Politique de confidentialité et de protection des données d'Accuracy

1. DÉFINITION

On entend par consentement toute manifestation de volonté, libre, spécifique et informée, par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le consentement peut être obtenu par un certain nombre de méthodes. Il peut s'agir de clauses dans les contrats de travail, de cases à cocher dans les lettres d'engagement et les contrats avec les fournisseurs, et de cases à cliquer dans les formulaires en ligne dans lesquels des données à caractère personnel sont saisies. Dans la plupart des pays de l'Union européenne et au Canada, le consentement au traitement des données personnelles sensibles doit être clair et sans équivoque. Cela signifie généralement qu'une forme de consentement spécifique et actif est requise. Cette exigence est parfois jugée moins claire en dehors de l'UE et du Canada. Les données sont des informations qui :

  • est traitée au moyen d'un équipement fonctionnant automatiquement en réponse à des instructions données à cette fin ; et/ou
  • est enregistré dans l'intention d'être traité au moyen d'un tel équipement ; et/ou
  • est enregistré dans le cadre d'un système d'archivage pertinent ou dans l'intention qu'il fasse partie d'un système d'archivage pertinent ; et/ou
  • ne relève d'aucune des catégories ci-dessus, mais fait partie d'un dossier facilement accessible concernant une personne.

Les données comprennent donc toutes les données numériques provenant d'un ordinateur ou d'un équipement automatisé, les enregistrements téléphoniques et toute information manuelle faisant partie d'un système de classement pertinent. Contrôleur des données : personne qui (seule ou avec d'autres) détermine les finalités et la manière dont les données à caractère personnel sont ou doivent être traitées. Dans la plupart des cas, Accuracy sera le contrôleur des données. Exportateur de données : le contrôleur de données ou le responsable du traitement des données qui transfère les données à caractère personnel à l'étranger. Importateur de données : le contrôleur de données ou le responsable du traitement des données qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue d'un traitement ultérieur conformément aux dispositions de la présente politique et de l'accord de transfert de données correspondant. Responsable du traitement des données : toute personne, autre qu'un employé du responsable du traitement des données, qui traite les données pour le compte du responsable du traitement des données. Une entreprise peut être un responsable du traitement des données si elle est définie comme telle dans un contrat avec le responsable du traitement des données. Le sujet des données est la personne à laquelle les données se réfèrent. Les personnes concernées comprennent les clients et les utilisateurs du site web, les personnes figurant sur les listes de contact/e-mailing ou les bases de données marketing, les employés, les sous-traitants et les fournisseurs. Données personnelles : données relatives à une personne vivante qui peut être identifiée à partir de ces données ou de ces données et d'autres informations en possession, ou susceptibles d'entrer en possession, d'un contrôleur de données ou d'un responsable du traitement des données. Les données à caractère personnel ne comprennent pas les informations qui ont été rendues anonymes, codées ou autrement dépouillées de leurs identifiants, ni les informations qui sont accessibles au public, à moins qu'elles ne soient combinées avec d'autres informations à caractère personnel non publiques. Le traitement couvre une grande variété d'opérations relatives aux données, y compris l'obtention, l'enregistrement ou la conservation des données ou l'exécution de toute opération ou série d'opérations sur les données, y compris :

  • l'organisation, l'adaptation ou la modification ;
  • la divulgation par transmission, diffusion ou autre ; et
  • l'alignement, la combinaison, le blocage, l'effacement ou la destruction.

Système de classement pertinent : tout ensemble d'informations relatives à des personnes physiques, conservées dans des fichiers manuels ou électroniques, structurées, soit par référence à des personnes physiques, soit par référence à des critères relatifs à des personnes physiques, de manière à ce que les informations spécifiques relatives à une personne physique donnée soient facilement accessibles. Par conséquent, toute base de données numérique et/ou tout fichier manuel organisé se rapportant à des personnes vivantes identifiables relève du champ d'application des lois et règlements relatifs à la protection des données, alors qu'une base de données purement statistique ou financière (qui ne peut être directement ou indirectement liée à des personnes vivantes identifiables) n'entre pas dans ce champ d'application. Données sensibles : données personnelles contenant des informations sur la personnalité de la personne concernée :

  • la race ou l'origine ethnique ;
  • des convictions religieuses ou d'autres convictions de nature similaire ;
  • les opinions politiques ;
  • la santé ou l'état physique ou mental ;
  • l'histoire ou l'orientation sexuelle ;
  • l'appartenance à un syndicat ; et/ou
  • la commission ou la prétendue commission d'une infraction et toute procédure judiciaire y afférente.

La technologie comprend tout moyen de collecte ou de traitement des données, y compris, sans s'y limiter, les ordinateurs et les réseaux, les systèmes de télécommunications, les dispositifs d'enregistrement vidéo et audio, les dispositifs biométriques, la télévision en circuit fermé, etc.

2. BUT

Cette politique définit les exigences de conformité aux lois et réglementations applicables à la collecte, l'utilisation, le traitement et le transfert de données personnelles par Accuracy dans le monde entier.

3. CHAMP D'APPLICATION

  • Accuracy s'engage à se conformer aux exigences applicables en matière de protection et de confidentialité des données dans les pays où il opère. En raison des différences entre ces juridictions, Accuracy a adopté une politique de protection des données qui crée un noyau commun de valeurs, de politiques et de procédures visant à assurer une conformité générale, complétée (le cas échéant) par des instructions et des conseils supplémentaires applicables dans les juridictions ayant des exigences particulières.
  • Cette politique est basée sur le Règlement général sur la protection des données (RGPD) au sein du Règlement UE 2016/679 qui fournit un modèle générique robuste pour la protection des données et la conformité à la vie privée à l'échelle mondiale. Le GDPR a été intégré dans la législation sur la protection des données de chaque juridiction. Accuracy a également établi un accord de transfert de données intra-groupe (IGDTA) basé sur les clauses types reconnues de l'UE, afin d'être autorisé pour le transfert mondial, et le sous-traitement ultérieur, des données à travers l'ensemble de son réseau mondial de sociétés du groupe.
  • Cette politique s'applique aux employés à temps plein et à temps partiel d'Accuracy, aux employés des agences et à tous les fournisseurs et clients qui reçoivent des données personnelles d'Accuracy, qui ont accès aux données personnelles collectées ou traitées par Accuracy, ou qui fournissent des informations à Accuracy, quelle que soit leur situation géographique.
  • Accuracy s'engage à ne pas traiter de données personnelles sans en informer les autorités chargées de la protection des données dans toutes les juridictions qui exigent une telle notification. Pour garantir la conformité avec les réglementations, Accuracy établira correctement son statut pour tous les traitements de données, soit en tant que contrôleur de données, soit en tant que processeur de données agissant pour le compte d'un autre contrôleur de données.

 

4. CONFORMITÉ DU GROUPE

  • Le programme de conformité des données d'Accuracy sera supervisé par le responsable de la conformité du groupe (HGC), assisté par le personnel de conformité et les auditeurs internes nommés localement, le cas échéant. Les responsabilités peuvent être déléguées par le HGC.
  • Le HGC mettra en œuvre les procédures internationales de protection des données d'Accuracy et l'IGDTA, ainsi que toutes les obligations requises par la loi applicable, y compris :
    • déterminer si une notification à une ou plusieurs autorités de protection des données est nécessaire en raison des activités de traitement des données d'Accuracy, puis procéder à toute notification requise et maintenir ces notifications à jour ;
    • concevoir et mettre en œuvre des programmes permanents de formation des employés aux règles et procédures de protection des données ;
    • établir (avec la participation du département informatique) des procédures et des dispositions contractuelles standard pour obtenir le respect de la présente politique par Accuracy, les clients, les fournisseurs et les tiers qui reçoivent des données personnelles d'Accuracy, qui ont accès aux données personnelles collectées ou traitées par Accuracy, ou qui fournissent des informations à Accuracy, quelle que soit leur situation géographique ;
    • mettre en place des mécanismes d'audit périodique du respect de la présente politique, des procédures de mise en œuvre et de la législation applicable ;
    • la mise en place, le maintien et le fonctionnement d'un système permettant de répondre rapidement et de manière appropriée aux demandes d'exercice de leurs droits par les personnes concernées ;
    • la mise en place, le maintien et le fonctionnement d'un système permettant d'informer rapidement et de manière appropriée les autorités compétentes et les personnes concernées de toute perte de données à caractère personnel ;
    • informer les cadres supérieurs, les directeurs et les partenaires d'Accuracy des sanctions civiles et pénales potentielles qui peuvent être imposées à Accuracy et/ou à ses employés en cas de violation des lois applicables en matière de protection des données ;
    • veiller à ce que les plans de gestion des risques liés à la protection des données soient mis en œuvre efficacement et rapidement ;
    • veiller à ce qu'une assurance adéquate concernant l'efficacité des procédures et des audits en matière de protection des données soit fournie aux partenaires et aux autres parties prenantes.

 

5. PRINCIPES DE PROTECTION DES DONNÉES

  • Accuracy a adopté les principes suivants pour régir l'utilisation, la collecte et la transmission des données personnelles, sauf dans les cas expressément prévus par la présente politique ou par les lois applicables :
    • Les données à caractère personnel ne sont traitées que de manière loyale et licite ;
    • Les données à caractère personnel ne sont obtenues que pour des finalités déterminées, explicites, licites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;
    • Accuracy s'efforce raisonnablement de veiller à ce que les données à caractère personnel soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et/ou traitées ;
    • Les données à caractère personnel ne sont collectées ou traitées que si l'une ou plusieurs des conditions suivantes sont réunies :
      • La personne concernée a donné son consentement ;
      • Le traitement est raisonnablement nécessaire à l'exécution d'un contrat conclu directement avec la personne concernée ou pour lequel la personne concernée est un employé d'une partie ;
      • Le traitement est nécessaire au respect d'une obligation légale d'Accuracy ;
      • Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ;
      • Le traitement est nécessaire aux fins des intérêts légitimes d'Accuracy ou du ou des tiers auxquels les données sont communiquées, sauf si les libertés et droits fondamentaux de la personne concernée l'emportent sur ces intérêts.
      • Des mesures physiques, techniques et procédurales appropriées sont prises pour :
        • prévenir et/ou identifier le traitement non autorisé ou illégal de données à caractère personnel ; et
        • prévenir la perte ou la destruction accidentelle des données à caractère personnel ou les dommages qui leur sont causés.

 

6. TRANSFERTS À DES TIERS

  • Les données à caractère personnel ne sont pas transférées à une autre entité, un autre pays ou un autre territoire, à moins que des mesures raisonnables et appropriées n'aient été prises pour établir et maintenir le niveau requis de sécurité des données.
  • Les données à caractère personnel ne peuvent être communiquées à des tiers que pour des raisons compatibles avec les objectifs pour lesquels les données ont été collectées à l'origine ou pour d'autres objectifs autorisés par la loi.
  • Tous les transferts de données à caractère personnel à des tiers en vue d'un traitement ultérieur doivent faire l'objet d'un accord écrit ou être régis par l'IGDTA d'Accuracy pour les transferts de données internes.
  • Les données personnelles de l'UE ne seront pas transférées vers un pays ou un territoire situé en dehors de l'Espace économique européen (EEE), à moins que le transfert ne soit effectué vers un pays ou un territoire reconnu par l'UE comme ayant un niveau adéquat de sécurité des données, auquel Accuracy s'est inscrit.
  • Sous réserve des dispositions ci-dessus, les données à caractère personnel peuvent être transférées dans les cas suivants :
    • La personne concernée a donné son consentement au transfert proposé ;
    • Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée (personnellement ou par l'intermédiaire de son employeur en tant que client d'Accuracy) et Accuracy ;
    • Le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre Accuracy et un tiers ;
    • Le transfert est nécessaire ou légalement requis pour des motifs d'intérêt public importants, ou pour l'établissement, l'exercice ou la défense de réclamations légales ;
    • Le transfert est exigé par la loi ;
    • Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée.

 

7. PRÉVENTION DES SYSTÈMES INFORMATIQUES NON CONFORMES

  • Le directeur général des technologies de l'entreprise (CTO) établit une procédure d'évaluation de l'impact de toute technologie nouvelle ou existante sur la confidentialité et la sécurité des données à caractère personnel.
  • Aucun nouveau système ou nouvelle version d'un système existant n'est mis à disposition pour utilisation tant que le CGH n'a pas obtenu la confirmation écrite du CTO qu'il n'y a pas de violation de la protection des données ou d'autres exigences ou réglementations légales.

 

8. SOURCES DES DONNÉES À CARACTÈRE PERSONNEL

  • Les données à caractère personnel ne sont collectées qu'auprès de la personne concernée, à moins que la nature de l'objectif commercial ne nécessite la collecte de données auprès d'autres personnes ou organes.
  • Si des données à caractère personnel sont collectées auprès d'une personne autre que la personne concernée, l'unité opérationnelle qui collecte les données doit avoir la confirmation, par écrit, du fournisseur des données que la personne concernée a consenti au transfert à Accuracy.

 

9. DROITS DE LA PERSONNE CONCERNÉE

  • Les personnes concernées ont le droit d'obtenir des informations sur leurs propres données à caractère personnel sur demande écrite adressée au HGC, qui mettra en place un système permettant d'enregistrer chaque demande au titre de la présente section au fur et à mesure de sa réception et de noter la date de réponse.
  • L'entreprise répondra à une demande telle que décrite ci-dessus dans un délai de 40 jours à compter de la date de la demande écrite, ou dans un délai plus court si la législation du pays l'exige.
  • Les personnes concernées ont le droit d'exiger d'Accuracy qu'elle corrige ou complète les données à caractère personnel erronées, trompeuses, périmées ou incomplètes.
  • Accuracy peut fixer des frais raisonnables pour couvrir le coût de la réponse aux demandes des personnes concernées non salariées.

 

10. DONNÉES SENSIBLES

  • Les données à caractère personnel sensibles ne doivent être traitées que si
    • ce traitement est spécifiquement autorisé ou requis par la loi ;
    • la personne concernée y consent expressément et sans ambiguïté ;
  • Lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement, mais que le traitement est nécessaire pour protéger un intérêt vital de la personne concernée, cette exemption peut s'appliquer, par exemple lorsque des soins médicaux d'urgence sont nécessaires.
  • Les données relatives aux infractions pénales ne peuvent être traitées que par le HGC ou sous son contrôle.

 

11. ASSURANCE DE LA QUALITÉ DES DONNÉES

  • Les données personnelles ne doivent être conservées que pendant la période nécessaire aux utilisations autorisées. Accuracy a établi des politiques locales de conservation des enregistrements qui déterminent les délais applicables à la suppression des données.
  • Les données personnelles seront supprimées si leur conservation enfreint les règles de protection des données ou si la connaissance des données n'est plus nécessaire à Accuracy, ou à la demande de la personne concernée.

 

12. TRAITEMENT INTRA-GROUPE

  • Si Accuracy fait appel à une autre société du groupe pour l'aider dans ses activités de traitement, elle conclura un accord de transfert de données basé sur les clauses types de l'UE avec cette autre société du groupe afin de s'assurer que la responsabilité des données est clairement identifiée, car les deux parties peuvent être considérées comme des contrôleurs de données.
  • Les sociétés du groupe impliquées dans le traitement sont appelées respectivement exportateur et importateur de données, bien qu'il puisse y avoir plus d'un importateur de données impliqué dans le traitement.

 

13. SOUS-TRAITANTS TIERS

De même, lorsqu'Accuracy fait appel à des tiers pour l'assister dans ses activités de traitement, Accuracy choisira un responsable du traitement des données qui fournit des mesures de sécurité suffisantes et prendra des mesures raisonnables pour garantir le respect de ces mesures.

 

14. CONTRATS ÉCRITS POUR LES SOUS-TRAITANTS TIERS

Par conséquent, Accuracy doit conclure un contrat écrit avec chaque responsable du traitement des données, exigeant que ce dernier se conforme aux exigences de confidentialité et de sécurité des données imposées à Accuracy en vertu de la législation locale.

 

15. AUDITS DES SOUS-TRAITANTS TIERS

Dans le cadre de son processus d'audit interne des données, Accuracy procède à des vérifications périodiques du traitement effectué par des sous-traitants tiers, notamment en ce qui concerne les procédures de transfert des données, en particulier pour ce qui est des mesures de sécurité.

 

16. AVIS AUX ASSOCIÉS, DIRECTEURS, CADRES SUPÉRIEURS ET AGENTS SUR LES SANCTIONS POTENTIELLES EN CAS DE NON-RESPECT DES RÈGLES

  • Le HGC informe les associés, les directeurs et les cadres supérieurs d'Accuracy que :
    • le non-respect de la législation sur la protection des données peut entraîner une responsabilité pénale et civile, y compris des amendes, des peines d'emprisonnement et des dommages-intérêts ; et
    • ils peuvent être personnellement responsables lorsqu'une infraction est commise par Accuracy avec leur consentement ou leur connivence, ou qu'elle est imputable à une négligence de leur part.

 

17. SÉCURITÉ DES DONNÉES

  • Accuracy dispose d'une politique de gestion de la sécurité des données, en vertu de laquelle elle doit adopter des mesures physiques, techniques et organisationnelles pour assurer la sécurité des données personnelles, y compris la prévention de leur altération, perte, dommage, traitement ou accès non autorisé, compte tenu de la nature des données et des risques auxquels elles sont exposées du fait de l'action humaine ou de l'environnement physique ou naturel. Ces mesures seront documentées dans la politique de sécurité des données, qui sera révisée au moins une fois par an, ou lorsque cela s'avérera nécessaire pour refléter des changements significatifs dans les dispositions de sécurité.
  • Les mesures de sécurité adéquates doivent comprendre tous les éléments suivants :
    • Empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données dans lesquels des données à caractère personnel sont traitées ;
    • Empêcher les personnes autorisées à utiliser un système de traitement des données d'accéder aux données au-delà de leurs besoins et de leurs autorisations ;
    • Veiller à ce que les données à caractère personnel transmises par voie électronique, transportées ou stockées sur un support de données ne puissent être lues, copiées, modifiées ou supprimées sans autorisation ;
    • prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel sont protégées contre toute destruction ou perte indésirable ;
    • prendre toutes les mesures raisonnables pour garantir que les données collectées à des fins différentes peuvent être et seront traitées séparément ;
    • prendre toutes les mesures raisonnables pour s'assurer que les données ne sont pas conservées plus longtemps que prévu dans la politique de conservation des données, y compris en exigeant que les données transférées à des tiers soient renvoyées ou détruites.

 

18. MESURE DE LA CONFORMITÉ

  • Le CGH établit un calendrier et met en œuvre un audit de conformité en matière de protection des données pour toutes les unités opérationnelles. Le CGH, en coopération avec les unités opérationnelles, élabore un plan et un calendrier pour corriger toute lacune identifiée dans un délai fixe et raisonnable.
  • Chaque unité opérationnelle de la Compagnie examine chaque année ses pratiques en matière de collecte, de traitement et de sécurité des données et détermine les données à caractère personnel qu'elle recueille, y compris celles qui sont conservées dans des systèmes manuels constituant des "systèmes d'archivage pertinents".
  • Les informations recueillies dans le cadre de cet examen annuel sont transmises au Conseil supérieur de l'agriculture pour examen et action appropriée, y compris, mais sans s'y limiter :
    • formuler des recommandations pour l'amélioration des politiques et des procédures afin d'améliorer le respect de la présente politique et de la législation applicable ;
    • satisfaire aux exigences de l'auto-certification de la conformité au sein des autorités locales de protection des données, et de la conformité avec la propre IGDTA d'Accuracy ;
  • Cette politique sera accessible aux employés sur l'Intranet d'Accuracy et une version publique abrégée sera mise à la disposition des autres sur le site Internet des sociétés Accuracy.
  • Le CGH, en coopération avec les unités opérationnelles, élaborera un calendrier et un programme pour la mise en œuvre de cette politique.
  • Cette politique peut être révisée à tout moment, mais au moins une fois par an, par le HGC. Les révisions importantes seront notifiées aux employés sur l'intranet d'Accuracy et aux autres parties prenantes sur le site web d'Accuracy Companies.
  • Trier par secteur