Liste des politiques actives
| Nom | Type | Consentement utilisateur |
|---|---|---|
| Politique ADMR de protection des données à caractère personnel | Politique de site | Tous les utilisateurs |
Résumé
Objet :
La présente politique de protection des données à caractère personnel a pour but d’informer toutes les personnes concernées par les traitements de données (clients, prospects, candidats, salariés, stagiaires, bénévoles…), les collaborateurs et tout partenaire (donneur d’ordre, financeurs, sous-traitants), notamment sur les aspects suivants :
- La manière dont sont collectées les données personnelles ;
- Les droits dont disposent les personnes concernées par les traitements mis en œuvre directement ou, le cas échéant, avec des sous-traitants ;
- Les entités responsables de traitements des données à caractère personnel collectées et traitées ;
- Les destinataires potentiels des données personnelles ;
- Les règles de sécurité et de confidentialité mises en œuvre
Cette politique complète les mentions d’information présentes sur les différents document communiqués (devis, contrats, livrets d’accueil…).
Elle s’articule autour de 11 articles principaux.
Politique complète
L’ADMR traite les données exclusivement dans le cadre des finalités définies au contrat ou rendues nécessaires par son exécution, et respecte les obligations qui lui incombent en vertu de la réglementation.
L’ADMR fait respecter la présente politique de protection des données par ses collaborateurs et par ses sous-traitants éventuels.
L’ADMR veille à ce que chaque personne concernée par un traitement de données à caractère personnel en soit informée par tout moyen via des mentions spécifiques, notamment via les supports suivants :
- Devis et/ou contrat de prestation,
- Dossier de candidature,
- Contrat de travail
- Livret d’accueil (salarié, client, bénévole)
- Site internet
- Carte d’adhérent
Conformément au Règlement européen 2016/679, les données à caractère personnel sont :
- Traitées de manière licite, loyale et transparente au regard de la personne concernée ;
- Collectées pour des finalités déterminées (cf. Article 2), explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
- Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
- Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- Traitées de façon à garantir une sécurité appropriée des données collectées, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
L’ADMR collecte les seules données indispensables à la réalisation de la finalité définie.
- Pour les prospects :
o Les informations collectées se limitent aux seules données nécessaires à la prise en compte des attentes et de la réponse aux besoins.
- Pour les clients :
o Les informations collectées se limitent aux seules données nécessaires pour apporter la réponse, le service adapté aux besoins.
- Pour les adhérents, les bénévoles :
o Les informations collectées se limitent aux seules données nécessaires à la prise en compte de l’adhésion, de l’engagement bénévole et de son suivi.
- Pour les candidats salariés :
o Les informations collectées se limitent aux seules données nécessaires pour gérer les candidatures, mesurer l’employabilité (compétences, qualifications…), et le cas échéant alimenter le dossier salarié.
- Pour les salariés :
o Les informations collectées se limitent aux seules données nécessaires à la gestion du dossier salarié. Elles ont notamment vocation à être utilisées pour : la gestion administrative, la gestion des dotations individuelles en fournitures, équipements, véhicules, contrôle de l’accès aux locaux…, la gestion de la paie, l’organisation du travail, la gestion de la carrière, la formation…
Afin d’assurer la continuité de service et d’apporter une réponse adaptée aux besoins des clients, les données traitées peuvent être mises à disposition de toute personne autorisée au sein des structures du réseau ADMR.
Les données des clients peuvent être transmises notamment (dans la limite des seules données nécessaires) :
- Aux organismes de prise en charge de l’intervention ;
- Aux différents acteurs de la prise en charge dans le cadre de l’équipe de soins ou après recueil du consentement du client ;
- Aux sous-traitants techniques et informatiques, dans le cadre de contrats intégrant des clauses de confidentialité ;
- A tout tiers autorisé après vérification du fondement législatif ou réglementaire de sa demande.
Les données des salariés peuvent être transmises (dans la limite des seules données nécessaires) :
- Aux organismes publics dans le cadre de nos obligations légales ;
- Aux organismes de prévoyance, de complémentaire santé (et d’épargne collective) à des fins d’affiliations ;
- Aux instances représentatives du personnel dans la limite des seules obligations légales ;
- Aux sous-traitants techniques et informatiques, dans le cadre de contrats intégrant des clauses de confidentialité ;
- A tout tiers autorisé après vérification du fondement législatif ou réglementaire de sa demande.
Les données ne sont conservées que pour une durée adéquate à la finalité ou pour une durée conforme à la loi (obligation de conservation ou prescription). A cet effet, des durées de conservations sont préconisées par le DPO réseau ADMR en lien avec l’Union nationale ADMR.
L’ADMR prend toutes les précautions utiles afin de préserver la confidentialité des données personnelles, et s’interdit notamment de :
- Divulguer les Données Personnelles à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales sauf sur demande de tiers autorisés selon une démarche officielle justifiée, et uniquement après en avoir vérifié les bases légales,
- Céder, louer, transmettre, ou mettre à disposition d’un tiers, à quelque titre et pour quelque motif que ce soit, les données personnelles traitées.
Conformément à la règlementation, l’ADMR s’engage à prendre toutes mesures de sécurité et toutes les précautions utiles, et/ou à les faire prendre par ses sous-traitants, pour assurer la sauvegarde, la conservation et l’intégrité des données personnelles traitées tant au niveau des flux que dans ses bases de données et systèmes de fichiers.
Parmi ces mesures, l’ADMR et ses sous-traitants, mettent en place et maintiennent tous les moyens techniques, logiques, organisationnels, physiques de sécurité permettant de garantir aux traitements des données personnelles mis en œuvre un niveau de sécurité adapté au risque et conformes à l’état de l’art, permettant entre autres, selon les besoins de :
- Pseudonymiser, chiffrer les données personnelles ;
- Garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- Rétablir la disponibilité des données personnelles et les traitements dans des délais appropriés en cas d'incident physique ou technique ;
- Tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
- Préserver et garantir la sécurité des accès et interfaces ;
- Empêcher que les données personnelles ne soient déformées, utilisées de manière détournée ou frauduleuse, endommagées ou communiquées à des personnes non autorisées.
L’ADMR veille et impose à ses sous-traitants, qu’aucun transfert, ni traitement de données personnelles ne soit réalisé hors de l’Union Européenne.
Le DPO réseau ADMR (Délégué à la protection des données), désigné par l’Union nationale ADMR et par chaque entité juridique ADMR accompagne chaque responsable de traitement dans la conformité de son organisation.
Dans ses missions, il est secondé par des Relais Informatiques et Libertés désignés au niveau départemental.
Conformément à la législation en matière de protection des données à caractère personnel (CNIL - RGPD), toute personne concernée par un traitement peut demander l’accès, la rectification, l’effacement ou la portabilité de ses données, définir des directives relatives à leur sort après le décès, ou s’opposer à leur traitement pour un motif légitime.
Ces droits peuvent s’exercer en s’adressant directement à l’organisme ADMR concerné ou directement auprès du Délégué à la Protection des Données désigné : dpo.adyfor@un.admr.org.
Si la personne concernée par le traitement estime, après avoir contacté l’organisme ADMR ou le DPO, que ses droits « Informatique et Libertés » ne sont pas respectés, elle peut adresser une réclamation à la CNIL.
L’ADMR se réserve le droit de faire évoluer sa politique de protection des données à caractère personnel à tout moment pour tenir compte de l’évolution des nouvelles réglementations et de ses usages
- Base légale d’un traitement : Cadre dans lequel le traitement peut-être légalement mis en œuvre. Il existe 6 bases légales :
o Le consentement,
o L’exécution du contrat,
o Une obligation légale,
o La sauvegarde des intérêts vitaux de la personne concernée,
o Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
o Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
- CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité administrative indépendante créée en 1978, qui a pour missions :
o Informer, protéger les droits
o Accompagner la conformité / conseiller
o Anticiper et innover
o Contrôler et sanctionner
- Confidentialité des données : La confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.
- Données Personnelle(s) ou Donnée(s) à Caractère Personnel ou Donnée(s): information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d’identification, ou à un ou plusieurs éléments qui lui sont propres, telle que définie par la règlementation, y compris les métadonnées.
- DPO ou DPD : Le Délégué à la Protection des Données. Le DPO est le garant du respect de la réglementation au sein de l’entreprise. Parmi ses missions, il doit informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; contrôler le respect du règlement, d’autres dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant.
- Droit à la portabilité : Toute personne a le droit de se voir remettre ou transmettre, dans un langage réutilisable, l’ensemble des données qu’elle a confié/transmis sur un site internet.
- Droit à l’information : Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union européenne. La présente politique de protection des données participe au respect du droit à l’information.
- Droit d’accès : Toute personne peut prendre connaissance de l’intégralité des données la concernant dans un fichier en s’adressant directement à ceux qui les détiennent, et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction.
- Droit de rectification : Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.
- Droit d’opposition : Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier, et peut refuser sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection commerciale.
- Fichier : Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminé (fichier informatique ou papier…).
- Finalité d’un traitement : But, objectif poursuivi (Exemples : facturer les clients, rémunérer le personnel, faire la comptabilité…).
- Organisme - structure : Union nationale, fédération, association, … entité juridique ADMR mettant en œuvre des traitements.
- Personne concernée : personne physique à laquelle sont relative les Données Personnelles.
- Règlementation : Ensemble des lois et règlements applicables en France en matière de protection des Données Personnelles, y compris la loi dite « Informatiques et Libertés » n°78-17 du 6 janvier 1978 modifiée en 2004, le RGPD et leurs textes subséquents.
- Registre des traitements : Liste des traitements de données à caractère personnel mis en œuvre par un organisme. Le registre est tenu pour le responsable de traitement par le DPO désigné.
- RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données applicables à compter du 25 mai 2018.
- Responsable de traitement : Autorité qui détermine les finalités du traitement et les moyens nécessaires à sa mise en œuvre. Dans le cadre de l’ADMR, il s’agit des Conseils d’administration de chaque structure (fédération, association), représentées par leurs Présidents(es) agissant en tant que représentants légaux.
- Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Traitement : Toute(s) opération(s) ou tout ensemble d'opérations concernant les Données Personnelles, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ou toute opération désignée comme « Traitement » par la réglementation.
- Violation des Données Personnelles : Violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.