Easa

Politique de protection des données à caractère personnel

Préambule

EASA France est tenue de traiter les données personnelles pertinentes concernant les membres du personnel, les fournisseurs et les clients dans le cadre de son organisation et prendra les mesures raisonnables pour le faire conformément à cette politique.

 Politique et responsabilités en matière de sécurité dans l’entreprise

La société, dans la mesure où cela est raisonnablement possible, doit se conformer aux principes du Règlement Général sur la Protection des Données (RGPD) afin de s’assurer que toutes les données :

Soient traités équitablement et légalement

Soient traitées à des fins licites

Soient adéquates, pertinentes et non-excessives

Soient précises et à jour

Ne soient pas conservées plus longtemps que nécessaire

Soient traitées conformément aux droits des personnes concernées

Soient sécurisées

Ne soient pas transférées dans d’autres pays sans protection adéquate

 Définitions

“La société“ : Easability Showers Ltd commercialisant ses produits sous Easa Group Ltd

“Personne concernée“ : un individu faisant l’objet d’un traitement de ses données personnelles

 Données personnelles

Les données à caractère personnel couvrent à la fois les faits et les opinions d’un individu lorsque ces données identifient une personne. Par exemple, elles comprennent les renseignements nécessaires à l’emploi comme le nom et l’adresse du membre du personnel et les détails concernant le paiement du salaire ou des dossiers de présence. Les données personnelles peuvent également inclure des données personnelles sensibles telles que définies dans le RGPD (Règlement Général sur la Protection des Données).

 Traitement des données personnelles

Le consentement peut être requis pour le traitement des données à caractère personnel, à moins que le traitement ne soit nécessaire pour l’exécution du contrat de travail. Toute information qui relève de la définition de données à caractère personnel et ne faisant pas l’objet d’une exemption restera confidentielle et ne sera divulguée à des tiers qu’avec le consentement approprié.

La société traite des données personnelles pour le marketing direct et à des fins de financement, les personnes concernées ont le droit de demander un renoncement à ces activités, qui doivent alors être respectées.

 Données personnelles sensibles

La société peut, de temps à autre, être tenue de traiter des données personnelles sensibles. Les données personnelles sensibles comprennent les données relatives à l’information médicale, au sexe, à la religion, à la race, à l’orientation sexuelle, à l’appartenance syndicale et au casier judiciaire et procédures.

 Droits d’accès à l’information

Les personnes concernées ont le droit d’accéder aux informations détenues par la société, sous réserve des dispositions du RGPD et de la Loi sur la liberté d’information 2000. Toute personne concernée qui souhaite accéder à ses données personnelles doit présenter sa demande par écrit au directeur commercial. La compagnie s’efforcera de répondre à ces demandes écrites dès que cela est convenablement possible et en tout état de cause, dans les 40 jours pour l’accès aux dossiers et 21 jours pour fournir une réponse à une demande d’accès à l’information. L’information sera transmise à la personne concernée dès qu’il en sera convenablement possible après qu’elle ait été portée à l’attention de l’entreprise et en conformité avec les dispositions des lois.

 Exemptions

Certaines données sont exemptées des dispositions du RGPD comme par exemple :

Données concernant la Sécurité nationale et prévention ou détection de la criminalité

Données concernant les cotisations d’impôt

Données effectuées lorsque leur traitement est nécessaire pour exercer un droit ou une obligation conférés ou imposés par la Loi à la société, y compris la sauvegarde et la prévention du terrorisme et de la radicalisation.

Les exemples ci-dessus ne sont que quelques-unes des exceptions prévues par la Loi. Toutes informations complémentaires sur les exemptions pourront être demandées à la Commission Nationale de l’Informatique et des Libertés (CNIL).

 Précision

La société s’efforcera de s’assurer que l’ensemble des données personnelles traitées soient exactes. Les personnes concernées devront notifier au processeur des données toute modification apportée à l’information qui les concerne. Les personnes concernées ont le droit, dans certaines circonstances, de demander que des informations inexactes à leur sujet soient effacées.

 Application de la loi

Si une personne pense que la société n’a pas respecté la présente politique ou a agi autrement que conformément au RGPD, le membre du personnel pourra alors utiliser la procédure de grief de la société et pourra également en aviser la CNIL.

 Sécurité des données

La société prendra les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles.

L’ensemble du personnel sera informé de cette politique et de leurs fonctions dans le cadre du RGPD.

La société et, par conséquent, tout le personnel sont tenus de respecter les données personnelles et la vie privée d’autrui et doivent s’assurer que les mesures de protection et de sécurité appropriées sont prises contre le traitement illégal ou non autorisé des données à caractère personnel, et contre la perte accidentelle ou des dommages causés à toutes les données personnelles.

Un niveau approprié de sécurité des données doit être déployé pour le type de données et le traitement des données en cours d’exécution. Dans la plupart des cas, les données personnelles doivent être stockées dans des systèmes appropriés et cryptées lorsqu’elles sont transportées hors site. D’autres données personnelles peuvent être destinées à la publication ou à une publication limitée au sein de l’entreprise, ce qui nécessite une plus faible sécurité des données.

 Processeurs externes

La société doit s’assurer que les données traitées par les sous-traitant externes, par exemple, les fournisseurs de services, les services Cloud y compris le stockage, les sites Web, etc., sont conformes à la présente politique et à la législation pertinente. Toutes les données transmises ne seront effectuées qu’avec le consentement de la personne concernée.

 Destruction sécurisée des données

Lorsque les données détenues conformément à cette politique sont détruites, elles doivent être détruites en toute sécurité conformément aux meilleures pratiques au moment de la destruction.

 Conservation des données

La société peut conserver des données pour des périodes et raisons différentes comme exigé par la loi ou pour de meilleures pratiques, les services incorporent ces temps de rétention dans les processus et les manuels. D’autres obligations légales, procédures légales et demandes de renseignements peuvent également nécessiter la conservation de certaines données.

La société peut stocker des données telles que des registres, des photographies, des réalisations indéfiniment dans ses archives.

 Caméra de surveillance

La société possède et exploite un réseau de vidéosurveillance aux fins de la prévention et de la détection du crime et de la protection.

Lorsqu’une personne concernée peut être identifiée, les images doivent être traitées comme des données personnelles. Ces données sont conservées pendant 10 semaines maximum, à moins qu’elles ne soient requises à des fins différentes.

 Mesures techniques et organisationnelles

Des mesures techniques et organisationnelles appropriées sont prises contre le traitement non autorisé et illégal des données à caractère personnel et contre la perte ou la destruction accidentelle ou la détérioration de données à caractère personnel.

 Droit à la suppression

Les personnes concernées ont le droit de demander la suppression de leurs données à caractère personnel pour empêcher le traitement dans des circonstances spécifiques telles que si les données ne sont plus nécessaires, qu’elles retirent leur consentement, qu’il n’y a pas de motif légitime de traitement, qu’elles ont été traitées illégalement ou que les données doivent être effacées pour se conformer aux obligations légales. EASA fera tout son possible pour que le sous-traitant externe qui détient les données transférées se conforme à une demande de suppression. Ces demandes peuvent être refusées si la société a besoin de se conformer à des obligations légales, à des fins de santé publique par exemple.