Ce à quoi s'engage Elior pour protéger les données personnelles

ici votre image



La protection des données : l’affaire de tous au sein du groupe Elior

Mes droits

En tant que collaborateur, le groupe Elior est amené à collecter et traiter un nombre conséquent de données vous concernant. A ce titre, le groupe Elior se doit de traiter vos données de manière transparente, loyale et d’assurer leur sécurité.


La notice RH témoigne de cet engagement et permet de vous donner des informations complètes à ce sujet et de connaître les modalités d’exercices de vos droits ;

  • Notice relative à la protection des données personnelles des collaborateurs  (FR/EN/ES/DEU/IT/PT)
  • Notice relative à la protection des données personnelles des collaborateurs (Version courte)  (FR/EN/ES/DEU/IT/PT)
    ​​​​​​​
ici votre image

Approfondir les contraintes liées au RGPD

​​​​​​1. Considérer - dès le lancement des nouveaux projets - la vie privée et la conformité

Il importe de vous reporter à la politique du Groupe et règles complémentaires le cas échéant, et de suivre le processus de lancement de nouveaux projets.​​​​​​​
​​​​​​​

ici votre image



​​​​​​​2. Savoir identifier une donnée personnelle

Il s’agit de toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement. La conjugaison d’informations indirectes peut en effet permettre d’identifier une personne. Peu importe qu’elles soient publiques ou confidentielles, liées à la sphère professionnelle ou privée, ou encore qu’elles soient sur un support papier ou informatisées.

ici votre image


3. Veiller à minimiser la masse de données personnelles dans les traitements, surtout en phase de collecte
​​​​​
​​​​​

4. Identifier, avec l’ambassadeur RGPD, la base légale sur laquelle se fonde son traitement :

Obligation légale : nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis (droit national ou droit de l’Union européenne) ; par exemple la communication à la sécurité sociale et à l’administration fiscale des données relatives à la rémunération des salariés.​​​​​​​

Nécessité contractuelle : nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.

Cette situation doit uniquement couvrir les services essentiels à la réalisation du contrat et notamment exclure tout démarchage commercial ; par exemple, la collecte des coordonnées d’un convive pour l’édition et l’envoi de factures ou encore le traitement des données des salariés pour la mise en œuvre de la paie.

ici votre image



​​​​​​​Intérêts légitimes : nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ; par exemple, l’analyse du trafic internet pour prévenir l’accès à des systèmes malveillants.

Intérêts vitaux : nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ; par exemple, le recueil d’un numéro de téléphone personnel pour l’envoi de SMS d’alerte en cas d’évènements graves sur le lieu de travail.

Intérêt public : nécessaire si le responsable du traitement est investi d’une autorité publique ou d’une mission d’intérêt public, pour laquelle le traitement est nécessaire.

Consentement : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, il doit être libre (choix réel, sans conséquences négatives), éclairé (présence, au moment de l’expression du consentement, d’informations appropriées et suffisantes) et univoque (logique d’ « opt-in », aucune ambigüité et absence de consentement par défaut ou lié à une inaction) ;

5. Assurer l’encadrement juridique des possibles échanges et transferts de données


6. Veiller à la sécurité des données

​​​​​Les règles de sécurité informatique facilitent la protection des données. Pour engager les collaborateurs dans cette démarche, une large palette d’outils de sensibilisation existe et est disponible sur la page « Ressources ». Pour en savoir plus, https://hackingdiner.eliorgroup.net/.​​​​​​​
​​​​​​

7. Renseigner les durées de conservation et appliquer le cycle de vie des données

Les informations détenues doivent être exactes, cela peut se contrôler par la mise en place de mécanismes adaptés (vérification au moment de la collecte, possibilité donnée aux personnes de les mettre à jour directement, revue périodiquement sur un échantillon…)

Les données à caractère personnel doivent être conservées pendant une durée définie en amont de leur collecte et adaptée à l’objectif poursuivi. Une fois cet objectif atteint, ces données doivent être, selon le cas, archivées, supprimées ou anonymisées.​​​​​​​

ici votre image



8. Surveiller les zones de libres commentaires

Des précautions particulières s’imposent. Ces champs de texte libre sont utiles pour assurer le suivi d’un dossier ou pour personnaliser une relation. S’il n’est pas interdit d’y recourir, des actions de sensibilisation et des règles de gestion doivent encadrer leur utilisation pour éviter que les commentaires saisis puissent porter atteinte aux droits des personnes concernées.

ici votre image

9. Être vigilant sur les éventuelles demandes d’exercices des droits des personnes​​​​​​​

ici votre image

10. Remonter les incidents

Malgré l’application de standards de haut niveau pour assurer la sécurité des données, le groupe Elior ne peut se prémunir totalement contre le risque de violations de données qui peuvent se définir par :

  • Une atteinte à la confidentialité, c’est-à-dire une fuite de données (exemple : perte de clé USB contenant des fichiers clients) ;
  • Une atteinte à l’intégrité, c’est à dire une modification non prévue (exemple : modification non désirée de la base de données qui indique automatiquement aux autorités l’attributaire d’un véhicule de fonction) ;
  • Une atteinte à la disponibilité, c’est-à-dire une destruction de données (exemple : logiciel malveillant chiffrant une base de données).

La source de ces violations peut aussi bien être externe (ex. : attaque d’une ressource du groupe Elior ou d’un prestataire exposé à internet) qu’interne. Elle peut également être intentionnelle ou accidentelle (ex. : écran non protégé par un filtre de confidentialité exposé dans les transports en commun)

Plus tôt un incident est remonté, plus tôt les services compétents peuvent le circonscrire.

Quand il touche des violations de données personnelles, le groupe a 72 heures pour les notifier à la CNIL, l’autorité de régulation française. Dans certains cas, il sera même obligatoire d’en informer les personnes concernées touchées.

11. Contacter votre ambassadeur au plus tôt, pour être conseillé, tenu informé et accompagné

>>> 2 emails à connaître = gdpr-contact@eliorgroup.com + it.security@eliorgroup.com

>>> Pour en savoir plus, reportez-vous à la page « RGPD : Kesako ?
»

Les documents associés

Information relative à la RGPD-short
pdf - 275 Ko - 10/05/2019 19:02
Information relative à la RGPD
pdf - 309.5 Ko - 10/05/2019 19:02
Informações relativas à RGPD-short
pdf - 263.6 Ko - 10/05/2019 19:03
Informações relativas à RGPD
pdf - 458.6 Ko - 10/05/2019 19:03
Information on the GDPR-short
pdf - 254.3 Ko - 10/05/2019 19:03
Information on the GDPR
pdf - 353.3 Ko - 10/05/2019 19:03
Information über den DSGVO-short
pdf - 262.5 Ko - 10/05/2019 19:03
Information über den DSGVO
pdf - 303.5 Ko - 10/05/2019 19:03
Nota informativa relativa a la RGPD-short
pdf - 266.7 Ko - 10/05/2019 19:03
Nota informativa relativa a la RGPD
pdf - 314.9 Ko - 10/05/2019 19:03
Nota informativa relativa alla RGPD-short
pdf - 260.3 Ko - 10/05/2019 19:03
Nota informativa relativa alla RGPD
pdf - 310.2 Ko - 10/05/2019 19:03