Politique de protection des données personnelles — Cynoia
Dernière mise à jour: 1er Novembre 2023
Version 1.0
*La présente politique sera réexaminée chaque année ou à chaque fois que des modifications seront apportées à notre système de traitement des données. se produisent.
1. Champ d'application et définitions:
1.1. Champ d'application:
La présente politique de protection des données personnelles (la "politique") décrit les règles internes de Cynoia SAS en matière de traitement et de protection des données personnelles. La Politique s'applique à toutes les entités du groupe Cynoia SAS, y compris Cynoia SAS et toutes les autres filiales du groupe, les employés et les sous-traitants des entités ("nous", "notre", "nos", "Cynoia"). La direction de chaque entité est responsable en dernier ressort de la mise en œuvre de cette politique et doit s'assurer, au niveau de l'entité, que des procédures adéquates et efficaces ont été mises en place pour sa mise en œuvre et le contrôle permanent de son respect. Aux fins de la présente politique, les employés et les contractants sont désignés conjointement par le terme "employés".
1.2. Responsable de la protection de la vie privée:
Le Responsable de la protection de la vie privée est un employé de Cynoia chargé du respect de la protection des données à caractère personnel au sein de Cynoia (le "Responsable de la protection de la vie privée"). Le Responsable de la protection de la vie privée est chargé d'exécuter les obligations imposées par la présente politique et de superviser les autres employés soumis à la présente politique en ce qui concerne leur respect de celle-ci. Le Responsable de la protection de la vie privée doit être impliqué dans tous les projets à un stade précoce afin de prendre en compte les aspects liés à la protection des données à caractère personnel dès la phase de planification.
Le responsable désigné de la protection de la vie privée chez Cynoia SAS est Ayoub RABEH.
1.3. Définitions:
1.3.1. Autorité de surveillance compétente:
Désigne une autorité publique chargée de réglementer et de superviser la protection des données à caractère personnel en ce qui concerne les activités de Cynoia.
1.3.2. Violation de données:
Une violation de la sécurité et/ou de la confidentialité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. Cela inclut, sans s'y limiter, les courriers électroniques envoyés à une liste de destinataires incorrecte ou divulguée, la publication illégale de données à caractère personnel, la perte ou le vol de documents physiques et l'accès non autorisé à des informations à caractère personnel.
1.3.3. Contrôleur des données:
Désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine (prend une décision) les finalités et les moyens du traitement des données à caractère personnel.
1.3.4. Responsabl e du traitement des données:
Désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement.
1.3.5. Lois sur la protection des données:
Désigne toute loi et règle juridique sur l'utilisation et la protection des données personnelles applicable aux activités de Cynoia, y compris, mais sans s'y limiter, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD).
1.3.6. Demande de la personne concernée (DSR):
Toute demande émanant de la personne concernée et concernant ses données à caractère personnel et/ou ses droits en tant que personne concernée.
1.3.7. Personne concernée:
Désigne une personne physique dont nous traitons les données à caractère personnel. Les données.
1.3.8. Données personn elles:
Une personne concernée peut être identifiée par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne concernée.
1.3.9. Traitement:
Désigne toute opération ou ensemble d'opérations effectuées par Cynoia sur des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
1.3.10. Clauses contractuelles types:
Désigne la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (2010/87/UE).
1.3.11. Tiers:
Désigne une personne physique ou morale qui accède aux données à caractère personnel en vue d'un traitement ultérieur et qui n'est pas un employé, un membre ou une société affiliée de Cynoia. Cette définition ne s'applique pas aux personnes physiques qui fournissent régulièrement des services à Cynoia en tant que sous-traitants.
1.3.12. Utilisateur:
Désigne une personne concernée qui utilise nos services fournis sur le site web de Cynoia.
2. Principes de traitement des données:
2.1.
Les activités de traitement de Cynoia doivent être conformes aux principes spécifiés dans la présente section. Le responsable de la protection de la vie privée doit s'assurer que la documentation de conformité de Cynoia, ainsi que les activités de traitement des données, sont conformes aux principes de protection des données.
2.2.
Nous devons traiter les données à caractère personnel conformément aux principes suivants:
2.2.1.
de manière licite, loyale et transparente (licéité, loyauté et transparence). Nous devons toujours avoir un motif légal pour le traitement (décrit dans la section 3 de la présente politique), collecter la quantité de données appropriée à la finalité et aux motifs légaux, et nous assurer que les personnes concernées sont informées du traitement ;
2.2.1.
de manière licite, loyale et transparente (licéité, loyauté et transparence). Nous devons toujours avoir un motif légal pour le traitement (décrit dans la section 3 de la présente politique), collecter la quantité de données appropriée à la finalité et aux motifs légaux, et nous assurer que les personnes concernées sont informées du traitement ;
2.2.2.
Collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (limitation de la finalité). Nous ne devons pas traiter les données à caractère personnel pour des finalités non précisées dans notre documentation de conformité sans avoir obtenu l'approbation expresse du responsable de la protection de la vie privée ;
2.2.3.
Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). Nous veillons toujours à ce que les données que nous collectons ne soient pas excessives et soient limitées à la stricte nécessité ;
2.2.4.
Exactitude et, si nécessaire, mise à jour (exactitude). Nous nous efforçons de supprimer les données inexactes ou fausses concernant les personnes concernées et veillons à les mettre à jour. Les personnes concernées peuvent nous demander de corriger les données à caractère personnel ;
2.2.5.
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données à caractère personnel sont traitées (limitation de la durée de conservation). Les périodes de conservation doivent être limitées conformément aux lois sur la protection des données et à la présente politique ;
2.2.6.
Traiter les données à caractère personnel d'une manière qui garantisse une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées (confidentialité, intégrité et disponibilité).
2.3. Responsabilité.
2.3.1.
Nous devons être en mesure de démontrer que nous respectons les lois sur la protection des données (principe de responsabilité). En particulier, nous devons garantir et documenter toutes les procédures pertinentes, les efforts, les consultations internes et externes sur la protection des données personnelles, y compris :
le fait de nommer une personne responsable de la conformité de Cynoia en matière de protection des données ;
le cas échéant, un compte rendu de l'analyse d'impact du traitement des données ;
élaboré et mis en œuvre des avis, des politiques et des procédures, tels que l'avis de confidentialité, la présente politique ou la procédure d'intervention en cas de violation des données ;
le fait que le personnel soit formé au respect des lois sur la protection des données ; et
l'évaluation, la mise en œuvre et le test des mesures organisationnelles et techniques de protection des données.
2.3.2.
Le Responsable de la protection de la vie privée doit tenir à jour les Registres des activités de traitement de Cynoia, qui sont des documents de responsabilité décrivant les activités de traitement des données à caractère personnel de Cynoia, préparés conformément à l'Art. 30 du GDPR (les "Registres des activités de traitement"). Les registres des activités de traitement doivent contenir, au minimum, les informations suivantes pour chaque activité de traitement :
les coordonnées de Cynoia, du représentant de l'UE et, le cas échéant, du délégué à la protection des données ;
le nom de l'activité, ses objectifs et sa base juridique ainsi q u e , le cas échéant, les intérêts légitimes de Cynoia ;
les personnes concernées et les catégories de données à caractère personnel concernées ;
les périodes de conservation des données ;
description générale des mesures de sécurité applicables ;
les destinataires, y compris les responsables conjoints du traitement, les sous
traitants et les contractants concernés, ainsi que le fait que le transfert international de données a été effectué avec les garanties nécessaires appliquée au transfert ;
le cas échéant, une référence à l'analyse d'impact du traitement des données ;
le cas échéant, une référence à l'enregistrement de la violation de données concernant les données à caractère personnel ;
si Cynoia agit en tant que sous-traitant, les informations à fournir comprennent le nom et les coordonnées des responsables du traitement, le nom et les coordonnées du représentant du responsable du traitement (le cas échéant), les catégories de traitement (activités), le nom des pays tiers ou des organisations internationales vers lesquels les données à caractère personnel sont transférées (le cas échéant), les garanties pour les transferts exceptionnels de données à caractère personnel vers des pays tiers ou des organisations internationales (le cas échéant), et la description générale des mesures de sécurité techniques et organisationnelles.
3. Accès aux données à caractère personnel. Motifs et objectifs juridiques:
3.1.Motifs légaux.
3.1.1.
Chaque activité de traitement doit reposer sur l'un des motifs légitimes spécifiés dans la présente section pour traiter les données à caractère personnel. Si nous ne disposons pas de l'un des motifs décrits, nous ne pouvons pas collecter ou traiter les données à caractère personnel.
3.1.2.
S'il est prévu que Cynoia utilise des données à caractère personnel à d'autres fins que celles spécifiées dans les relevés des activités de traitement, le responsable de la protection de la vie privée doit évaluer, déterminer et, le cas échéant, collecter/enregistrer la base juridique appropriée.
3.1.3.
Exécution du contrat. Lorsque Cynoia a conclu un contrat avec la personne concernée, par exemple les conditions d'utilisation du site web ou le contrat de travail, et que le contrat exige la fourniture de données à caractère personnel par la personne concernée, le fondement juridique applicable sera l'exécution du contrat.
3.1.4.
Consentement. Pour traiter les données à caractère personnel sur la base du consentement, nous devons obtenir le consentement avant le traitement et conserver la preuve du consentement avec les dossiers de données à caractère personnel de la personne concernée. Le responsable de la protection de la vie privée doit s'assurer que le consentement recueilli auprès des personnes concernées répond aux exigences des lois sur la protection des données et de la présente politique. En particulier, le Responsable de la protection de la vie privée doit s'assurer que :
la personne concernée doit être libre de donner ou de refuser son consentement.
le consentement prend la forme d'une indication active de la part de la personne concernée, c'est-à-dire que la case à cocher du consentement ne doit pas être pré-cochée par l'utilisateur.
la demande de consentement expose clairement les finalités du traitement et les autres informations visées au point 6.2 sont mises à la disposition de la personne concernée.
la personne concernée doit être libre de donner son consentement ou de le révoquer.
3.1.5.
Intérêts légitimes. Nous avons le droit d'utiliser des données à caractère personnel dans le cadre de nos "intérêts légitimes". Ces intérêts peuvent inclure les objectifs justifiés par la nature de nos activités commerciales, comme l'analyse marketing des données personnelles. Pour que Cynoia puisse utiliser les intérêts légitimes comme base juridique du traitement, le responsable de la protection de la vie privée doit s'assurer que :
l'intérêt légitime du traitement est clairement défini et consigné dans la base de données
tout risque envisagé pour les droits et les intérêts de la personne concernée est repéré. Des exemples de risques sont présentés au point 7.2 ;
les personnes concernées ont des attentes raisonnables à l'égard du traitement et des mesures de protection supplémentaires sont prises pour faire face aux risques ;
sous réserve des conditions énoncées au point 6.7 (Droit de s'opposer au traitement), la personne concernée a la possibilité de refuser le traitement pour les intérêts légitimes décrits.
Si au moins une des conditions susmentionnées n'est pas remplie par Cynoia, le responsable de la protection de la vie privée doit choisir et proposer un autre fondement juridique pour le traitement, tel que le consentement.
3.1.6.
Conformité légale et intérêt public. Outre les motifs spécifiés ci-dessus, nous pouvons être tenus par les lois de l'Union européenne ou des États membres de l'UE de traiter les données personnelles de nos utilisateurs. Par exemple, nous pouvons être tenus de collecter, d'analyser et de contrôler les informations des utilisateurs pour nous conformer à la législation financière ou à la législation du travail. Chaque fois que nous avons une telle obligation, nous devons nous assurer que :
nous traitons les données à caractère personnel en stricte conformité avec les exigences légales pertinentes ;
nous n'utilisons ni ne conservons les données à caractère personnel collectées à d'autres fins que le respect de la loi ; et
les personnes concernées sont informées correctement et en temps utile de nos obligations, de la portée et des conditions du traitement des données à caractère personnel.
Important : lorsque Cynoia est soumise aux exigences légales d'un autre pays pour traiter des données à caractère personnel, le responsable de la protection de la vie privée doit proposer d'utiliser un autre fondement juridique pour le traitement en vertu des lois sur la protection des données, tel que les intérêts légitimes ou le consentement.
3.2.Accès aux données personnelles.
3.2.1.
Les employés doivent avoir accès aux données à caractère personnel selon le principe du "besoin de savoir". L'accès aux données n'est possible que s'il est strictement nécessaire à la réalisation de l'une des activités spécifiées dans le registre des activités de traitement. Les employés et les sous-traitants n'ont accès aux données à caractère personnel que s'ils disposent des autorisations nécessaires.
3.2.2.
Les chefs de service de Cynoia sont responsables de l'accès et du traitement des données à caractère personnel par leurs employés. Ils doivent tenir à jour la liste des employés autorisés à accéder aux données à caractère personnel et à les traiter. Le responsable de la protection de la vie privée a le droit d'examiner la liste et, le cas échéant, de demander les modifications nécessaires Cynoia Politique de protection des données personnelles 11 1er novembre 2023 pour satisfaire aux exigences de la présente politique.
3.2.3.
Les chefs de service de Cynoia doivent s'assurer que les employés sous leur supervision connaissent les lois sur la protection des données et respectent les règles établies dans la présente politique. Pour s'assurer que nos employés sont en mesure de respecter les exigences en matière de protection des données, nous devons leur fournir une formation adéquate sur la protection des données.
3.2.4.
Tous les employés qui accèdent à des données à caractère personnel doivent respecter une stricte confidentialité concernant les données auxquelles ils accèdent. Les employés qui accèdent aux données à caractère personnel ne doivent utiliser pour le traitement que les moyens (logiciels, locaux, etc.) prescrits par Cynoia. Les données ne doivent pas être divulguées ou rendues accessibles d'une autre manière en dehors des instructions de la direction.
3.2.5.
Les employés qui relèvent de leur compétence doivent aider les représentants de Cynoia, y compris le responsable de la protection de la vie privée, dans leurs efforts pour se conformer aux lois sur la protection des données et/ou à la présente politique.
3.2.6.
Lorsqu'un employé détecte ou pense qu'il y a une activité suspecte, une violation des données, un non-respect des lois sur la protection des données et/ou de la présente politique, ou qu'un DSR n'a pas été transmis au service compétent au sein de Cynoia, l'employé doit signaler cette activité au responsable de la protection de la vie privée.
3.2.7.
Les employés qui ne savent pas s'ils peuvent légitimement traiter ou divulguer des données à caractère personnel doivent demander conseil au responsable de la protection de la vie privée avant d'agir.
3.2.8.
Tout accès occasionnel aux données à caractère personnel pour des activités non spécifiées dans le registre des activités de traitement est interdit. Si un accès immédiat est strictement nécessaire, le responsable de la protection de la vie privée doit d'abord approuver l'accès.
4. Tiers
4.1.
Avant de partager des données à caractère personnel avec une personne extérieure à Cynoia, le Responsable de la protection de la vie privée doit s'assurer que ce tiers dispose d'un niveau de protection des données adéquat et fournit des garanties suffisantes en matière de protection des données conformément aux lois sur la protection des données, y compris, mais sans s'y limiter, les exigences en matière de traitement (art. 28 du GDPR) et la conformité des transferts internationaux (section 5 du GDPR). Le cas échéant, le responsable de la protection de la vie privée doit s'assurer que Cynoia conclut un contrat de protection des données approprié avec le tiers.
4.2.
Un employé ne peut partager des données à caractère personnel avec des tiers que si et dans la mesure où cela a été directement prescrit par le responsable et spécifié dans les relevés des activités de traitement.
4.3.
Si nous sommes tenus de supprimer, de modifier ou de cesser le traitement des données à caractère personnel, nous devons nous assurer que les tiers avec lesquels nous avons partagé les données à caractère personnel s'acquittent de ces obligations en conséquence.
4.4.
Lorsque Cynoia est engagée en tant que responsable du traitement des Cynoia Politique de protection des données personnelles 13 1er novembre 2023 données pour le compte d'une autre entité, le responsable de la protection de la vie privée doit s'assurer que Cynoia respecte l'obligation de traitement. En particulier, l'accord de traitement des données approprié conformément aux lois sur la protection des données doit être en place. Le responsable de la protection de la vie privée doit superviser le respect des instructions de traitement des données émanant du responsable du traitement, y compris en ce qui concerne l'étendue des activités de traitement, l'implication des soustraitants, les transferts internationaux, le stockage et l'élimination ultérieure des données à caractère personnel.
Les données à caractère personnel traitées. Les données à caractère personnel traitées dans le cadre du rôle de sous-traitant ne doivent pas être traitées à d'autres fins que celles spécifiées dans les instructions, l'accord ou tout autre acte juridique régissant les relations avec le responsable du traitement.
5. Transferts internationaux
5.1.
Si nous avons des employés, des sous-traitants, des sociétés affiliées ou des responsables du traitement des données en dehors de l'EEE et que nous leur transférons des données à caractère personnel pour le traitement, le responsable de la protection de la vie privée doit s'assurer que Cynoia prend toutes les mesures de protection nécessaires et appropriées conformément aux lois sur la protection des données.
5.2.
Le responsable de la protection de la vie privée doit évaluer les garanties disponibles et proposer à la direction de Cynoia la garantie appropriée pour chaque transfert international. Les régimes suivants s'appliquent aux transferts de données à caractère personnel en dehors de l'UE :
lorsque la Commission européenne décide que le pays dispose d'un niveau adéquat de protection des données à caractère personnel, le transfert ne nécessite pas la prise de garanties supplémentaires. La liste complète des juridictions adéquates peut être consultée sur la page correspondante du site web de la Commission *européenne1
pour transférer des données à caractère personnel à nos sous-traitants ou partenaires (responsables du traitement des données ou responsables du contrôle) dans d'autres pays tiers, nous devons conclure des clauses contractuelles types avec cette partie. Le projet de version ainsi que les orientations peuvent être consultés sur la page correspondante du site web de la Commission *européenne2 ;
si nous avons une société affiliée ou une entité dans d'autres pays, nous pouvons choisir d'adopter des règles d'entreprise contraignantes conformément à l'article 47 du GDPR ou un code de conduite approuvé conformément à l'article 40 du GDPR ;
nous pouvons également transférer des données personnelles à des entités qui disposent d'une certification approuvée conformément à l'article 42 du GDPR, qui certifie un niveau approprié de protection des données de l'entreprise.
5.3.
Dans le cadre des obligations d'information, Cynoia doit informer les personnes concernées que leurs données à caractère personnel sont transférées vers d'autres pays et leur fournir des informations sur les garanties utilisées pour le transfert. L'obligation d'information doit être exécutée conformément au point 6.2.
5.4.
Dans les cas exceptionnels ("dérogation") où nous ne pouvons pas appliquer Cynoia Politique de protection des données personnelles 15 1er novembre 2023 les garanties susmentionnées et où nous devons transférer des données à caractère personnel, nous devons obtenir le consentement explicite (déclaration active) de la personne concernée ou le transfert doit être strictement nécessaire à l'exécution du contrat entre nous et la personne concernée, ou d'autres conditions de dérogation s'appliquent conformément à la législation sur la protection des données. Le responsable de la protection de la vie privée doit approuver au préalable tout transfert dérogatoire et documenter les dérogations approuvées, ainsi que les raisons pour lesquelles elles ont été approuvées.
1- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en ;
2- https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ;
6. Droits des personnes concernées
6.1. Nos responsabilités.
6.1.1.
Le responsable de la protection de la vie privée est responsable en dernier ressort du traitement de tous les DSR reçus par Cynoia. En cas de réception d'un RGPD en suspens ou inhabituel, l'employé doit demander conseil au responsable de la protection de la vie privée avant de prendre une quelconque mesure.
6.1.2.
Le service d'assistance technique de Cynoia est chargé de traiter quotidiennement les DSR des utilisateurs de Cynoia. Le département des ressources humaines est chargé de traiter les DSR des employés de Cynoia.
6.1.3.
Tous les RDS des utilisateurs doivent être adressés et traités à l'adresse électronique suivante : privacy@cynoia.com. Les DSR des employés peuvent être adressés directement au responsable des ressources humaines ou à l'adresse privacy@cynoia.com.
6.1.4.
L'employé responsable doit répondre au RGPD dans un délai d'un (1) mois à compter de la réception de la demande. Si la réponse au RGPD prend plus d'un mois, l'employé responsable doit demander conseil au responsable de la protection de la vie privée et, le cas échéant, informer la personne concernée de la prolongation du délai de réponse pour une durée maximale de deux (2) mois supplémentaires.
6.1.5.
L'employé responsable doit analyser le RSD reçu en fonction des critères suivants :
Identification de la personne concernée. Avant d'examiner le contenu du RGPD, l'employé responsable doit s'assurer que la personne concernée est bien celle qu'elle prétend être. À cette fin, le lien entre les enregistrements de données à caractère personnel et la personne concernée doit être établi. Les méthodes suivantes doivent être utilisées à cette fin : vérification de l'adresse électronique de la personne concernée - en règle générale, l'adresse électronique doit être la même que celle dont dispose Cynoia pour l'utilisateur en question ; si l'adresse électronique diffère de l'enregistrement dans la base de données, le responsable de la protection de la vie privée doit être consulté, après quoi l'employé responsable peut demander des détails supplémentaires sur le compte pour l'identification, tels que la date de naissance, l'adresse postale et l'adresse électronique. Si la personne concernée ne s'est pas soumise à la vérification, le responsable de la protection de la vie privée doit refuser de donner suite à la demande et en informer la personne concernée sans retard injustifié, mais au plus tard dans un délai d'un (1) mois à compter de la réception de la demande.
Données personnelles. L'employé responsable doit vérifier si Cynoia a accès aux données personnelles demandées. Si Cynoia n'a pas les données personnelles sous son contrôle, l'employé responsable doit en Cynoia Politique de protection des données personnelles 17 1er novembre 2023 informer la personne concernée et, si possible, lui indiquer la marche à suivre pour accéder aux données en question ;
Contenu de la demande. En fonction du contenu du RGPD, l'employé responsable doit définir le type de demande et vérifier si elle remplit les conditions prescrites par la présente politique et les lois sur la protection des données. Les types de demandes et les conditions respectives pour chacune d'entre elles peuvent être consultés dans les sous-sections 6.3-6.9. Si la demande ne répond pas aux critères décrits, l'employé responsable doit refuser de se conformer au RGPD et informer la personne concernée des raisons de son refus ;
Gratuité. En règle générale, toutes les demandes des personnes concernées et l'exercice de leurs droits sont gratuits. Si l'employé responsable estime que la personne concernée exerce ses droits de manière excessive ou infondée (par exemple, dans le but de nuire aux activités commerciales de Cynoia ou de les interrompre), il doit demander l'avis du responsable de la protection de la vie privée et, après avoir reçu ce dernier, il peut soit facturer à la personne concernée des frais raisonnables, soit refuser de donner suite à la demande ;
Documentation. Lorsque Cynoia reçoit le RGPD, le responsable de la protection de la vie privée doit s'assurer que les données et l'heure, la personne concernée, le type de demande et la décision prise à son sujet sont bien documentés. En cas de refus de donner suite à la demande, les raisons du refus doivent également être documentées ;
Destinataires. Lorsqu'il traite le DSR, le responsable de la protection de la vie privée doit s'assurer que tous les destinataires concernés ont été informés que les mesures nécessaires ont été prises.
6.2. Le droit d'être informé
6.2.1.
Cynoia doit informer chaque personne concernée de la collecte et du traitement ultérieur des données à caractère personnel.
6.2.2.
Les informations à fournir sont les suivantes le nom et les coordonnées de Cynoia ; les finalités génériques et la base légale de la collecte et du traitement ultérieur des données ; les catégories de données à caractère personnel collectées ; les destinataires/catégories de destinataires ; les périodes de conservation ; les informations sur les droits des personnes concernées, y compris le droit de déposer une plainte auprès de l'autorité de contrôle compétente ; les conséquences des cas où les données sont nécessaires à l'exécution du contrat et où la personne concernée ne fournit pas les données requises ; les détails des garanties en cas de transfert de données à caractère personnel en dehors de l'EEE ; et toute source tierce de données à caractère personnel, sans spécification pour le cas particulier (sauf si nous recevons une demande directe de la part de la personne concernée).
6.2.3.
Les utilisateurs doivent être informés de la politique de confidentialité accessible sur le site web de Cynoia et fournie lors de l'enregistrement de l'utilisateur. Les employés et les sous-traitants doivent être informés par une déclaration autonome de confidentialité des employés, qui explique les détails décrits à la page 6.2.2 de manière ponctuelle, en décrivant les finalités et les activités particulières.
6.2.4.
Cynoia doit informer les personnes concernées du traitement des données, y compris de toute nouvelle activité de traitement introduite chez Cynoia dans le trimestre suivant :
Si des données à caractère personnel sont collectées directement auprès de la personne concernée, celle-ci doit être informée au moment où nous collectons des données à caractère personnel auprès de la personne concernée en lui montrant notre déclaration de confidentialité ;
Si les données à caractère personnel sont collectées auprès d'autres sources : (a) dans un délai d'un mois à compter de la collecte ; b) si les données à caractère personnel doivent être utilisées pour communiquer avec les personnes suivantes Cynoia Politique de protection des données personnelles 20 1er novembre 2023 la personne concernée, au plus tard lors de la première communication à cette personne ; ou c) si une communication à un autre destinataire est envisagée, au plus tard lors de la première communication des données à caractère personnel.
à la demande de la personne concernée ; et
dans un délai d'un (1) mois après toute modification de nos pratiques en matière de données à caractère personnel, tout changement du responsable du traitement des données à caractère personnel ou toute modification importante de nos déclarations de confidentialité.
6.3. Le droit d'accès à l'information.
6.3.1.
La personne concernée ne doit recevoir que les données à caractère personnel spécifiées dans la demande. Si la personne concernée demande l'accès à toutes les données à caractère personnel la concernant, l'employé doit d'abord demander conseil au responsable de la protection de la vie privée pour s'assurer que toutes les données à caractère personnel de la personne concernée sont répertoriées et fournies.
6.3.1.
La personne concernée a le droit
apprendre si nous traitons les données personnelles de la personne concernée ;
obtenir des informations sur les aspects du traitement, y compris des informations détaillées et spécifiques sur les finalités, les catégories de données à caractère personnel, les destinataires/catégories de destinataires, les périodes de conservation, les informations sur les droits des personnes, les détails des garanties pertinentes lorsque les données à caractère personnel sont transférées en dehors de l'EEE, et toute source tierce de données à caractère personnel ; et
obtenir, sur demande, une copie des données à caractère personnel faisant l'objet du traitement.
6.4. Le droit de vérifier les informations concernant la personne concernée et de demander leur rectification
Les informations que nous collectons peuvent être ou devenir inexactes ou obsolètes (par exemple, erreurs dans la nationalité, la date de naissance, les informations sur les dettes, les activités économiques). Si nous révélons que les données à caractère personnel sont inexactes ou si la personne concernée nous demande de le faire, nous devons veiller à corriger toutes les erreurs et à mettre à jour les informations pertinentes.
6.5. Le droit de restreindre le traitement.
6.5.1.
La limitation du traitement permet aux personnes concernées d'arrêter temporairement l'utilisation de leurs informations afin de prévenir les dommages éventuels causés par cette utilisation.
6.5.2.
Ce droit s'applique lorsque la personne concernée
conteste l'exactitude des données à caractère personnel ; Cynoia Politique de protection des données personnelles 21 1er novembre 2023
estime que nous traitons les données à caractère personnel de manière illégale ; et
s'oppose au traitement et souhaite que nous ne traitions pas les données à caractère personnel pendant que nous examinons la demande.
6.5.3.
En cas de réception de la demande de restriction, nous ne devons pas traiter les données à caractère personnel en question à d'autres fins que leur stockage ou à des fins de conformité légale jusqu'à ce que les circonstances de la restriction cessent d'exister.
6.6. Le droit de retirer son consentement.
Pour les activités nécessitant un consentement, la personne concernée peut révoquer son consentement à tout moment. Si la personne concernée révoque son consentement, nous devons enregistrer les modifications et ne pas traiter les données à caractère personnel. Cynoia Politique de protection des données personnelles 22 1er novembre 2023 Données à des fins de consentement. Le retrait du consentement n'affecte pas la légalité du traitement effectué avant le retrait.
6.7. Le droit de s'opposer au traitement
Pour les activités nécessitant un consentement, la personne concernée peut révoquer son consentement à tout moment. Si la personne concernée révoque son consentement, nous devons enregistrer les modifications et ne pas traiter les données à caractère personnel. Cynoia Politique de protection des données personnelles 22 1er novembre 2023 Données à des fins de consentement. Le retrait du consentement n'affecte pas la légalité du traitement effectué avant le retrait.
6.7.1.
Si nous traitons les informations dans le cadre de nos intérêts légitimes, par exemple pour des courriels de marketing direct ou à des fins de recherche marketing, la personne concernée peut s'opposer au traitement.
6.7.2.
Si nous recevons un dossier de demande d'opposition, nous devons examiner la demande de la personne concernée et, si nous n'avons pas d'intérêts impérieux, cesser le traitement pour les finalités spécifiées. Si les données à caractère personnel doivent encore être traitées à d'autres fins, le responsable de la protection de la vie privée doit s'assurer que la base de données comporte un enregistrement indiquant que les données ne peuvent plus être traitées pour les activités pour lesquelles une objection a été formulée.
6.7.3.
La demande d'opposition ne peut être refusée que si les données personnelles en question sont utilisées à des fins de recherche scientifique/historique ou à des fins statistiques et qu'elles ont été protégées de manière appropriée, c'està-dire par des techniques d'anonymisation ou de pseudonymisation.
6.8. Droit à l'effacement/à l'oubli.
La demande d'opposition ne peut être refusée que si les données personnelles en question sont utilisées à des fins de recherche scientifique/historique ou à des fins statistiques et qu'elles ont été protégées de manière appropriée, c'està-dire par des techniques d'anonymisation ou de pseudonymisation.
6.8.1.
Les personnes concernées ont le droit de nous demander d'effacer leurs données personnelles si l'une des conditions suivantes est remplie :
Les données personnelles ne sont plus nécessaires aux fins de la collecte. Par exemple, un utilisateur a fourni des données à caractère personnel pour une activité ponctuelle, telle que la validation de données ou la participation à un concours, et l'objectif est déjà atteint ;
la personne concernée révoque son consentement ou s'oppose au traitement (le cas échéant) et il n'existe pas d'autre motif légal pour le traitement ; ou
nous traitons les données personnelles de manière illégale ou leur effacement est requis par la législation applicable de l'Union européenne ou de l'un des pays membres de l'Union européenne.
6.8.2.
Conditions dans lesquelles nous avons le droit de refuser l'effacement :
Les données à caractère personnel sont traitées à des fins de recherche scientifique/historique ou à des fins statistiques et sont protégées de manière appropriée, c'est-à-dire qu'elles sont pseudonymisées ou anonymisées ;
Les données à caractère personnel restent nécessaires pour le respect de la loi (par exemple, le respect du droit financier ou du droit du travail).