Politique de confidentialité
I. MISSION ET OBJECTIF
II. PORTÉE
III. DÉFINITIONS
- « Filiale » désigne toute entité partiellement ou totalement contrôlée par, contrôlant ou sous contrôle commun de l'entité concernée.
- « Lois applicables » désigne le RGPD et toute autre loi nationale mettant en application le RGPD dans les pays de l'EEE.
- « Prise de décision automatisée » se rapporte au processus de prise de décision basé uniquement sur le traitement automatisé, notamment le profilage, des Données à caractère personnel, produisant des effets juridiques à l'égard d'une Personne concernée.
- « Responsable du traitement » désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme qui, seul ou conjointement, détermine la ou les finalités et moyens du traitement des Données à caractère personnel.
- « Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle des Données à caractère personnel se rapportent. Une personne identifiable peut être identifiée, directement ou indirectement, notamment par des éléments comme un nom, un numéro d'identification, une adresse ou un identifiant en ligne, ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « EEE » désigne l'Espace Économique Européen qui rassemble tous les États membres de l'Union européenne en plus de l'Islande, du Liechtenstein et de la Norvège.
- « Date d'entrée en vigueur » correspond au 25 mai 2018.
- « Employés » désigne les employés à temps plein ou partiel, intérimaires, réintégrés, réembauchés, retraités ou anciens employés, ainsi que les stagiaires et les apprentis.
- « Établissement » suppose l'exercice effectif et réel d'une activité dans le cadre d'arrangements stables ; la forme juridique de ces arrangements, qu'il s'agisse d'une succursale ou d'une filiale dotée de la personnalité juridique, ne doit pas constituer un facteur déterminant.
- « UE » désigne l'Union européenne.
- « RGPD » (Règlement général sur la protection des données) désigne le règlement (UE) 2016/679 du Parlement et du Conseil européens du 27 avril 2016 concernant la protection des personnes physiques en matière de traitement des Données à caractère personnel et la libre circulation de ces données, abrogeant la directive 95/46/CE.
- « Donnée à caractère personnel » désigne toute information relative à une Personne concernée. Ces données incluent les catégories particulières de Données à caractère personnel.
- « Politique » désigne la présente Politique de confidentialité.
- « Responsable de la confidentialité » désigne la personne mentionnée dans la Section XII ci-dessous.
- « Profilage » désigne toute forme de traitement automatique des Données à caractère personnel qui consiste en l'utilisation de ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prévoir les aspects concernant les performances de cette personne au travail, sa situation économique, sa santé, ses préférences personnelles, ses centres d’intérêt, sa fiabilité, son comportement, sa localisation ou ses mouvements.
- « Traitement » désigne toute opération ou ensemble d'opérations effectuées avec ou sans l'aide de traitements automatisés relatifs aux Données à caractère personnel, tels que la collecte, l’enregistrement, l’organisation, la structure, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la communication par transmission, diffusion ou mise à disposition, le rapprochement ou l’association, la limitation, l’effacement ou la destruction.
- « Violation de Données à caractère personnel » désigne une violation de la sécurité entraînant la destruction fortuite ou illicite, la perte, la modification, la divulgation ou l’accès non autorisé aux Données à caractère personnel qui ont été transmises, stockées ou autrement traitées par les systèmes d'une entité.
- Les « catégories particulières de Données à caractère personnel » comprennent les Données à caractère personnel relatives à l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ainsi que les données génériques, les données biométriques permettant d'identifier une personne physique de manière unique et les données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne.
- « Le groupe Superior Essex », « nous », « notre » ou « nos » désigne Superior Essex Inc., une société basée dans le Delaware et immatriculée auprès de la Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808, ; Essex Group, Inc., une société basée dans le Michigan et immatriculée auprès de CSC-Lawyers Incorporating Service (Company), 601 Abbot Road, East Lansing, MI 48823 ; Superior Essex International LP, une société en commandite simple basée dans le Delaware et immatriculée auprès de la Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808 ; ainsi que leurs filiales respectives.
IV. PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNÉES
- Nous traitons les Données à caractère personnel de manière licite, loyale et transparente à l'égard des Personnes concernées (cf. « Principe de légalité, de loyauté et de transparence » ci-après) ;
- Nous collectons les Données à caractère personnel à des fins spécifiques, explicites et légitimes, et ne les traiterons pas de façon incompatible avec ces finalités (cf. « Principe de limitation de la finalité » ci-après) ;
- Nous veillons à ce que les Données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (cf. « Principe de limitation des données » ci-après) ;
- Nous veillons à ce que les Données à caractère personnel soient exactes et, le cas échéant, à jour. Des mesures raisonnables sont également prises pour corriger ou supprimer sans délai les Données à caractère personnel si celles-ci se révèlent inexactes (cf. « Principe d'exactitude » ci-après) ;
- Nous ne conservons pas les Données à caractère personnel sous une forme permettant l'identification des Personnes concernées sur une période plus longue que nécessaire, en lien avec la ou les finalités pour lesquelles ces données ont été collectées (cf. « Principe de limitation de la conservation » ci-après) ;
- Nous traitons les Données à caractère personnel conformément aux droits des Personnes concernées (cf. « Droit des Personnes concernées » ci-après) ; et
- Nous veillons à ce que les mesures techniques, organisationnelles et de sécurité appropriées soient mises en place pour protéger les Données à caractère personnel lors de leur traitement. Cela inclut la protection contre les traitements non autorisés ou illégaux, ainsi que les pertes, les destructions ou les dommages accidentels (cf. « Principes d'intégrité, de confidentialité et de sécurité » ci-après).
A. Le principe de limitation de la finalité
Dans le cadre de nos activités, nous collectons et traitons différents types de Données à caractère personnel provenant de plusieurs catégories de Personnes concernées, et ce à des fins diverses. Les fins spécifiques, explicites et légitimes de ces données sont communiquées à l'avance et sont consignées dans nos Registres des activités de traitement (voir Section VIII). Sauf exception applicable, les Personnes concernées sont tenues informées de ces fins lorsqu'il leur est demandé pour la première fois de fournir des Données à caractère personnel ou dès que possible par la suite (voir la sous-section B suivante).
Les Données à caractère personnel ne font l’objet d’aucun traitement qui soit incompatible avec les fins pour lesquelles elles ont été collectées, sauf si les lois applicables le permettent.
Si vous avez l'intention d'utiliser des Données à caractère personnel dans un but autre que celui pour lequel elles ont été collectées, veuillez contacter le Responsable de la confidentialité avant de commencer à les traiter.
B. Les principes de légalité, de loyauté et de transparence
- Nous ne traitons les Données à caractère personnel que sur la base de l'un des fondements juridiques listés dans les lois applicables. Les fondements juridiques sur lesquels nous nous appuyons pour traiter les Données à caractère personnel incluent, sans toutefois s'y limiter, les éléments suivants :
- La nécessité d'exécuter un contrat avec la Personne concernée ;
- La nécessité de respecter les obligations juridiques européennes auxquelles nous sommes soumis ;
- La nécessité de réaliser l'intérêt légitime poursuivi par le Responsable du traitement, en l'occurrence nous, ou par un tiers ; et/ou
- Le consentement des Personnes concernées.
- Nous souhaitons limiter le nombre de catégories particulières de Données à caractère personnel que nous traitons. Ainsi, si les lois applicables le permettent, nous ne traitons les catégories particulières de Données à caractère personnel que lorsque nous sommes légalement tenus de le faire ou lorsque nous disposons du consentement explicite des Personnes concernées.
- Les fondements juridiques appropriés seront identifiés à l'avance et consignés dans nos registres des activités de traitement (voir la Section VIII ci-dessous).
- L'identité et les coordonnées du ou des Responsable(s) du traitement représentant les entités du groupe Superior Essex ;
- Les différentes catégories de Données à caractère personnel que nous traitons ;
- Les raisons pour lesquelles nous traitons les Données à caractère personnel et les fondements juridiques qui nous autorisent à le faire ;
- Les destinataires auxquels les Données à caractère personnel sont communiquées ;
- Les cas où nous transférons les Données à caractère personnel en dehors de l'EEE (y compris le pays destinataire et les mécanismes de transfert utilisés) ;
- La période de conservation prévue pour les Données à caractère personnel ou, si ce n'est pas possible, les critères appliqués pour déterminer cette période ;
- Les droits dont disposent les Personnes concernées à l'égard du traitement de leurs Données à caractère personnel ;
- Si la mise à disposition de Données à caractère personnel est une exigence légale, contractuelle ou nécessaire à la signature d'un contrat, ainsi que les conséquences éventuelles du non-respect de ces exigences dans les cas où les Personnes concernées sont tenues de fournir des Données à caractère personnel ; et
- L'existence d'une prise de décision automatisée, y compris un profilage et, dans les cas requis par le RGPD, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la Personne concernée.
C. Le principe de limitation des données
D. Le principe d'exactitude
E. Le principe de limitation de la conservation
F. Les droits des Personnes concernées
- Droit d'accès : les Personnes concernées peuvent demander une copie des informations relatives à leurs Données à caractère personnel dont nous sommes responsables.
- Droit de rectification : les Personnes concernées peuvent demander la rectification de leurs Données à caractère personnel lorsque celles-ci sont inexactes ou incomplètes.
- Droit d'effacement : les Personnes concernées peuvent demander l'effacement de leurs Données à caractère personnel si ces dernières sont inexactes ou traitées de manière contraire aux finalités pour lesquelles elles ont été collectées.
- Droit à la portabilité des données : lorsque le traitement des Données à caractère personnel repose sur le fondement d'un contrat ou du consentement de la Personne concernée, cette dernière peut demander à recevoir une copie de ses données dans un format structuré, couramment utilisé et lisible par machine et, lorsque cela est techniquement possible, obtenir que ces données soient transférées à un tiers.
- Droit à la limitation du traitement : les Personnes concernées peuvent demander à limiter le traitement de leurs Données à caractère personnel.
- Droit d'opposition : les Personnes concernées peuvent contester ou s'opposer au traitement de leurs Données à caractère personnel.
- Droit de réclamation : les Personnes concernées peuvent adresser une réclamation auprès des autorités de contrôle européennes compétentes situées dans leur lieu de résidence ou de travail habituel, ou là où la violation présumée de leurs droits a eu lieu.
- Droit de refus ou de retrait de consentement : les Personnes concernées peuvent refuser de consentir au traitement de leurs Données à caractère personnel et ont la possibilité de retirer leur consentement à tout moment sans aucune conséquence négative.
- Droit de ne pas être soumis à des décisions résultant exclusivement d'un traitement automatisé : les Personnes concernées ont droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative, sauf exceptions prévues par le RGPD.
G. Les principes d'intégrité, de confidentialité et de sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles raisonnables pour protéger les Données à caractère personnel contre le traitement non autorisé ou illégal ainsi que la perte, la destruction ou les dommages accidentels.
Le cas échéant, ces mesures comprennent :
- La pseudonymisation et le cryptage des Données à caractère personnel ;
- La capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitements ;
- La capacité à rétablir la disponibilité et l'accès aux Données à caractère personnel en temps opportun en cas d'incident physique ou technique ;
- Un processus pour tester et évaluer régulièrement les mesures techniques et organisationnelles afin d'assurer la sécurité du traitement.
V. LA PROTECTION DES DONNÉES DÈS LA CONCEPTION ET PAR DÉFAUT
Nous déployons des efforts raisonnables, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, pour mettre en œuvre les mesures techniques et organisationnelles appropriées (comme la pseudonymisation) destinées à appliquer les principes relatifs à la protection des données stipulés dans la Section III de la présente Politique de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences des lois applicables.
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir, par défaut, que seules les Données à caractère personnel nécessaires au regard de la finalité du traitement soient collectées.
Certains traitements sont susceptibles d'entraver la vie privée, les droits et les libertés des Personnes concernées. Ainsi, lorsque les lois applicables nous l'imposent, nous menons une évaluation d'impact sur la protection des données pour évaluer l’impact des opérations de traitement envisagées sur la protection des Données à caractère personnel ; évaluer la nécessité et la proportionnalité des opérations de traitement au regard des finalités ; et évaluer les risques pour les droits et libertés des Personnes concernées ainsi que les mesures envisagées pour y remédier.
VI. DIVULGATION DE DONNÉES À CARACTÈRE PERSONNEL
A. Intragroupe
B. Tiers
VII. TRANSFERTS INTERNATIONAUX DE DONNÉES
A. Intragroupe
B. Tiers
VIII. REGISTRES DE TRAITEMENT
- Le nom et les coordonnées du Responsable du traitement ;
- Les finalités et les fondements juridiques du traitement ;
- Une description des catégories des Personnes concernées et des Données à caractère personnel ;
- Les catégories de destinataires auxquels les Données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou les organisations internationales ;
- Le mécanisme de transfert utilisé pour transférer les Données à caractère personnel à l'international ainsi que le pays ou l'organisation internationale destinataire ;
- Les délais prévus pour l'effacement des différentes catégories de Données à caractère personnel ; et
- Une description générale des mesures de sécurité techniques et organisationnelles mises en place pour protéger les Données à caractère personnel.