1. Objectifs et revue

1.1 Objectifs

Dans le cadre de ses activités, EDOKIAL est amenée à traiter des données à caractère personnel de ses collaborateurs pour ses besoins internes et de ses clients donneurs d’ordre et/ou de ses tiers fournisseurs, prestataires et autres co-contractants. Aussi, la protection des données à caractère personnel est au cœur des préoccupations d’EDOKIAL.

EDOKIAL a ainsi la volonté d’inscrire ses activités dans le respect des obligations relatives à la protection des données à caractère personnel et, à cet effet, s’engage à respecter les dispositions du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation des données, dit « Règlement Général sur la Protection des Données », en abrégé « RGPD ».

La présente Politique a pour objectif de s’assurer qu’EDOKIAL dispose d’un référentiel relatif à la protection des données personnelles. Le présent document constitue la Politique générale de protection des données personnelles d’EDOKIAL et s’inscrit dans le cadre de la Politique générale de sécurité d’EDOKIAL.

1.2 Revue de la Politique de Protection des données personnelles

La présente Politique est revue et validée annuellement par le Comité Exécutif ou, par délégation, par le Comité Processus ou toute autre instance déléguée. La Politique doit être facilement accessible et compréhensible aux salariés et aux tiers concernés, et pourra être adressée sur demande aux clients.

2. Définitions

Pour les besoins et la compréhension du présent document, les termes et définitions suivants (classés par ordre alphabétique) s’appliquent :

Autorité de protection des données : Désigne l’autorité publique indépendante en charge de la protection des données à caractère personnel dans chaque pays adéquat. Exemple : En France, il s’agit de la Commission Nationale de l’Informatique et des Libertés « CNIL ».

Donnée à caractère personnel : Désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (Article 4 du RGPD)

DPO : Data Protection Officer (en français, Délégué à la protection des données)

Pseudonymisation : Désigne un traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. (Article 4 du RGPD)

Responsable de traitement : Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre. (Article 4 du RGPD)

RGPD : Désigne le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation des données, dit « Règlement Général sur la Protection des Données », en abrégé « RGPD ».

RSSI : Responsable de la Sécurité des Systèmes d’Information

Sous-traitant : Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. (Article 4 du RGPD)

Traitement de données à caractère personnel : Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. (Article 4 du RGPD)

Violation de données à caractère personnel : Désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

3. Principes clés issus du RGPD

EDOKIAL s’engage à ce que le (ou les) traitement(s) effectué(s), que ce soit en sa qualité de Responsable de traitement ou en sa qualité de Sous-Traitant agissant pour le compte de ses clients, soit(soient) assuré(s) conformément aux dispositions de la présente Politique et dans le respect des exigences du Règlement Général sur la Protection des Données », en abrégé « RGPD », et notamment dans le respect des exigences suivantes :

3.1 Une utilisation légitime et proportionnée

EDOKIAL s’engage, lorsqu’elle est amenée à traiter des données, à le faire dans le cadre de finalité déterminée, explicite et légitime.

Pour chaque traitement, EDOKIAL s’engage à ne traiter que des données strictement nécessaires à l’objectif poursuivi, et ce, conformément au principe de minimisation des données imposé par l’article 5 du RGPD.

Pour cela, EDOKIAL s’engage à respecter les principes suivants :

  • Exactitude des données : toutes mesures devant être prises pour que des données inexactes eu égard aux finalités du traitement soient effacées ou rectifiées ;
  • Pertinence des données : des données adéquates et pertinentes ayant un lien direct avec la finalité déterminée
  • Proportionnalité des données : des données indispensables à la finalité du traitement déterminée.

Ci-dessous un éventail de quelques bonnes pratiques de la minimisation des données qu’EDOKIAL s’engage à suivre :

  • S’interroger sur la nature, la quantité et la précision des données collectées ;
  • Etudier la possibilité de mettre en place une solution alternative moins intrusive ;
  • Bannir toute collecte de données à titre préventif ;
  • Pseudonymiser les données chaque fois que nécessaire ;
  • Limiter les zones de commentaires libres et privilégier les menus déroulants ;
  • Etc. …

Lorsqu’EDOKIAL agit comme sous-traitant, elle doit s’assurer qu’elle ne traite les données que conformément aux instructions du responsable de traitement. Et, dans les cas où EDOKIAL estime qu’une instruction du Responsable du traitement enfreint les dispositions du RGPD ou d’autres dispositions en matière de protection des données de l’Union ou des États membres, elle en informe immédiatement le Responsable du traitement.

Références documentaires :
EDK_Modèle_Fiche déclaration données personnelles
Validation par le DPO du contenu renseigné sur les fiches de déclaration de données personnelles

3.2 Une collecte loyale et transparente

Dans un souci de transparence et conformément à la réglementation sur la protection des données à caractère personnel, EDOKIAL prend soin d’informer les personnes concernées quant à chaque traitement réalisé et à ses modalités de mise en œuvre, lorsqu’elle intervient en qualité de Responsable de traitement.

Cette information est donnée de façon concise, transparente, compréhensible et aisément accessible en termes clairs et simples. Ainsi, EDOKIAL informe les personnes concernées lors de chaque collecte de données à caractère personnel, notamment :

  • de l’identité et des coordonnées du responsable de traitement ;
  • des finalités du traitement pour lesquelles les données à caractère personnel sont collectées et la base juridique du traitement ;
  • du caractère facultatif ou obligatoire des réponses, et des conséquences éventuelles d’un défaut de réponse ;
  • des destinataires ou catégorie(s) de destinataires, des données collectées ;
  • de la durée de conservation des données traitées, ou des critères utilisés pour la déterminer;
  • de l’existence et des modalités d’exercice des droits d’accès, de rectification, d’opposition, d’effacement, de limitation et de portabilité ;
  • de l’existence d’un droit d’introduire une réclamation auprès de l’autorité de protection des données compétente ;
  • de l’identité et des coordonnées du Délégué à la protection des données du responsable de traitement ;
  • le cas échéant, des intérêts légitimes poursuivis lorsque le traitement est fondé sur cela ;
  • le cas échéant, de l’existence d’un transfert de données à caractère personnel envisagé à destination d’un État non membre de l’Union européenne, et les documents l’autorisant ;
  • le cas échéant, de l’existence d’une prise de décision automatisée, y compris le profilage ;
  • Etc….

Lorsqu’EDOKIAL agit comme sous-traitant, elle doit fournir au Responsable de traitement les informations pertinentes qui lui permettront de respecter sa propre obligation de transparence vis-à-vis des personnes concernées. A moins que le contrat conclu avec le Responsable de traitement n’en décide autrement, EDOKIAL agissant en tant que sous-traitant ne saurait être tenue par une obligation d’informer les personnes concernées. En outre, agissant en tant que sous-traitant des données, EDOKIAL mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations conformément à l’article 28-3 h) du RGPD.

Références documentaires :
PS08-02_EDK_Procédure RGPD_Information & Recueil du consentement
EDK_Modèle_Clause d’information immédiate_V1

3.3 Une protection particulière des données sensibles

Si dans le cadre de ses activités en sa qualité de Responsable de traitement, EDOKIAL met en place des traitements sur des catégories de données à caractère personnel sensibles au sens de l’article 9 du RGPD (par exemple des informations sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale, sa santé ou sa vie sexuelle), des mesures particulières de protection desdites données sont prises.

Lorsqu’EDOKIAL agit comme sous-traitant et est chargée de traiter des données sensibles pour le compte d’un Responsable de traitement, le Responsable de traitement reste seul responsable de définir les mesures de sécurité qu’il juge appropriées pour traiter les risques sous-jacents au traitement de données à caractère personnel sensibles.

Références documentaires :
PS08-02_EDK_Procédure RGPD_Information & Recueil du consentement
Procédure_Traitement des données sensibles (en cours de rédaction)Modèle_Recueil du consentement (en cours de rédaction)

3.4 Des accès aux données encadrés et sécurisés

Les données devant être protégées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la divulgation non autorisée, l’accès non autorisé de manière accidentelle ou illicite, EDOKIAL s’engage à assurer la sécurité des données qu’elle traite sur l’ensemble du cycle de vie de la donnée (à savoir : la collecte, l’exploitation, le stockage, le transfert et la destruction), en se fondant sur les trois principes suivants :

  • Confidentialité : toutes mesures sont prises pour que les données ne soient accessibles qu’aux personnes autorisées ;
  • Intégrité : toutes mesures sont prises pour assurer l’intégrité des données, lesquelles ne doivent pas être altérées ou modifiées ;
  • Disponibilité : toutes mesures sont prises pour que les données soient en permanence accessibles aux personnes autorisées.

Compte-tenu de l’état de ses connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités de traitement ainsi que des risques, EDOKIAL met en place diverses mesures physiques, logiques ou organisationnelles, qui peuvent être (liste non exhaustive):

  • des mesures de sécurisation de l’accès physiques aux locaux ;
  • des mesures de sécurisation des postes de travail et du réseau informatique ;
  • des mesures d’habilitation pour gérer l’accès aux données ;
  • des mesures de pseudonymisation et/ou de chiffrement des données ;
  • des mesures permettant d’assurer la traçabilité des accès aux données ;
  • des mesures permettant de sensibiliser les utilisateurs sur les conditions d’utilisation des données ;
  • etc….

Ces mesures se conforment :

  • aux exigences de la Politique Générale de sécurité d’EDOKIAL ;
  • aux exigences établies dans la Politique de Sécurité des Systèmes d’Information d’EDOKIAL (PSSI EDOKIAL) et ses déclinaisons, laquelle est basée sur une démarche par les risques conformément au cadre normatif ISO 27001 relatif au Système de Management de la Sécurité de l’Information « SMSI ».

Lorsqu’EDOKIAL agit comme sous-traitant, elle met en œuvre les mesures techniques et opérationnelles telles que définies d’un commun accord avec le Responsable de traitement, et aide le Responsable du traitement à respecter les obligations énoncées aux articles 32 à 36 du RGPD.

Références documentaires :
Politique Générale de sécurité d’EDOKIAL
Politique de Sécurité des Systèmes d’Information d’EDOKIAL
Clause de confidentialité dans les contrats de travail des collaborateurs, dans les contrats avec les prestataires externes

3.5 Une durée de conservation limitée

EDOKIAL conserve les données à caractère personnel qu’elle collecte uniquement pendant la durée nécessaire aux finalités du traitement et en accord avec la législation applicable.

La durée de conservation des données est définie :

  • Soit par EDOKIAL en tant que Responsable de traitement,
  • Soit par la loi
  • Soit par le Responsable de traitement si EDOKIAL agit en qualité de sous-traitant.

EDOKIAL définit la durée de conservation des données préalablement à la mise en place du ou des traitements qu’elle réalise. Ces durées sont mentionnées dans les fiches de déclaration des données personnelles tenues par EDOKIAL.

En dehors des cas pour lesquels il existe une contrainte d’archivage (à la demande du client, ou obligation légale), EDOKIAL s’engage à supprimer les données à caractère personnel.

Le bon respect des durées de conservation est vérifié périodiquement par le DPO, et/ou les référents RGPD désignés.

Lorsqu’EDOKIAL agit comme sous-traitant, elle met en œuvre les mesures techniques et opérationnelles permettant de respecter les durées de conservation des données déterminées et fournies par le Responsable de traitement.

Références documentaires :
EDK_Modèle_Fiche déclaration données personnelles_V1Procédure_Durée de conservation des données (en cours de rédaction)

3.6 Une protection des données dès la conception et par défaut

EDOKIAL s’engage à respecter les principes de protection des données à caractère personnel dès la conception (respect du principe de « Privacy by design ») et par défaut (respect du principe de « Privacy by default »), afin de déterminer les garanties et mesures de sécurité nécessaires et s’assurer que le traitement mis en œuvre réponde aux exigences du Règlement européen sur la protection des données à caractère personnel.

Cela signifie notamment que :

  • Dès leur conception, les produits, applications ou processus intègrent de façon effective les principes relatifs à la protection des données à caractère personnel ;
  • Par défaut, les produits, applications ou processus garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès et s’assurer que les données à caractère personnel traitées se limitent au minimum nécessaire pour le traitement (proportionnalité du traitement au regard des finalités).

Lorsqu’EDOKIAL agit comme sous-traitant, elle s’engage à assister le Responsable du traitement dans la mise en œuvre des mesures techniques et organisationnelles appropriées pour respecter les principes de protection des données dans la pratique telles que la protection des données par conception et par défaut.

Références documentaires :
Procédure_Privacy by design &Privacy by default (en cours de rédaction)

3.7 Un respect des droits des personnes concernées

EDOKIAL a mis en place les mesures nécessaires de manière à garantir une réponse rapide aux demandes formulées par les personnes concernées afin que celles-ci puissent exercer pleinement leur droits, notamment leur droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), sauf disposition contraire prévue par la loi en vigueur. Les droits susmentionnés peuvent être exercés par e-mail à l’adresse suivante : dpo@edokial.com ou par courrier à l’adresse suivante : EDOKIAL à l’attention du DPO – Causse Comtal 12340 BOZOULS.

EDOKIAL veille à traiter toute demande exercée par une personne concernée dans un délai d’un (1) mois maximum. Cette période peut être prolongée de deux (2) d’autres mois si nécessaire, en tenant compte de la complexité et du nombre des demandes.

Lorsqu’EDOKIAL agit comme sous-traitant et qu’elle reçoit une demande directement des personnes concernées souhaitant faire valoir leurs droits, elle en informe le Responsable de traitement dans les meilleurs délais. EDOKIAL fournira toute assistance raisonnable afin de permettre au Responsable de traitement de faire respecter les droits de la personne concernée.

Références documentaires :
PS08-02_EDK_Procédure RGPD_Information & Recueil du consentementPS08-03_EDK_Procédure RGPD_Exercice des droits des personnes concernées

3.8 Un suivi des traitements de données à caractère personnel et un suivi des violations de données à caractère personnel

3.8.1 Le suivi des traitements de données à caractère personnel

EDOKIAL s’engage à :

  • Tenir à jour un registre des traitements comportant des données à caractère personnel effectués en tant que responsable de traitement et en tant que sous-traitant ;
  • Tenir à jour une documentation interne complète sur ses traitements des données à caractère personnel ;
  • S’assurer que ces traitements respectent les obligations légales en matière de protection des données à caractère personnel.
Références documentaires :
REGISTRES_Traitement données personnelles EDOKIALProcédure_Rescensement des traitements des données (en cours de rédaction)

3.8.2 Le suivi des violations de données à caractère personnel

Lorsqu’une violation de sécurité concernant des données à caractère personnel se produit, elle peut être considérée comme une violation des données à caractère personnel.

Dans pareil cas et conformément aux dispositions du RGPD, EDOKIAL s’engage à respecter :

  • le principe de notification de la violation en question à l’autorité de contrôle compétente, dans les meilleurs délais et, si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ;
  • et, le cas échéant, le principe de communication à la personne concernée dans les meilleurs délais.

Ces notification et communication devront obéir aux règles définies dans la procédure interne y afférente.

Lorsqu’EDOKIAL agit comme sous-traitant, elle s’engage à informer le Responsable de traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données à caractère personnel, et apporte si nécessaire son aide au responsable de traitement.

Références documentaires :
PS08-04_EDK_Procédure RGPD_Violation de données à caractère personnelRegistre des violations de données personnelles

3.9 Une analyse d’impact relative à la protection des données à caractère personnel

EDOKIAL, lorsqu’elle a la qualité de Responsable du traitement des données, est responsable du suivi et de la démonstration de la conformité du traitement des données à la législation applicable en matière de protection des données. A ce titre, EDOKIAL est tenue de mettre en œuvre une procédure d’évaluation de l’impact (Privacy Impact Assessment – PIA) sur la vie privée des nouveaux traitements susceptibles d’engendrer un risque élevé sur la vie privée des personnes physiques.

Lorsqu’elle agit en tant que sous-traitant, l’obligation de conduire une PIA incombe au Responsable de traitement pour le compte duquel l’entité réalise le traitement.

Références documentaires :
Procédure_Réaliser un PIA (analyse d’impact) (en cours de rédaction)

3.10 Sous-traitance d’un traitement de données à caractère personnel

Dans les cas où EDOKIAL a recours à un prestataire (sous-traitant) chargé de réaliser un traitement de données à caractère personnel, elle s’assure que ledit sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

EDOKIAL s’engage à conclure un contrat écrit avec son sous-traitant en précisant les obligations et responsabilités de chacune des parties.

Références documentaires :
EDK_Modèle_Clause type Sous-traitance_RGPD
REGISTRES_Traitement données personnelles EDOKIALEDK_Modèle_Annexe RGPD-Description traitement

4. Gouvernance de la protection des données personnelles

4.1  Rôles et responsabilités

4.1.1 Le Directeur Général d’ÉDOKIAL

Le Directeur Général d’EDOKIAL est responsable de :

  • La validation de la Politique de Protection des Données Personnelles et sa revue annuelle (avec faculté de délégation au Comité Exécutif ou toute autre instance d’EDOKIAL) ;
  • La nomination du DPO ;
  • La nomination des Correspondants RGPD.

4.1.2 Le DPO (Data Protection Officer)

Le DPO d’EDOKIAL a pour responsabilité principale de veiller à ce qu’EDOKIAL respecte la présente Politique ainsi que la réglementation en vigueur en matière de protection des données et, est en charge de :

  • Définir la Politique générale de protection des données personnelles de la société, les procédures à respecter ainsi que les règles et contrôles à mettre en place pour assurer une protection efficace des données à caractère personnel des collaborateurs et des clients, fournisseurs et autres prestataires ;
  • Faire valider par la Direction Générale la Politique générale de protection des données personnelles de la société et les procédures ;
  • Informer et conseiller les Responsables de traitement et/ou les sous-traitants ainsi que l’ensemble des collaborateurs de la Société quant aux obligations découlant du RGPD et sur les règles à respecter en matière de protection des données personnelles ;
  • Mettre en place une organisation efficace afin de recenser l’ensemble des traitements réalisés, que ce soit en qualité de Responsable de traitement ou en qualité de Sous-traitant, au moyen de registres tenus régulièrement à jour ;
  • Mettre en place une organisation efficace afin de recenser les incidents de sécurité liés aux données personnelles ainsi que les violations de données à caractère personnel, et, le cas échéant permettant de notifier à l’autorité de contrôle compétente et/ou aux personnes concernées lesdites violations ;
  • Contrôler le respect et la bonne application des règles internes relatives à la protection des données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  • Dispenser des conseils, sur demande, en ce qui concerne les analyses d’impact (PIA) relatives à la protection des données et en vérifier l’exécution ;
  • Etre l’interlocuteur des personnes concernées (collaborateurs, clients et autres tiers) présentant des demandes relatives au traitement de leurs données personnelles, et à ce titre, piloter les réponses en concertation avec le RSSI et les services métiers ;
  • Coopérer avec l’autorité de contrôle et être l’interlocuteur privilégié de celle-ci sur les questions relatives aux traitements, y compris en cas de consultation préalable ;
  • Relayer et promouvoir les prescriptions de notre actionnaire, le groupe bancaire Crédit Agricole auquel la société EDOKIAL appartient, en matière de protection des données personnelles tout en les adaptant au contexte de la société EDOKIAL ;
  • Collaborer avec le DPO de notre actionnaire ;
  • Réaliser la veille adaptée en matière de protection des données ;
  • Assurer la communication des mises à jour de la présente Politique.
Références documentaires :
2021 04 21 – Designation DPO EDOKIAL_EBU

4.1.3 Le Correspondant RGPD (au sein de chaque service)

EDOKIAL a désigné des Correspondants RGPD qui sont chargés de contribuer à la bonne application de la présente Politique de protection des données personnelles. Selon le cas, un ou plusieurs correspondants RGPD sont désignés au sein de chaque Business Unit et de chaque Direction, pour agir en tant qu’interface entre le DPO et leur propre B.U. ou Direction, parce qu’ayant une bonne connaissance des pratiques métiers.

Le tableau récapitulatif de nomination des correspondants RGPD d’EDOKIAL est annexé à la PSSI ROLES & RESPONSABILITES EN MATIERE DE SECURITE DE L’INFORMATION.

Le rôle du correspondant RGPD consiste à :

  • Relayer les communications du DPO dans son périmètre : il est destinataire de toutes les informations importantes en provenance du DPO ;
  • Travailler en étroite collaboration avec le DPO pour appliquer les règles internes de protection des données, et aider le DPO dans ses missions par ses connaissances spécifiques sur les métiers ;
  • Assurer et contrôler dans son périmètre la bonne application des exigences de la Politique de protection des données personnelles et reporter les résultats de contrôle/audit au DPO ;
  • Etre l’interlocuteur au quotidien pour son périmètre de toutes les questions relevant de la protection des données personnelles, avec l’appui du DPO le cas échéant ;
  • Informer le DPO de toute mise en place et évolution d’un traitement de données à caractère personnel et, plus généralement, de tout projet comportant une dimension Données personnelles ;
  • Compléter et tenir à jour le registre des activités de traitement réalisées pour le compte des clients d’EDOKIAL ;
  • Informer le DPO des incidents de sécurité pouvant avoir un impact sur les données personnelles ;
  • Sensibiliser et accompagner les métiers sur les thèmes de la protection des données à caractère personnel.
Références documentaires :
01_EDK_Politiques-Sécurité-SI&Protection-Données_Rôles&Responsabilités

4.1.4 Le Responsable Sécurité du Système d’Information (RSSI)

Le Responsable Sécurité du Système d’Information d’EDOKIAL a pour principales missions de :

  • Collaborer avec le DPO d’EDOKIAL et, le cas échéant, avec le DPO de notre actionnaire, pour toute question relative à la sécurité des données personnelles ;
  • Participer à l’élaboration des plans d’actions pour sécuriser le système d’information afin de répondre aux exigences du RGPD ;
  • Etre consulté dans tout projet comportant une dimension Sécurité en lien avec la protection des données personnelles lorsqu’EDOKIAL agit en tant que Responsable de traitement ;
  • Fournir une veille technologique Sécurité en lien avec la protection des données personnelles ;
  • Sensibiliser et accompagner les métiers, avec les Correspondants sécurité, sur les thèmes de la sécurité du système d’information en lien avec la protection des données personnelles ;
  • Aider à mettre en œuvre les prescriptions de notre actionnaire en matière de sécurité relative à la protection des données personnelles.
4.1.5 Le propriétaire d’actif ou responsable fonctionnel

Le propriétaire d’actif ou responsable fonctionnel est la personne qui a la qualité de propriétaire identifié des ressources du système d’information dont il a la responsabilité fonctionnelle (voir définition et responsabilités du propriétaire d’actif dans la « PSSI Protection des actifs » paragraphe Généralités).

Le rôle du propriétaire d’actif ou responsable fonctionnel consiste à :

  • Piloter sur son périmètre les plans d’actions pour se mettre en conformité avec le RGPD et tenir à jour les objectifs de son périmètre ;
  • Réaliser le cas échéant, les analyses d’impact préalablement au traitement ;
  • Contrôler, ou faire contrôler, l’application de la Politique de protection des données personnelles et des procédures qui s’appliquent sur son périmètre, et notamment le bon fonctionnement des mesures de sécurité existantes relatives à la protection des données. Il vérifie qu’elles sont correctement opérées et efficaces et que les documentations et modes opératoires existent et sont accessibles et à jour.
  • Etre l’interlocuteur du DPO en cas d’interrogation émanant d’un client.
4.1.6 Le chef de projet

Le chef de projet est une personne faisant partie d’une direction ou d’une B.U. désignée explicitement pour assurer le pilotage d’un projet.

Dans ce cadre, il a pour mission de :

  • Consulter préalablement au démarrage de tout projet le correspondant RGPD, et/ou le DPO le cas échéant ;
  • S’assurer que les exigences de la Politique de protection des données personnelles sont bien respectées dans les projets dont il a la responsabilité ;
  • Informer le Correspondant RGPD, et/ou le DPO le cas échéant, en cas d’incident de sécurité relatif à la protection des données personnelles.
4.1.7 Le développeur

Le développeur est en charge de la réalisation d’un système ou d’une application et fait partie des équipes Build et/ou Run et/ou DSI d’EDOKIAL.

Son rôle est de :

  • S’assurer que les exigences de la Politique de protection des données personnelles sont bien respectées dans les missions qui lui sont confiées ;
  • Consulter le correspondant RGPD de son service et/ou le DPO pour toute interrogation relative à son travail en lien avec la protection des données personnelles ;
  • Il Informer le correspondant RGPD, et/ou le DPO le cas échéant, en cas d’incident de sécurité relatif à la protection des données personnelles.
4.1.8 Le responsable des accès sur site

Le responsable des accès sur site est en charge de garantir la sécurité physique des locaux et ainsi :

  • d’attribuer les badges et les droits d’accès associés aux salariés et intervenants extérieurs sur demande et consignes de paramétrage du responsable hiérarchique concerné ;
  • de mettre à jour périodiquement les badges et les droits d’accès associés, après réalisation du contrôle par le responsable Qualité et Sécurité si des écarts sont constatés.
4.1.9 Le responsable Qualité et Sécurité

Dans le cadre de la protection des données personnelles, le rôle du responsable Qualité est de :

  • S’assurer que la Politique de protection des données personnelles et les procédures sont intégrées au Système de Management de la Qualité (SMQ) et sont à jour ;
  • Procéder périodiquement à une revue des badges et des droits d’accès associés ;
  • Etablir et gérer les profils d’accès.
4.1.10 Le responsable de service ou d’équipe

Le responsable de service ou d’équipe est toute personne de la société exerçant des fonctions d’encadrement d’un service ou d’une équipe. Il est garant du respect de la Politique de protection des données personnelles au sein de son service ou de son équipe et a notamment pour mission de :

  • Consulter le correspondant RGPD et/ou le DPO le cas échéant, pour toute question relative à la protection des données ;
  • Compléter et tenir à jour le registre des activités de traitement réalisées en sa qualité de Responsable de traitement ;
  • Informer le correspondant RGPD, et/ou le DPO le cas échéant, en cas d’incident de sécurité relatif à la protection des données personnelles ;
  • Contrôler, ou faire contrôler, l’application de la Politique de protection des données personnelles et des procédures qui s’appliquent sur son périmètre, et notamment le bon fonctionnement des mesures de sécurité existantes relatives à la protection des données. Il vérifie qu’elles sont correctement opérées et efficaces et que les documentations et modes opératoires existent et sont accessibles et à jour.
4.1.11 Les collaborateurs

Chacun des collaborateurs d’EDOKIAL s’oblige en ce qui le concerne à respecter la Politique de protection des données personnelles et l’ensemble des procédures, règles et consignes internes y afférentes.

Chacun des collaborateurs d’EDOKIAL s’engage à alerter le correspondant RGPD et/ou le DPO en cas d’incident de sécurité relatif à la protection des données personnelles. De même, qu’il s’oblige à consulter le correspondant RGPD et/ou le DPO en cas de doute dans l’exercice des missions qui lui sont confiées quant à un point de sécurité relatif à la protection des données personnelles.

4.2.1 Comité Exécutif

Dans le cadre de la protection des données personnelles, le Comité Exécutif d’EDOKIAL est chargé de :

  • Valider, sur délégation, la Politique de protection des données et sa revue annuelle ;
  • Veiller à ce que les actions de formation et de sensibilisation des collaborateurs soient régulièrement effectuées ;
  • Valider et arbitrer les décisions relatives aux actions de mise en conformité.
4.2.2 Comités de liaison

Périodiquement, des comités de liaison se réunissent :

  • L’un, composé du DPO, des directeurs des B.U. (Business Units) Flux Entrants et Flux Sortants et des correspondants RGPD des deux B.U. : fréquence trimestrielle
  • L’autre, composé du DPO, des directeurs des B.U. Flux Entrants et Flux Sortants, de la Direction SI, de la Direction Production, de la Direction Commerce et de la Direction Innovation : fréquence semestrielle. Les correspondants RGPD de ces directions et B.U. seront invités selon la nature des sujets abordés.

Le responsable Contrôle Fonctionnement et Qualité et le RSSI seront invités à ces comités.

Ces comités auront pour missions principales de :

  • Etudier et analyser les projets en cours dans leurs dimensions Sécurité et Protection des données personnelles ainsi que de l’état d’avancement des plans d’action ;
  • Accompagner les nouveaux projets et réaliser les analyses Sécurité et Protection des données personnelles ;
  • Suivre l’état d’avancement des plans d’actions mis en place suite aux éventuels audits RGPD menés ou suite aux demandes du DPO de notre actionnaire ;
  • Assurer le suivi des incidents de sécurité relatif à la protection des données personnelles sur la dernière période.

Un reporting trimestriel des travaux du ou des comités de liaison sera fait au Comité Exécutif.

4.3 Outils de la conformité d’ÉDOKIAL en matière de protection des données

EDOKIAL est doté de divers outils lui permettant de démontrer sa conformité avec les exigences du RGPD, et notamment de :

  • La présente Politique de Protection des Données Personnelles ;
  • La nomination de son DPO auprès de la CNIL ;
  • Les déclinaisons opérationnelles de la Politique de Protection des Données Personnelles en diverses procédures, règles et consignes internes ;
  • Les registres recensant les activités de traitement réalisées tant en qualité de responsable de traitement qu’en qualité de sous-traitant ;
  • Le registre recensant les incidents et les violations de données personnelles ;
  • Le registre recensant les recueils de consentement ;
  • Un outil de réalisation de PIA ;
  • Une veille juridique générale et une veille juridique thématique en matière de protection des données ;
  • La tenue de réunions bimensuelles avec le DPO de notre actionnaire ;
  • La participation aux Conférences DPO Groupe bimensuelles organisées par la filière DPO de notre actionnaire.
  • Les reportings trimestriels au Comité Exécutif.