité de réunir toutes les informations susmentionnées dans l’article 11 dans un tel délai, une notification initiale devra être déposée dans ledit délai, suivie d’une notification complémentaire dès que l’ensemble des éléments seront réunis.

Toute notification effectuée hors délais devra être justifiée.

Article 13 : Notification des violations de données auprès des personnes concernées

Toute violation de données susceptible de porter une atteinte excessivement élevée à la vie privée des personnes concernées par les données touchées par la violation devra, en outre de la notification mentionnée à l’article 12, faire l’objet d’une notification auprès des personnes concernées.

La notification devra, a minima, contenir et exposer, en des termes clairs et précis, la nature de la violation, les conséquences probables de la violation, les coordonnées du DPO et les mesures prises pour remédier à la violation et en limiter les conséquences.

La notification devra être complétée, si nécessaire, de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent, tel qu’un changement de mot de passe ou la vérification de l’intégrité des données de leur compte utilisateur.

Cette notification devra être réalisée par le DPO dans les meilleurs délais.

Article 14 : Traçabilité des notifications de violations de données

La notification de la violation de données auprès de la CNIL et, le cas échéant, la notification aux personnes concernées devront faire l’objet d’une traçabilité et être inscrites dans le registre des violations de données.