>>> 2 emails à connaître = gdpr-contact@eliorgroup.com + it.security@eliorgroup.com
En tant que collaborateur, le groupe Elior est amené à collecter et traiter un nombre conséquent de données vous concernant. A ce titre, le groupe Elior se doit de traiter vos données de manière transparente, loyale et d’assurer leur sécurité.
La notice RH témoigne de cet engagement et permet de vous donner des informations complètes à ce sujet et de connaître les modalités d’exercices de vos droits ;
1. Considérer - dès le lancement des nouveaux projets - la vie privée et la conformité
Il importe de vous reporter à la politique du Groupe et règles complémentaires le cas échéant, et de suivre le processus de lancement de nouveaux projets.
2. Savoir identifier une donnée personnelle
Il s’agit de toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement. La conjugaison d’informations indirectes peut en effet permettre d’identifier une personne. Peu importe qu’elles soient publiques ou confidentielles, liées à la sphère professionnelle ou privée, ou encore qu’elles soient sur un support papier ou informatisées.
3. Veiller à minimiser la masse de données personnelles dans les traitements, surtout en phase de collecte
4. Identifier, avec l’ambassadeur RGPD, la base légale sur laquelle se fonde son traitement :
Obligation légale : nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis (droit national ou droit de l’Union européenne) ; par exemple la communication à la sécurité sociale et à l’administration fiscale des données relatives à la rémunération des salariés.
Nécessité contractuelle : nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.
Cette situation doit uniquement couvrir les services essentiels à la réalisation du contrat et notamment exclure tout démarchage commercial ; par exemple, la collecte des coordonnées d’un convive pour l’édition et l’envoi de factures ou encore le traitement des données des salariés pour la mise en œuvre de la paie.
Intérêts légitimes : nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ; par exemple, l’analyse du trafic internet pour prévenir l’accès à des systèmes malveillants.
Intérêts vitaux : nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ; par exemple, le recueil d’un numéro de téléphone personnel pour l’envoi de SMS d’alerte en cas d’évènements graves sur le lieu de travail.
Intérêt public : nécessaire si le responsable du traitement est investi d’une autorité publique ou d’une mission d’intérêt public, pour laquelle le traitement est nécessaire.
Consentement : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, il doit être libre (choix réel, sans conséquences négatives), éclairé (présence, au moment de l’expression du consentement, d’informations appropriées et suffisantes) et univoque (logique d’ « opt-in », aucune ambigüité et absence de consentement par défaut ou lié à une inaction) ;
5. Assurer l’encadrement juridique des possibles échanges et transferts de données
6. Veiller à la sécurité des données
Les règles de sécurité informatique facilitent la protection des données. Pour engager les collaborateurs dans cette démarche, une large palette d’outils de sensibilisation existe et est disponible sur la page « Ressources ». Pour en savoir plus, https://hackingdiner.eliorgroup.net/.
7. Renseigner les durées de conservation et appliquer le cycle de vie des données
Les informations détenues doivent être exactes, cela peut se contrôler par la mise en place de mécanismes adaptés (vérification au moment de la collecte, possibilité donnée aux personnes de les mettre à jour directement, revue périodiquement sur un échantillon…)
Les données à caractère personnel doivent être conservées pendant une durée définie en amont de leur collecte et adaptée à l’objectif poursuivi. Une fois cet objectif atteint, ces données doivent être, selon le cas, archivées, supprimées ou anonymisées.
8. Surveiller les zones de libres commentaires
Des précautions particulières s’imposent. Ces champs de texte libre sont utiles pour assurer le suivi d’un dossier ou pour personnaliser une relation. S’il n’est pas interdit d’y recourir, des actions de sensibilisation et des règles de gestion doivent encadrer leur utilisation pour éviter que les commentaires saisis puissent porter atteinte aux droits des personnes concernées.
9. Être vigilant sur les éventuelles demandes d’exercices des droits des personnes
10. Remonter les incidents
Malgré l’application de standards de haut niveau pour assurer la sécurité des données, le groupe Elior ne peut se prémunir totalement contre le risque de violations de données qui peuvent se définir par :
La source de ces violations peut aussi bien être externe (ex. : attaque d’une ressource du groupe Elior ou d’un prestataire exposé à internet) qu’interne. Elle peut également être intentionnelle ou accidentelle (ex. : écran non protégé par un filtre de confidentialité exposé dans les transports en commun)
Plus tôt un incident est remonté, plus tôt les services compétents peuvent le circonscrire.
Quand il touche des violations de données personnelles, le groupe a 72 heures pour les notifier à la CNIL, l’autorité de régulation française. Dans certains cas, il sera même obligatoire d’en informer les personnes concernées touchées.
11. Contacter votre ambassadeur au plus tôt, pour être conseillé, tenu informé et accompagné
>>> 2 emails à connaître = gdpr-contact@eliorgroup.com + it.security@eliorgroup.com
>>> Pour en savoir plus, reportez-vous à la page « RGPD : Kesako ? »