Política de privacidad

Finalité

Le respect des réglementations légales en matière de protection des données est la base de nos relations avec nos clients, nos partenaires commerciaux et nos employés. Avec cette politique, Corplex définit un système officiel de gestion de la protection des données régissant le traitement des données personnelles.

Les finalités de la présente Politique de protection des données personnelles sont les suivantes:

  • Respect de l'ensemble des réglementations légales et contractuelles, nationales et internationales, en matière de protection des données ;
  • Mise en œuvre des bases nécessaires pour une transmission des données conforme entre les sociétés de Corplex individuelles ;
  • Protection des données personnelles de tous les employés, clients, fournisseurs et partenaires commerciaux ; et
  • Mise en place d'un haut niveau de protection des données au sein de l'entreprise et de sensibilisation à la protection des données parmi tous les employés de Corplex.
Définitions

      Anonymisation signifie que des données sont anonymisées lorsqu'aucune identification personnelle n'est possible, ou si la personne peut seulement être identifiée moyennant une quantité disproportionnée de temps, d'argent et de main-d'oeuvre. Une composante essentielle de l'anonymisation est la suppression des caractéristiques d'identification explicites ou directes, telles que le nom, les adresses, les identifiants personnels et les numéros de compte.

      Le responsable du traitement est une personne qui (soit seule, soit en collaboration avec d'autres personnes) détermine les finalités pour lesquelles et la façon dont toute donnée personnelle est, ou sera, traitée.

      Sous-traitant désigne toute personne (autre qu'un employé du responsable du traitement) qui traite les données au nom du responsable du traitement.

      Transmission de données est le transfert de données vers un tiers, y compris l'extraction de données.

      Le traitement des commandes est réalisé quand un prestataire (externe) est chargé de traiter des données personnelles et qu'il les traite dans le strict respect des instructions données par Corplex en tant que client (ex : stockage des données dans un centre de données, impression/envoi de bulletins de salaire, destruction des supports de données ou des déchets de papier). Il n'y a pas de transfert de responsabilité au prestataire concernant le processus commercial associé. Corplex est tenu de sélectionner un sous-traitant en fonction de son respect des réglementations en matière de protection des données.

      Les données personnelles sont toutes les informations relatives à une personne (la « personne concernée »), qui peut être identifiée, soit directement, soit indirectement, au moyen d'un identifiant tel que le nom, les données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques.

      Le traitement des données personnelles est tout traitement réalisé avec ou sans l'aide de procédures automatisées ou toute série d'opérations en lien avec les données personnelles, comme la collecte, le regroupement, l'organisation, le classement, le stockage, l'adaptation ou la modification, la lecture, l'utilisation, la divulgation par transmission, la publication ou tout autre moyen de communiquer, d'associer ou lier, de limiter, de supprimer ou de détruire des informations.

      Pseudonymisation signifie prendre les informations les plus identifiantes et les remplacer par des identifiants artificiels, ou « pseudonymes ». Par exemple un nom est remplacé par un numéro d'identification unique. L'objectif est de rendre les données moins faciles à identifier et donc de réduire les préoccupations liées au partage et à la conservation des données.

      Les catégories particulières de données personnelles (également appelées « Données personnelles sensibles ») incluent les informations sur l'origine raciale ou ethnique, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou idéologiques, les données génétiques, les données biométriques permettant l'identification précise d'une personne ou son état de santé, sa vie sexuelle ou son orientation sexuelle. Elles font l'objet d'une protection spéciale.

      Champ d'application

        La présente Politique s'applique à l'ensemble des sites et sociétés de Corplex, à la fois en Europe et en dehors. Elle s'applique, indépendamment du fait que le site ou la société Corplex agit en qualité de sous-traitant ou de responsable du traitement des données personnelles, à leurs employés ainsi qu'aux personnes assumant des fonctions équivalentes à celles des employés, comme les travailleurs temporaires. Elle couvre l'ensemble du traitement des données personnelles au sein de la société.

        Cette Politique s'applique également à l'ensemble des employés, prestataires, consultants, directeurs et directeurs non exécutifs, bénévoles, travailleurs temporaires, agents et autres travailleurs, y compris au personnel affilié aux fournisseurs qui accèdent à et utilisent les données personnelles de Corplex Group (« employé » ou « vous »). Elle couvre tous les processus accomplis par les employés qui impliquent des données personnelles. Les données anonymisées (comme les évaluations statistiques), ainsi que les données d'entreprise, ne sont pas soumises à cette Politique, sauf si elles peuvent permettre d'identifier un individu particulier.

        Tout écart est uniquement possible en consultation avec l'équipe juridique de Corplex Group et, lorsque l'écart affecte des personnes situées en Allemagne, l’équipe juridique de Corplex Group ainsi que le délégué à la protection des données doivent être consultés.

        Obligations
          Employés
          Chaque employé est tenu de respecter et de mettre en œuvre les présentes exigences dans son propre travail. Quand un employé est impliqué dans le choix de tout prestataire engagé par Corplex, celui-ci doit veiller à ce que les exigences en matière de protection des données soient respectées dans le cadre du choix de ces prestataires, au moyen d'une sélection et d'un contrôle appropriés.
          Les employés qui ont des contacts avec les clients dans le cadre de leur fonction doivent uniquement collecter les données absolument nécessaires à la conduite des affaires.

          Délégué à la protection des données
          Si un délégué à la protection des données (« DPO ») est exigé dans un pays particulier en vertu d'une loi nationale ou européenne, un DPO sera nommé par l'équipe RH dans le pays concerné. Le DPO est chargé d'informer et de conseiller la direction et les employés de Corplex dans le pays concerné à propos de l'exécution du traitement des données, de contrôler le respect des exigences en matière de protection des données, ainsi que de collaborer avec l'autorité de contrôle.
          Corplex dispose actuellement d'un DPO en Allemagne uniquement, dont les coordonnées sont les suivantes : Christian Adolphy, Tél. : 0611-40809690, E-mail : christian.adolphy@ca-c.de. L'équipe juridique de Corplex Group conseillera l'entreprise si un DPO est exigé par la loi dans tout autre pays.


          Le DPO devra:

          • contrôler, le cas échéant, les bases juridiques de toutes les procédures et contrats qui contiennent des données personnelles en collaboration avec le service juridique ;
          • contrôler la conformité avec les lois et réglementations en matière de protection des données ainsi que les stratégies pour assurer la protection des données personnelles, y compris la sensibilisation et la formation des employés impliqués dans les opérations de traitement et le contrôle y afférent ;
          • rendre compte directement à la direction et recevoir les ressources nécessaires pour accomplir son travail ;
          • agir en toute indépendance ; et
          • prodiguer des conseils sur les analyses d'impact relatives à la protection des données qui doivent être réalisées ainsi que sur le traitement prévu pour les catégories particulières de données personnelles.

          Le DPO agit comme point de contact pour l'autorité de contrôle nationale en ce qui concerne l'ensemble des questions relatives au traitement des données personnelles et à la consultation préalable dans le cadre des analyses d'impact relatives à la protection des données. Pour l'Allemagne, une liste des autorités de contrôle est disponible ici.

          Le DPO doit être informé très tôt par la direction de tout projet de traitement automatisé des données personnelles et devra recevoir les ressources nécessaires pour accomplir ces tâches et l'accès aux données personnelles et au traitement ainsi que les ressources nécessaires pour maintenir son expertise.
          Le DPO doit également rédiger un rapport d'activité annuel, rendre compte à la direction dans le pays concerné tel que nécessaire et prodiguer des conseils sur toute mesure nécessaire à prendre.

          HR Manager
          S'agissant des données personnelles, les HR Managers qui gèrent une région ou un site particulier sont responsables du respect de la protection des données. Au motif que l'équipe RH traite des fichiers et des données personnelles qui sont strictement confidentiels, il faut veiller en tout temps à ce qu'aucune personne non autorisée n'ait accès à ces données.
          Sur demande, un employé doit pouvoir avoir accès à des copies de tous les registres constitués sur lui. Si une demande est déposée sous forme électronique et qu'elle n'est pas autrement soumise, la copie doit être fournie dans un format électronique courant.
          Les HR Managers doivent s'assurer que les nouveaux employés signent les engagements exigés en matière de confidentialité des données.
          La transmission des données personnelles au sein du groupe d'entreprises Corplex est uniquement permise en vertu des dispositions du Règlement général sur la protection des données (« RGPD ») et des autres législations nationales sur la protection des données ainsi que des accords des comités d'entreprise existants. Les nouveaux projets concernant la transmission des données des employés au sein du groupe d'entreprises Corplex doivent faire l'objet d'une discussion préalable avec l'équipe juridique ou le DPO (le cas échéant).
          Toutes les évaluations des nouvelles activités de traitement des données personnelles doivent être coordonnées avec les comités d'entreprise responsables, l'équipe juridique du Groupe et tout DPO concerné.

          Principes de protection des données
            Les données personnelles peuvent uniquement être traitées s'il existe un motif légal de le faire en vertu du RGPD.

            Admissibilité et légalité du traitement des données
            Les données personnelles peuvent notamment uniquement être traitées :
            • si la personne concernée a donné son consentement pour une ou plusieurs finalités spécifiques ;
            • si nécessaire pour l'exécution d'un contrat auquel la personne concernée est partie ;
            • pour la mise en oeuvre de mesures pré-contractuelles qui sont réalisées à la demande de la personne concernée ;
            • si le traitement est nécessaire pour satisfaire une obligation légale à laquelle Corplex est soumise en tant qu'entreprise ;
            • si le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou de toute autre personne ; ou
            • si cela est nécessaire pour protéger les intérêts légitimes de Corplex ou d'un tiers et ne porte pas atteinte aux intérêts ou aux droits et libertés fondamentaux de la personne concernée.

            Transparence

            Corplex est tenu d'informer les personnes concernées de manière claire et compréhensible et dans un format simple et accessible, de la raison et de la manière dont leurs données personnelles sont traitées. La personne concernée doit être informée avant la collecte des données et avant que le consentement ne soit donné. La personne concernée doit connaître les informations suivantes:

            • Qui collecte, traite ou utilise les données. Le nom et les coordonnées de la société Corplex qui collecte les données ainsi que du délégué à la protection des données, le cas échéant, doivent être mentionnés ;
            • Pourquoi les données sont collectées. La finalité de la collecte, du traitement, de l'utilisation de ses données ainsi que les bases légales pour le faire doivent être communiquées ;
            • Au moment d'appliquer une mise en équilibre du fondement des intérêts, les intérêts légitimes de Corplex ou de tiers pour le traitement des informations doivent être communiqués ;
            • Quelles données sont collectées et l'étendue des données personnelles traitées ;
            • Où les données sont traitées. En cas de transmission des données, la personne concernée devra être informée des autres destinataires ou catégories de destinataires (ex : d'autres sociétés) vers lesquels les données sont transmises, de la finalité de la transmission et, s'il y a lieu, du transfert des données vers des pays situés en dehors de l'UE/EEE, y compris les informations sur le niveau approprié de protection des données.
            • La durée pendant laquelle les données personnelles sont stockées ; et
            • Les droits de la personne concernée.
             Si les données n'ont pas été communiquées par la personne concernée, celle-ci doit être informée dans un délai d'un mois suivant l'obtention de ses données personnelles. Lorsque la personne concernée donne son consentement, une déclaration de consentement doit être obtenue par écrit et, si possible, non couplée avec les conditions générales.
            Le consentement de la personne concernée doit être donné volontairement, en pleine connaissance des faits et sans ambiguïté sous la forme d'une déclaration écrite ou d'une autre indication claire. Le consentement n'est pas valide si les données personnelles collectées sont utilisées pour des activités de traitement qui sont différentes des activités qui ont été communiquées à la personne au moment où le consentement a été obtenu. Lorsque le consentement est requis pour une opération de traitement particulière, un consentement distinct doit être obtenu à chaque occasion.
            Le consentement est invalide si l'exécution d'un contrat ou la prestation d'un service est subordonnée au consentement de la personne concernée au traitement de données qui n'est pas nécessaire pour l'exécution du contrat ou de la prestation du service.
            Concernant les clients de Corplex, le consentement au traitement de leurs données personnelles dans le cas d'une demande d'un client ne doit pas être lié à l'envoi de mises à jour marketing ou de bulletins d'information.
            La personne concernée a le droit de retirer son consentement à tout moment et le retrait du consentement doit être consigné par écrit.

            Obligations de collecte et de suppression

            Les données personnelles peuvent uniquement être collectées à des fins établies, sans ambiguïté et légales et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités (par exemple les données collectées à des fins contractuelles ne peuvent pas être utilisées à des fins publicitaires). Les données doivent être stockées dans un format qui permet l'identification des personnes concernées, uniquement le temps nécessaire et dans la mesure nécessaire pour accomplir les finalités pour lesquelles les données sont traitées. Une fois la finalité complétée, les données doivent être supprimées.
            Les finalités du traitement des données doivent être communiquées à la personne concernée préalablement à la collecte des données. Seuls des changements limités à la finalité sont autorisés et la personne concernée doit être informée de tout changement de finalité.

            Minimisation des données
            Les données doivent uniquement être collectées, utilisées et traitées aux fins qui sont nécessaires pour réaliser une finalité particulière. Par conséquent, la collecte et le stockage des données personnelles doivent être limités à la mesure nécessaire et les systèmes de traitement des données doivent être conçus en conséquence.
            L'utilisation de données anonymisées ou pseudonymisées est préférable, tant que la finalité du traitement des données est réalisée sans efforts supplémentaires excessifs.
            Les données personnelles qui ne sont plus nécessaires pour la réalisation d'une finalité doivent être supprimées conformément à la Politique de conservation des documents de Corplex Group. S'il existe un délai de conservation légal pertinent, les données doivent être conservées à cette fin, mais doivent être bloquées pour toutes les autres finalités. Les principes de suppression, d'anonymisation et d'archivage doivent être respectés dans l'ensemble de Corplex Group.
             
            Conception des systèmes techniques
            Les systèmes informatiques doivent être conçus de manière à mettre efficacement en oeuvre les finalités de la présente Politique. En particulier, il est important de veiller à ce qu'ils collectent uniquement la quantité de données nécessaire pour réaliser la finalité visée. Cela doit être assuré, par exemple, au moyen de préréglages pour la protection des données.
            Les exigences de protection des données doivent être prises en compte au moment de développer, de concevoir et de mettre en œuvre de nouveaux systèmes informatiques et applications.

            Exactitude et ponctualité
            Les données personnelles doivent être stockées de façon adéquate, rester complètes et, si nécessaire, être à jour. Des mesures appropriées doivent être prises pour assurer que les données sont régulièrement mises à jour dans les bases de données et que les données non pertinentes ou obsolètes sont effacées.
             
            Confidentialité, disponibilité et intégrité (des données)

            Confidentialité :
            les données personnelles sont soumises à la confidentialité des données et doivent toujours être traitées en toute confidentialité. Tout traitement non autorisé ainsi que toute utilisation ou divulgation à des fins autres que les finalités initiales et approuvées, notamment à des fins privées et commerciales, sont interdits. Tout employé ainsi que toute personne assumant des fonctions équivalentes à celles des employés doivent s'engager à respecter les obligations de confidentialité des données par écrit. Les employés peuvent uniquement avoir accès aux données personnelles dans la mesure où cela est nécessaire à l'exécution de leurs tâches respectives. Cela s'applique indépendamment du fait que le traitement des données est effectué sous forme électronique ou sur papier.


            Disponibilité : les données personnelles doivent être protégées en tout temps contre les accès non autorisés, les divulgations ou traitements illégaux, mais aussi contre les pertes, falsifications ou destructions.

            Intégrité (des données) : les données personnelles doivent être traitées de telle manière que les entrées initiales peuvent être stockées sans modifications ou que les changements/mises à jour peuvent être suivis.
            Chaque site et/ou société de Corplex doit prendre des mesures organisationnelles et techniques appropriées afin de réaliser ces finalités. Ces mesures techniques et organisationnelles doivent être introduites et consignées par chaque société de Corplex sur la base d'une analyse des risques. Les mesures techniques et organisationnelles doivent être contrôlées chaque année et avant l'introduction de nouvelles applications ou de nouveaux systèmes informatiques et, si nécessaire, adaptées à tout nouveau développement/menace.

            Responsabilité
            La direction de la société Corplex concernée est responsable du respect des principes de protection des données et doit pouvoir contrôler leur conformité. Si nécessaire, la direction peut demander des conseils à l'équipe juridique et au DPO (le cas échéant). En outre, la direction de la société Corplex concernée doit contrôler la mise en œuvre des prérequis nécessaires pour respecter les réglementations en matière de protection des données dans les rapports de compte.

            Traitement de certains groupes de données personnelles
              Traitement des données aux fins de la relation de travail et données sur l'emploi
              Dans le cadre du processus de recrutement ou dans les relations de travail, les données personnelles peuvent uniquement être traitées lorsque cela est nécessaire pour l'initiation, la réalisation et la résiliation d'une relation de travail. Après un refus d'un candidat potentiel, les données du candidat doivent être supprimées conformément à la Politique de conservation des documents du Groupe, sauf si le candidat a accepté par écrit un stockage supplémentaire pour un processus de sélection ultérieure.
              Les données personnelles peuvent uniquement être utilisées aux fins d'identifier les infractions pénales en cas de soupçon fondé, c'est-à-dire si une preuve réelle (qui est documentée) donne lieu à un soupçon que la personne concernée a commis une infraction pénale dans le cadre de son travail et ne préjuge pas des intérêts légitimes de la personne concernée. En cas d'utilisation de ce type de données, la personne concernée doit être informée du fait que les données ont été collectées (et qu'elles seront transmises aux autorités chargées de l'enquête si les actes répréhensibles sont confirmés) après l'achèvement des mesures.
              Clients, clients potentiels et partenaires commerciaux
              Les données personnelles des clients ou des partenaires commerciaux peuvent uniquement être traitées pour initier, exécuter ou résilier un contrat ou une transaction légale ainsi que pour l'assistance client. Les limitations correspondantes imposées par le client ou le partenaire commercial doivent être respectées ainsi que l'obligation de supprimer les données à la fin de la relation d'affaires.
              Le traitement des données personnelles à des fins publicitaires est autorisé dans la mesure où il est compatible avec la finalité initiale de la collecte de données. Si les données sont collectées exclusivement à des fins publicitaires, la personne concernée doit communiquer ses données volontairement. La personne concernée doit être informée du caractère volontaire et de l'utilisation de ses données à des fins publicitaires et son consentement doit être obtenu.
              Si la publicité est transmise par voie électronique (ex. : un bulletin publicitaire), un consentement explicite et vérifiable de la personne concernée est exigé. En cas de consentement électronique, la procédure « d'opt-in double » doit être appliquée aux pays dans lesquels la loi l'exige (ex : l'Allemagne). Tous les e-mails publicitaires doivent être accompagnés d'un avis informant que la personne concernée peut s'opposer à tout futur envoi de messages publicitaires.
              La publicité envoyée au moyen de lettres ou de courriers publicitaires (prospectus, brochures, etc.) est, en principe, possible tant que la personne concernée n'a pas exprimé sa volonté de s'y opposer.
              De plus amples informations sont disponibles dans les Directives marketing de Corplex.
              6.3. Données des utilisateurs sur Internet et les réseaux sociaux
              Si des données personnelles sont traitées sur des applications ou sites Web d'entreprise, les personnes concernées doivent en être informées dans des déclarations sur la confidentialité et, si nécessaire, par un avis concernant les cookies. Ils doivent être intégrés de manière à être facilement reconnaissables et accessibles directement et en tout temps par les personnes concernées.
              Si des profils d'utilisation sont générés pour évaluer le comportement d'utilisateurs sur les sites Web et applications, les personnes concernées doivent en être informées dans les mentions sur la protection des données. En outre, un accord sur le traitement des commandes doit être conclu avec le fournisseur de la solution de suivi, tant qu'il travaille avec quelconque référence aux personnes. Si le suivi est réalisé en utilisant un pseudonyme, la personne concernée doit avoir la possibilité de s'y opposer dans les instructions sur la protection des données.
              Si l'accès aux données personnelles est autorisé dans le cas de sites Internet ou d'applications dans un domaine soumis à un enregistrement, l'authentification des personnes concernées doit être conçue de manière à assurer la protection appropriée pour l'accès respectif. Lorsque la loi l'exige dans un pays spécifique, il est nécessaire d'appliquer une méthode d'opt-in double.
              Le traitement ou l'association des données personnelles collectées depuis des plateformes de réseaux sociaux nécessite le consentement de l'utilisateur.
              Transfert des données personnelles vers des tiers
                La transmission des données personnelles fait l'objet de risques spéciaux. Une distinction doit être faite entre un transfert de données vers des tiers et un transfert de données dans le cadre du traitement d'une commande. Dans les deux cas, il est nécessaire de demander conseil au DPO (le cas échéant) ou à l'équipe juridique.

                Traitement des commandes
                Dans le cas du traitement d'une commande, la conclusion d'un accord écrit de protection des données avec les deux prestataires externes ainsi qu'entre les sociétés au sein de Corplex Group est obligatoire.
                Dans le cadre du processus de sélection, le maître d'ouvrage doit s'assurer du respect par les prestataires des obligations contractuelles avant le démarrage, et le consigner en conséquence. En particulier, il convient d'évaluer si le prestataire est en mesure de garantir le niveau requis de protection des données. Le respect des exigences de sécurité des données peut être prouvé par un prestataire, notamment en fournissant une certification adéquate, par exemple des certificats de contrôle, des rapports d'audit émis par les autorités de contrôle compétentes, etc. En fonction du risque lié au traitement des données, les contrôles doivent être répétés régulièrement pendant la période contractuelle et les résultats des audits doivent être consignés par écrit.

                Transfert des données personnelles
                Tout transfert de données vers des destinataires situés au sein ou en dehors de Corplex Group nécessite une base juridique ; une loi ou un contrat doit autoriser la transmission des données ou le consentement de la personne concernée doit être obtenu.
                Un transfert ou un échange de données, y compris le traitement des données personnelles des clients et des employés, peut être réalisé à des fins administratives internes au sein de Corplex Group, dans la mesure où les intérêts légitimes de la personne concernée ne sont pas enfreints. Lorsque des données sur l'emploi sont transférées, la nécessité de le faire doit être claire et démontrable. Le destinataire des données doit être contractuellement tenu de ne les utiliser qu'aux fins spécifiées.
                Lorsque des données sont transférées vers un destinataire situé en dehors de l'Espace économique européen, il faut s'assurer qu'un niveau de protection des données équivalent à celui reconnu au sein de l'UE soit appliqué dans le pays du destinataire. Cela doit être consigné sous la forme d'un accord entre Corplex et le destinataire.

                Droits de la personne concernée
                  Toute personne concernée peut exercer les droits énoncés dans le présent paragraphe. Tout exercice des droits par les personnes concernées doit être immédiatement communiqué au DPO (le cas échéant), au HR Manager, à l'équipe juridique ou au Divisional Privacy Officer (soit le responsable de la conformité de la division concernée, soit le responsable des systèmes informatiques). Le contact concerné traitera la demande avec le service responsable et respectera les délais et les exigences spécifiques. Une personne concernée ne fera pas l'objet d'un traitement injuste ni ne subira quelconque préjudice pour avoir exercé les droits énoncés dans le présent paragraphe.

                  Droit d'accès : la personne concernée peut, à tout moment, demander à Corplex si des données personnelles et quelles données personnelles sont traitées et à quelles fins elles sont traitées et/ou transférées. En particulier, elle dispose d'un droit à l'information sur :
                  • Les finalités du traitement ;
                  • Les catégories de données personnelles ;
                  • Les destinataires ou catégories de destinataires à qui les données personnelles sont communiquées ;
                  • La durée prévue pendant laquelle les données personnelles sont stockées ou, si cela n'est pas possible, les critères qui déterminent cette durée ;
                  • L'existence d'un droit de rectifier ou de supprimer les données personnelles ou de limiter le traitement ou d'un droit de s'opposer audit traitement ;
                  • Son droit d'introduire une réclamation pour violation auprès de l'autorité de contrôle compétente ;
                  • Si les données personnelles n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur l'origine des données ; et
                  • Les garanties adéquates en vertu du RGPD lorsque les données personnelles sont transférées vers un pays tiers ou une organisation internationale.
                  Si les informations ne sont pas disponibles en ligne, la première copie doit être remise gratuitement. Si la demande de la personne concernée est soumise par voie électronique, les informations doivent être fournies au format PDF en lecture seule.
                  La communication des informations est exclue et peut être restreinte si les droits et libertés d'autres personnes, en particulier les secrets commerciaux ou les droits de propriété intellectuelle, pourraient être affectés.
                  En cas de doute concernant l'identité de la personne concernée, vous devez demander des informations supplémentaires. Si cela n'est pas suffisant, une déclaration peut être refusée moyennant une justification, jusqu'à ce que la preuve nécessaire soit fournie.

                  Droit de copie et portabilité des données : une personne peut demander une copie des données personnelles pertinentes qu'elle a communiquées à Corplex. Cela repose sur le fait que le traitement a été réalisé en utilisant des procédures automatisées et sur la base du consentement de la personne concernée ou de l'exécution d'un contrat. La copie doit être mise à disposition dans un format structuré, standard, lisible par machine ou, sur demande, doit être transmise à des tiers, si cela est techniquement possible. Une copie doit être mise à la disposition de la personne gratuitement.
                  Les droits et la liberté d'autres personnes ne doivent pas être affectés par ce droit. En cas de doutes justifiés sur l'identité de la personne soumettant la demande, des informations supplémentaires doivent être demandées. Si cela n'est pas suffisant, une déclaration peut être refusée moyennant une justification, jusqu'à ce que la preuve nécessaire soit fournie.
                  Droit de s'opposer : une personne est autorisée à tout moment à s'opposer au traitement de ses données, ce qui est nécessaire pour l'exécution d'une tâche ou pour préserver les intérêts légitimes de Corplex ou d'un tiers. La personne est seulement autorisée à s'opposer au traitement de ses données dans la mesure où ses intérêts ou droits/libertés fondamentaux prévalent sur le traitement.
                  En cas d'opposition, les données personnelles ne peuvent pas être traitées, sauf si Corplex peut prouver que le traitement des données prévaut sur les intérêts, droits et libertés de la personne concernée ou que le traitement sert à faire valoir, exercer ou défendre des droits en justice.
                  La personne concernée peut s'opposer au traitement de ses données personnelles à des fins publicitaires directes. Dans ce cas, les données ne peuvent plus être traitées à ces fins.
                  La personne concernée doit être informée de son droit d'opposition le plus tôt possible, sous forme compréhensible et distincte des autres informations.
                  En outre, elle peut demander la limitation du traitement de ses données dans les situations suivantes :
                  • L'exactitude des données personnelles est contestée par la personne concernée (pendant un délai qui permet à Corplex de vérifier l'exactitude des données personnelles) ;
                  • Le traitement est illégal et la personne concernée refuse la suppression des données personnelles et demande à la place la limitation de l'utilisation des données personnelles ;
                  • Corplex n'a plus besoin des données personnelles à des fins de traitement mais la personne concernée en a besoin pour faire valoir, exercer ou défendre des droits en justice ; ou
                  • La personne concernée s'est opposée au traitement des données, tant que l'on ignore si les motifs légitimes de Corplex prévalent sur ceux de la personne concernée.
                  En cas de limitation du traitement, Corplex peut initialement seulement stocker, et non plus traiter, les données de quelconque autre manière, sauf si les exigences réglementaires ou officielles n'en disposent autrement. Des exceptions à ceci sont (outre le consentement de la personne concernée) uniquement possibles pour faire voir, exercer ou défendre des droits en justice ou pour protéger les droits d'autres personnes. La personne concernée doit être informée si le traitement est réalisé sur la base de l'une de ces exceptions.

                  Droit de rectification : si des données personnelles sont incorrectes ou incomplètes, la personne concernée peut immédiatement demander qu'elles soient corrigées ou complétées dans la mesure où cela est approprié au regard des finalités du traitement respectives.

                  Droit de limiter le traitement : la personne concernée est autorisée à demander le blocage de ses données personnelles. Les données seront bloquées si la personne concernée conteste les données pour faire valoir, exercer ou défendre un droit en justice ou si elle s'est opposée au traitement et n'a pas encore décidé si les données doivent être supprimées. L'utilisation de données bloquées par Corplex est uniquement permise pour faire valoir, exercer ou défendre des droits en justice, pour protéger les droits d'une autre personne physique ou morale ou au motif d'un intérêt public majeur. Si le blocage des données est levé, la personne concernée doit en être informée à l'avance et doit être informée des raisons.

                  Droit à l'oubli : la personne concernée est autorisée à demander la suppression de ses données. La base de la demande d'annulation existe si la base juridique sur laquelle repose le traitement des données est manquante ou omise ou si la personne concernée retire son consentement au traitement des données et qu'il n'existe aucune autre base juridique pour le traitement des données. Il en est de même dans le cas où la finalité du traitement des données n'est plus nécessaire.
                  Lorsque des données personnelles qui doivent être supprimées ont été rendues publiques par Corplex, des mesures appropriées, y compris des mesures de nature technique, doivent être prises, prenant en compte la technologie disponible et les coûts de mise en oeuvre, afin d'informer les tiers qui traitent désormais les données personnelles que la personne concernée a demandé la suppression de tous les liens vers ces données personnelles ou copies ou reproductions de ces données personnelles.
                  Les obligations de conservation existantes et la protection des intérêts qui sont contraires à la suppression doivent être prises en compte.

                  Violations de la protection des données/Obligations de signalement 

                  En cas de violation des données personnelles, il importe peu que cela soit involontaire ou illégal. Afin d'éviter ou de limiter les dommages pour l'entreprise, les Directives sur les violations des données doivent être suivies en cas de perte de données personnelles, publication/partage accidentel de données personnelles ou violation de systèmes qui contiennent des données personnelles.
                  Si la violation des données personnelles est susceptible d'entraîner un risque élevé pour les droits et libertés individuels de la personne concernée, celle-ci doit être informée sans délai de la nature de la violation et des contre-mesures prises.

                  Registres des activités de traitement
                    Chaque site et/ou société de Corplex doit créer des registres des activités de traitement, dont la finalité vise à consigner :
                    • Quelles sont les données personnelles détenues :
                    • Sur quelles bases légales les données personnelles sont détenues ;
                    • Quelles procédures automatisées sont utilisées ;
                    • De quelle manière les données sont traitées ; et
                    • Quelles mesures de protection des données sont mises en place.
                    L'objectif de ces registres des activités de traitement consiste à assurer la transparence du traitement des données personnelles au sein de l'entreprise. Les registres doivent contenir suffisamment d'informations pour permettre une évaluation préliminaire de l'adéquation des mesures de protection des données techniques et organisationnelles. En particulier, la liste doit contenir des informations sur :
                    • Les noms et coordonnées des contacts de Corplex et du DPO (le cas échéant),
                    • La définition et la documentation de la finalité du traitement,
                    • La description des personnes concernées par le traitement,
                    • La description des catégories de données personnelles traitées,
                    • La description des catégories de destinataires des données personnelles,
                    • La documentation des autres pays vers lesquels les données personnelles sont transférées,
                    • La documentation sur les délais de suppression,
                    • La description des mesures techniques et organisationnelles.
                    La liste doit être actualisée au moins une fois par an.
                    Si nécessaire, les registres doivent être actualisés pour inclure les changements prévus, en particulier :
                    • Les nouveaux processus/procédures de l'entreprise (ex : évaluation des employés, compétences, recrutement, assistance à la clientèle, etc.) ;
                    • Les changements importants apportés aux procédures ;
                    • Les projets/exigences de Corplex, pour lesquels un transfert des données personnelles de la société Corplex est requis ; et
                    • Les projets des clients programmés impliquant le traitement de données personnelles.
                    Analyse d'impact relative à la protection des données
                      Lorsque le traitement automatisé entraîne un risque élevé pour les droits et les libertés de la personne concernée (surtout lorsque de nouvelles technologies sont utilisées), il doit faire l'objet d'un examen avant le début du traitement, sous la forme d'une Analyse d'impact relative à la protection des données (« DPIA »). Une DPIA doit être réalisée s'il existe :
                      • une analyse systématique et exhaustive des éléments personnels des individus sur la base d'un traitement automatisé (y compris le profilage) qui, à son tour, sert de base pour prendre des décisions qui affectent les droits légaux de ces personnes ;
                      • un traitement approfondi des catégories particulières de données personnelles ou de données personnelles relatives à des condamnations pénales ;
                      • un contrôle systématique et approfondi des zones accessibles au public.
                      Dans la mise en œuvre de la DPIA, l'équipe qui réalise le traitement doit demander la contribution du Divisional Privacy Officer concerné. Si nécessaire, des conseils supplémentaires peuvent être obtenus auprès de l'équipe juridique de Corplex Group ou du DPO (le cas échéant).
                       
                      Formation en matière de protection des données
                        Au début de la relation de travail avec Corplex, chaque employé doit signer un engagement envers la protection des données et une formation des employés sera dispensée au moins tous les deux ans par le biais d'une plateforme de formation en ligne.
                        Par ailleurs, des sessions de formation distinctes sont organisées pour les services informatiques, RH, SSC et marketing ainsi que pour les personnes occupant des fonctions de direction ou de supervision, initiées par l'équipe juridique et le DPO (le cas échéant).
                        Ces sessions de formation auront lieu sous la forme d'un cours en ligne et d'un webinaire interactif, ciblant particulièrement les services marketing et RH, qui sera déployé avant l'entrée en vigueur du RGPD en mai 2018. Le cours de formation en ligne sera reproposé tous les deux ans et des webinaires de perfectionnement seront déployés de façon continue.
                        Tous les cours de formation portant sur la protection des données sont obligatoires.
                         
                        Documentation et contrôle de la protection des données
                          Les sociétés de Corplex Group doivent être en mesure de prouver que leur traitement des données personnelles respecte les législations en matière de protection des données. L'équipe juridique doit donc être informée à temps avant l'introduction de nouvelles procédures de traitement des données, en particulier de nouveaux systèmes informatiques ou d'un traitement automatisé des données personnelles. En concertation avec l'équipe juridique, des mesures techniques et organisationnelles pour la protection des données personnelles doivent être définies, mises en œuvre et consignées.
                          Le respect des directives et des lois en vigueur sur la protection des données est vérifié par des audits sur la protection des données et par d'autres contrôles. La mise en œuvre incombe au DPO (le cas échéant), aux équipes juridiques, RH et informatiques. La direction de la société doit être informée des résultats significatifs dans le cadre des exigences de signalement respectives.
                           
                          Mise à jour et contact
                          L'équipe juridique du groupe est responsable de la mise à jour de cette Politique.
                          Les employés peuvent contacter l'équipe juridique pour toute suggestion, demande d'informations, question ou réclamation concernant la protection des données ou tout problème de sécurité des données via corplexonline@corplex.com. Les demandes et réclamations sont traitées de manière confidentielle.