Politique de confidentialité

Objectifs

La présente politique, validée par le Comité de Direction, définit les règles de protection que ALPCARE doit mettre en œuvre pour traiter les données personnelles. La politique comprend l’ensemble des principes qui visent à garantir la mise en œuvre de traitements de données personnelles licites, loyaux et transparents. Elle établit des règles de gouvernance qui précisent les rôles et responsabilités des acteurs de la protection des données personnelles. Il est demandé à chaque collaborateur, ainsi qu’à toute personne ou entité extérieure qui réalise des traitements de données personnelles d’adopter un comportement conforme aux principes définis ci-après.

Termes et définition

« RGPD » : Règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27/04/2016 relatif à la protection des personnes physiques à l’égard du traitement de leurs données personnelles et à la libre circulation de ces données, abrogeant la Directive 95/46/CE, publié le 04/05/2016 au Journal Officiel de l’Union. « Donnée personnelle » : désigne toute information relative à une personne physique identifiée ou identifiable, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. « Traitement de données personnelles » : désigne toute opération appliquée à des données personnelles, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l’interconnexion, la limitation, l’effacement ou la destruction. « Responsable de traitement » : désigne la personne physique ou morale, le service ou l’organisme qui, seul ou conjointement avec d’autres, détermine la finalité ou les moyens du traitement. « Sous-traitant » : désigne toute personne, physique ou morale, qui traite les données personnelles pour le compte d’un collaborateur de ALPCARE.

Champ d’application

Entités, collaborateurs et sous-traitants soumis à la Politique

La présente politique s’applique aux parties prenantes de ALPCARE exerçant leurs activités sur le territoire national et international. La présente Politique s’applique à tous les collaborateurs, même occasionnels et à tous les sous-traitants (data processors), au sens du RGPD, qui traitent des données personnelles.

Données personnelles et traitements concernés par la politique

La politique vise les données personnelles présentes sur tout support papier ou dématérialisé, qui sont hébergées ou traitées notamment : sur tout support informatique : serveur dans un data center ou dans le cloud, un poste de travail ou un smartphone ; via des applicatifs, bases de données ou entrepôts de données ; via des portails exposés sur internet ou sur l’intranet ; via des objets communicants ou smart grids ainsi que les projets de digitalisation. La politique s’applique à tous les traitements qui portent sur les données personnelles des collaborateurs, clients, fournisseurs ou partenaires collectées, utilisées ou transférées par les collaborateurs de ALPCARE.

Pilotage & Gouvernance

Chaque collaborateur doit se conformer à la présente politique. Le DPO s’assure de la diffusion de la politique au sein de l’entreprise et des équipes. Il est garant de sa mise en œuvre. Le DPO met en place une gouvernance visant à décliner les mesures organisationnelles prévues par le RGPD et à permettre un déploiement efficace de la dite politique.

Informer et sensibiliser, diffuser une culture « Informatique et Libertés » :

Le Délégué à la protection des données : – mène ou pilote, de façon maîtrisée, des actions visant à sensibiliser la direction, les collaborateurs – dont le personnel participant aux opérations de traitement – aux règles à respecter en matière de protection des données à caractère personnel ; – fait en sorte de présenter les efforts de mise en conformité comme productifs et positifs, et non comme seulement des contraintes ; – s’assure que les personnes concernées sont informées des traitements opérés impliquant leurs données personnelles, ainsi que de leurs droits.

Veiller au respect du cadre légal :

Le Délégué à la protection des données veille en toute indépendance au respect du Règlement tunisien, européen (RGPD), d’autres dispositions du droit de l’Union ou du droit des États membres et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités. Ses analyses et conseils s’étendent aux sous-traitants et prestataires prenant part aux traitements décidés par le responsable de traitement. Le DPO porte conseil auprès des équipes métiers concernées et, si besoin, auprès du Responsable de traitement, et émet des avis et recommandations motivés et documentés. Pour mener à bien ses tâches, le Délégué à la protection des données se fait communiquer par le Responsable de traitement l’ensemble des informations nécessaires et dispose des moyens adéquats. Le Délégué à la protection des données est, notamment, étroitement associé aux sujets suivants : EIVP (Étude d’impacts sur la vie privée) ; «Privacy by Design» (prise en compte des impacts sur la vie privée dès la conception) ; Notification des violations de données et communication aux personnes concernées. Il est obligatoirement consulté avant la mise en œuvre d’un nouveau traitement ou la modification substantielle d’un traitement en cours et peut faire toute recommandation au Responsable de traitement.

Informer et responsabiliser, alerter si besoin, son responsable de traitement :

Le Délégué à la protection des données informe sans délai le responsable de traitement de tout risque que les initiatives des opérationnels ou le non-respect de ses recommandations feraient courir à l’organisme et à ses dirigeants. À cette fin, il peut faire toute recommandation au Responsable des traitements et présenter des demandes d’arbitrage (il appartient au responsable de traitement de prendre la responsabilité de mettre en œuvre un traitement malgré les recommandations du DPO) Le professionnel veille à formaliser une procédure pour informer directement le Responsable de traitement d’une non-conformité majeure.

Analyser, investiguer, auditer, contrôler :

Le Délégué à la protection des données mène, fait mener ou pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité de l’organisme, de mettre en évidence les éventuelles non-conformités (gravité, impacts possibles pour les personnes concernées, origine, responsabilité, etc.), de vérifier le respect du cadre légal ou la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.

Établir et maintenir une documentation au titre de « l’Accountability » :

Le Délégué à la protection des données établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle.

Assurer la médiation avec les personnes concernées :

Le Délégué à la protection des données reçoit les réclamations des personnes concernées par les traitements pour lesquels il a été désigné et veille au respect du droit des personnes. Il traite ces réclamations et plaintes avec impartialité, ou met en œuvre les procédures propres à assurer leur bon traitement.

Interagir avec l’autorité de contrôle :

Le Délégué à la protection des données est le point de contact privilégié de l’autorité de contrôle, avec laquelle il communique en toute indépendance sur les questions relatives aux traitements mis en œuvre par l’organisme qui l’a désigné, y compris la consultation préalable visée à l’article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.

Principes de protection énoncés par le RGPD

Principe de responsabilité (Accountability)

En vertu du principe de responsabilité prévu par le RGPD, ALPCARE s’engage à : être en mesure de documenter à tout moment la manière dont elle assure la protection des données personnelles ; mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de pouvoir démontrer que chaque traitement de données personnelles est conforme au RGPD et à la législation nationale et international applicable. En pratique, ce principe est mis en oeuvre au travers des mesures suivantes : désignation d’un DPO, lorsque cette désignation est rendue obligatoire en vertu du RGPD ou de la réglementation applicable ; tenue d’un registre interne des traitements de données personnelles reprenant la cartographie des traitements effectués par les collaborateurs ; analyses d’impact relatives à la protection des données personnelles, dans les cas obligatoires prévus par le RGPD ; protection des données personnelles dès la conception de tout nouveau projet concerné ; mise en oeuvre par les collaborateurs de procédures appropriées, en cas de risques générés par les traitements de données personnelles liés à leurs activités.

Finalités déterminées, explicites et légitimes

Les données personnelles doivent être traitées de manière licite, loyale et transparente. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec les finalités d’origine. Chaque collaborateur doit porter une attention particulière au traitement des catégories particulières de données personnelles (données sensibles) qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou biométriques, les données concernant la santé, la vie ou l’orientation d’une personne. Chaque collaborateur ne pourra traiter ce type de données personnelles qu’avec le consentement explicite de la personne concernée ou dans les cas expressément autorisés par les législations et le RGPD.

Pertinence, proportionnalité et minimisation des données personnelles collectées

Les données personnelles traitées par les collaborateurs doivent être exactes, pertinentes et limitées aux finalités pour lesquelles elles sont collectées.

Licéité du traitement de données personnelles

Chaque collaborateur demeure garant de la licéité des traitements de données personnelles qu’elle réalise. Un traitement de données personnelles licite, au sens du RGPD, doit répondre à l’un des fondements suivants : respect d’une obligation légale à laquelle ALPCARE  est soumise ; exécution d’un contrat auquel la personne concernée est partie ; intérêts légitimes poursuivis par ALPCARE, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée ; consentement exprès de la personne concernée pour une ou plusieurs finalités spécifiques, dans les cas prévus par le RGPD. transparence et droit à l’information Le DPO doit veiller à informer les personnes concernées par les traitements de données personnelles, au moyen des mentions exigées par le RGPD, sur tout support permettant une communication concise, transparente, intelligible et aisément accessible. Lorsque la collecte est effectuée directement auprès de la personne concernée, l’information doit intervenir au moment où les données personnelles sont obtenues. Lorsque la collecte est effectuée de manière indirecte, l’information des personnes doit être effectuée dans un délai raisonnable ne dépassant pas un mois à compter de la collecte et, dans tous les cas, au plus tard lors de la première communication avec la personne concernée ou avant toute communication à un tiers.

Droit d’accès, de rectification, de limitation, d’effacement et d’opposition

Les personnes concernées par les traitements de données personnelles disposent d’un droit d’accès, de rectification, de limitation des données personnelles qui les concernent, d’un droit à l’effacement des données personnelles (droit à l’oubli), d’un droit d’opposition au traitement et d’un droit à la portabilité de leurs données personnelles, dans les conditions prévues par le RGPD. Elles peuvent exercer ces droits à tout moment. Les modalités de réponse à l’exercice de ces droits sont précisées par le DPO. Chaque collaborateur doit s’assurer que les personnes concernées par ses traitements de données personnelles sont effectivement en mesure d’exercer leurs droits.

Classification, niveau de confidentialité et sécurité des Données personnelles

Les données personnelles sont classées conformément à la « Politique de classification de l’information de ALPCARE», qui est disponible sur l’intranet de ALPCARE. Les documents contenant des données personnelles courantes sont à classer au niveau « interne ». Les documents contenant des catégories particulières de données personnelles (données sensibles), sont à classer au niveau « confidentiel ». En outre, chaque collaborateur doit prendre les mesures nécessaires en fonction de la nature des données personnelles, du contexte et des finalités du traitement de données personnelles, de façon à garantir un niveau de sécurité adapté aux risques identifiés. Le niveau de sécurité doit permettre de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles et de limiter tout risque de destruction, de perte, d’altération, de divulgation et d’accès non autorisé aux données personnelles. Les données personnelles traitées doivent être protégées conformément aux directives sécurité et à la politique de control d’accès, consultables sur l’intranet de ALPCARE.

Intégration de la protection des données personnelles dans la gestion des projets

La protection des données personnelles doit être intégrée dans la gestion des projets et, dès leur conception, pour les nouveaux services.

Analyse d’impact relative à la protection des données personnelles

Le responsable de traitement procède à une analyse d’impact relative à la protection des données personnelles avant la mise en œuvre de tout nouveau traitement de données personnelles, lorsque les critères prévus par le RGPD sont réunis, en particulier en cas de traitements à grande échelle de catégories particulières de données personnelles (données sensibles) ou de recours à de nouvelles technologies.

Relations avec les sous-traitants

Les collaborateurs au sein de ALPCARE qui confient la collecte, l’utilisation ou le traitement de données personnelles à des sous-traitants, au sens du RGPD, demeurent responsables de la protection de ces données. Ces collaborateurs doivent veiller à ce que les sous-traitants offrent des garanties suffisantes au regard de la présente Politique et du RGPD. Tout contrat conclu avec chaque sous-traitant doit définir ses obligations, y compris les mesures de sécurité et de confidentialité, conformément aux exigences du RGPD.

Durée de conservation limitée

Il incombe à chaque collaborateur au sein de ALPCARE de ne pas conserver les données personnelles traitées au-delà de la durée nécessaire au regard des finalités pour lesquelles ces données sont traitées, dans le respect de chaque la législation applicable. Lorsque les données personnelles ne sont plus nécessaires aux finalités légitimant leur traitement, elles doivent être effacées ou rendues anonymes.

Mise en œuvre opérationnelle

Le DPO, la Direction des Systèmes d’Information et le Responsable Sécurité des Systèmes d’Information assistent les collaborateurs de ALPCARE dans la mise en œuvre de la politique. Les actions suivantes sont mises en œuvre afin d’atteindre ses objectifs :

Sensibilisation et formation

Le DPO doit s’assurer que les collaborateurs ont les connaissances suffisantes pour remplir leurs obligations au titre du RGPD et de la réglementation applicable, en fonction de leur degré d’implication dans les traitements de données personnelles. Compte-tenu des enjeux associés à la protection des données personnelles, l’ensemble du personnel concerné participe aux actions de sensibilisation organisées par le DPO.

Mise à disposition de procédures et livrables

La Politique est déployée par l’intermédiaire de méthodologies, procédures, sensibilisations adaptées aux spécificités des réglementations applicables. ALPCARE publie régulièrement des guides thématiques destinés à diffuser les bonnes pratiques et à permettre la déclinaison opérationnelle des objectifs visés par le RGPD.

Traçabilité des événements de sécurité

Conformément aux règles de sécurité de ALPCARE, une traçabilité automatisée des événements de sécurité est mise en place. Le DPO peut décider des événements à tracer, en fonction du contexte, des supports (tels que postes de travail, équipements de réseau, serveurs), des risques et des exigences de chaque législation applicable.

Gestion des incidents de sécurité et des violations de données personnelles

Le DPO, met en place une procédure de remontée des incidents de sécurité et de gestion des violations de données personnelles, y compris pour la gestion de crise, en conformité avec le RGPD et les réglementations applicables. Le DPO est informé sans délai de toute violation de données personnelles, au sens du RGPD. Si la violation ainsi constatée est susceptible de porter sérieusement atteinte aux droits et libertés des personnes concernées, le DPO avise l’autorité de contrôle compétente (et, si nécessaire, les personnes concernées) dans les meilleurs délais (si possible, 72 heures après en avoir pris connaissance).

Examen de conformité, contrôles, audits et sanctions

Les mesures techniques et organisationnelles de mise en conformité des traitements de données personnelles sont testées, analysées et évaluées, afin de vérifier leur efficacité. Des contrôles internes de conformité au RGPD, aux réglementations locales et à la politique sont réalisés régulièrement. Les sous-traitants doivent communiquer les informations nécessaires à la démonstration du respect des obligations légales. La réalisation effective des contrôles internes peut, si nécessaire, faire l’objet de revues par le responsable sécurité, avec l’appui éventuel de la DSI de ALPCARE. Les résultats de ces contrôles peuvent être communiqués aux personnes concernées et au « CODIR ». Ils peuvent être mis à disposition de l’autorité de contrôle compétente, conformément au RGPD. Les mesures correctives adoptées en cas d’insuffisances constatées lors de l’examen de conformité sont documentées et mises à jour régulièrement. ALPCARE supporte directement les sanctions susceptibles de découler du non-respect du RGPD et des réglementations applicables, du fait de ses traitements de données personnelles.