Politique de protection des données à caractère personnel

La protection est la vocation de TRACKFORCE. Nous savons que nos clients sont soucieux de la sécurité et de la confidentialité de leurs données à caractère personnel. Nous avons donc à cœur de construire une relation de confiance avec nos clients et d’être tout à fait transparents vis-à-vis de leurs données personnelles.

C’est pourquoi avec l’entrée en vigueur le 25 mai 2018 du Règlement européen n° 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel (ci-après le « RGPD »), nous avons redéfini et formalisé notre politique de protection des données à caractère personnel dans le présent document dit « Politique de protection des données ».

La présente Politique de protection des données a donc pour but de vous informer sur les engagements et mesures techniques et organisationnelles que nous avons mises en place pour assurer la protection de vos données à caractère personnel.

Elle complète les Conditions Générales de Vente (ci-après les « CGV ») de TRACKFORCE ainsi que ses clauses contractuelles en matière de sous-traitance.

La présente Politique de protection des données n’est pas figée ; elle pourra évoluer en fonction de la règlementation, tant nationale qu’européenne, et subira les adaptations que la doctrine de la Commission Nationale pour la Protection des Données (CNPD) et les lignes directrices du G29 (Groupe de travail rassemblant les représentants de l’autorité indépendante de contrôle de chaque pays membre de l’Union européenne) rendront nécessaires.

Clause n° 1 : Collecte et traitement des données

Dans le cadre de sa relation client, TRACKFORCE est amenée à collecter et traiter des données à caractère personnel nécessaires à la gestion du personnel de sécurité privée affecté à ses clients (qu’il s’agisse du personnel du client proprement dit ou de celui des sous-traitants), la gestion des incidents, la gestion des visiteurs, la gestion des prospects ainsi que la gestion des installations et du personnel y affecté.

Pour ce faire, TRACKFORCE veille à ne collecter et traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. C’est de cette façon que nous respectons le principe de la minimisation des données posé par le RGPD.

Clause n° 2 : Finalités du traitement

Les données que nous collectons ont une finalité précise, et ne sont pas utilisées à d’autres fins. Nos finalités sont déterminées, légitimes, explicites et compatibles avec nos missions, en l’occurrence la gestion des activités relatives à la protection et la sécurité humaines des sites de nos clients, la gestion des prospects ainsi que la gestion des installations et du personnel y affecté.

La finalité définie permet de déterminer la pertinence des données à collecter : seules les données adéquates et strictement nécessaires pour atteindre la finalité sont collectées et traitées par TRACKFORCE.

Clause n° 3 : Information des personnes concernées

Conformément au RGPD, TRACKFORCE informe et encourage ses clients à informer la personne auprès de laquelle sont recueillies des données à caractère personnel :

  • De l’identité et des coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, des coordonnées du délégué à la protection des données;
  • Des finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
  • Le cas échéant, des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
  • Des destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;
  • Le cas échéant, du fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
  • De la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • De l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
  • Le cas échéant, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
  • Du droit d’introduire une réclamation auprès d’une autorité de contrôle;
  • Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • De l’existence d’une prise de décision automatisée, y compris un profilage.

En l’absence de contact individualisé avec la personne concernée par la collecte et le traitement, TRACKFORCE encourage ses clients à informer ladite personne par affichage sur le site objet de protection de sécurité privée.

Clause n° 4 : Destinataires des données

TRACKFORCE ne communique pas les données de ses clients à des tiers ; TRACKFORCE n’en fait aucun commerce.

Vos données à caractère personnel sont donc destinées seulement à des destinataires déterminés et habilités à les recevoir, en l’occurrence et selon les cas, TRACKFORCE et ses sous-traitants, les clients de TRACKFORCE et leurs sous-traitants ainsi que toutes autres personnes, organismes ou entités auxquelles ces clients voudront communiquer ou montrer ces données (notamment dans le cadre des démos et présentations de nos produits), et ce uniquement pour les besoins des prestations de protection et de sécurité privée ou de gestion des installations.

Clause n° 5 : Conservation des données

TRACKFORCE ne conserve les données à caractère personnel de ses clients que pendant le temps nécessaire aux opérations pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur.

Chaque client peut paramétrer la durée de conservation selon la nature des données à caractère personnel concernées.

Ces données sont automatiquement supprimées au bout de 5 ans maximum après la fin de la relation contractuelle, selon les paramétrages définis par chaque client.

Les données relatives aux prospects sont conservées pendant une durée de 3 ans maximum à compter du dernier contact entre TRACKFORCE et le prospect.

Clause n° 6 : Sécurité des données

TRACKFORCE détermine et met en œuvre les moyens nécessaires à la protection des données à caractère personnel pour éviter des risques résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Ces moyens consistent en des mesures techniques et organisationnelles appropriées visant à garantir un niveau de sécurité adapté au risque, et comprennent entre autres, selon les besoins:

  • La pseudonymisation et le chiffrement des données à caractère personnel;
  • Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En particulier, l’accès aux données est sécurisé par des systèmes de sécurité forts selon les choix des clients, chacun définissant le niveau de sécurité approprié à son activité et ses besoins : identification par certificat, double authentification et autres process mis en place par Trackforce et détaillés dans le Document dit « Trackforce Business Security ».

Ainsi, la politique de protection des données personnelles traitées par TRACKFORCE s’organise autour de mesures d’ordre logique, physique ou organisationnel.

Clause n° 7 : Accès restreint aux données

TRACKFORCE définit et met en œuvre les règles d’accès et de confidentialité applicables aux données personnelles traitées.

Le niveau de détail accessible est défini par le client, selon l’habilitation/le profil de chaque utilisateur : Agent, Chef de poste, Client, Superviseur.

Seules les personnes dûment habilitées peuvent donc accéder à certains détails de données, dans le cadre d’une politique de sécurité permettant notamment la restriction des accès aux seules informations nécessaires à l’activité.

Les droits d’accès, accordés en adéquation avec la fonction de l’utilisateur, sont mis à jour en cas d’évolution ou de changement de fonction.

Clause n° 8 : Transfert des données

En principe, TRACKFORCE ne transfère pas les données de ses clients d’un pays ou d’une filiale à l’autre à travers le monde.

Si un tel transfert devait se révéler nécessaire, en l’occurrence à destination d’un pays situé hors de l’Union européenne, ce transfert s’inscrirait dans le cadre de la finalité poursuivie par le traitement auquel les données sont destinées.

Dans ce cas, les destinataires de données auraient uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité.

Plus généralement, TRACKFORCE ne procèderait au transfert des données qu’en conformité avec les dispositions des articles 44 à 50 du RGPD.

Clause n° 9 : Droits des personnes concernées par la collecte et le traitement des données à caractère personnel

En application du RGPD et des dispositions non contraires de la Loi Informatique et Libertés, toute personne physique dont les données à caractère personnel font l’objet de traitements, dispose du droit de s’opposer à la collecte et au traitement des données à caractère personnel la concernant, du droit d’accès auxdites données, de rectification ou d’effacement de celles-ci (droit à l’oubli), du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, du droit à la limitation du traitement la concernant, du droit d’avoir des informations sur les personnes à qui le responsable de traitement a transmis des données à caractère personnel la concernant, ainsi que du droit à la portabilité desdites données tels que ces droits sont décrits aux articles 15 à 22 du RGPD. Elle peut exercer ces droits en envoyant sa demande à dpo@trackforce.com accompagnée des pièces justifiant notamment de son identité et de sa signature.

Clause n° 10 : Les acteurs de la protection des données

Dans le cadre de l’entrée en vigueur du RGPD le 25 mai 2018, TRACKFORCE s’est doté d’un Délégué à la Protection des Données ou Data Protection Officer (DPD ou DPO) directement rattaché au Président de TRACKFORCE.

Le DPO s’assure en permanence de la conformité de l’ensemble des traitements de données à caractère personnel ayant cours au sein du Groupe TRACKFORCE.

Clause n° 11 : Maintien des dispositions non-contraires des CGV de TRACKFORCE

La présentes Politique de protection des données vient compléter les CGV de TRACKFORCE dont les dispositions non contraires demeurent applicables.