PROTECTION DES DONNEES PERSONNELLES

V2024-03 DU 02.09.2024

Préambule

La protection des données personnelles est une condition importante de la confiance des clients et des collaborateurs, et donc de la réputation de CRP EXPERTS.

Sur un autre plan, la réglementation européenne exige une protection des données personnelles dans le cadre de la protection des libertés.

Périmètre, organisation et responsabilités

Cette procédure est applicable à tous les collaborateurs de la société CRP EXPERTS.

Elle couvre les demandes des clients mais aussi les demandes des collaborateurs de CRP EXPERTS.

Objet

La présente procédure a pour objet de fixer les principes et les règles d’organisation qui permettent d’assurer la conformité de CRP EXPERTS en matière de protection des données personnelles.

Elle transcrit notamment la politique générale en matière de protection des données personnelles et les procédures relatives à toutes les demandes des personnes pour faire valoir leurs droits mais aussi pour dénoncer les cas de violation.

Définition

Le règlement s’applique aux traitements automatisés et non automatisés de données personnelles des personnes physiques uniquement, contenues ou appelées à figurer dans des fichiers, dont le responsable est établi sur le territoire français ou utilise des moyens de traitement situés sur celui-ci.

Référence à la réglementation

Donnée à caractère personnel ou donnée personnelle
Traitement de données à caractère personnel (ci-après dénommé « traitement »)
Collecte de données personnelles
Fichier de données personnelles
Finalité d’un traitement de données personnelles
Responsable de traitement de données personnelles
Sous-traitance
Transfert de données vers des pays tiers (dénommés également « transfert international de données »)

Principes clefs issus du contexte règlementaire

La sensibilité toujours plus grande du public à la protection de ses données personnelles et le renforcement régulier de la réglementation et des contraintes imposées à toute conservation ou traitement de données, ainsi que des sanctions infligées pour tout manquement, conduisent CRP EXPERTS à adopter un dispositif d’un haut niveau d’exigence en la matière pour protéger sa réputation.

Droits des personnes à l’égard de ces traitements

CRP EXPERTS entend assurer aux personnes physiques les droits légaux relatifs aux données personnelles les concernant. Ainsi, les personnes physiques bénéficient légalement d’un :

Droit d’accès
Droit de rectification et suppression
Droit d’opposition
Droit à l’information.

Afin de respecter les principes et les droits énoncés ci-dessus, il convient notamment de :

Veiller à la bonne information, par tout moyen (notice ou encart d’information, support électronique, etc.), de chaque personne physique (client, collaborateur, etc.) pour laquelle CRP EXPERTS détient et traite des données personnelles, de la nature des traitements réalisés ou envisagés, et de ses droits en la matière (ci-dessous énoncés).
Imposer à chacun des prestataires (internes ou externes) amenés à collecter, accéder ou à traiter des données personnelles pour le compte de CRP EXPERTS, le strict respect de ces obligations, par le moyen d’engagements formalisés -contrats types- et, le cas échéant, par la mise en œuvre de mesures de sécurité et de contrôles.

Droit d’accès

Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données personnelles en vue d’obtenir :

Confirmation que des données personnelles la concernant font ou ne font pas l’objet de ce traitement ;
Des informations relatives aux finalités du traitement, aux catégories de données traitées, aux destinataires ou aux catégories de destinataires auxquelles les données sont communiquées ;

Le cas échéant, des informations relatives aux transferts de données personnelles envisagés hors Union Européenne.

La communication, sous forme accessible, des données personnelles qui la concernent.

Droit de rectification et de suppression

Toute personne physique justifiant de son identité peut exiger de CRP EXPERTS, responsable de traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données personnelles la concernant, dès lors qu’elles sont inexactes, incomplètes, équivoques, périmées ou lorsque la collecte, l’utilisation, la communication ou la conservation est interdite.

Droit d’opposition

Le droit d’opposition permet à un client personne physique et aux collaborateurs de CRP EXPERTS de s’opposer, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, au traitement de ses données personnelles.

Le client peut par ailleurs s’opposer sans avoir à justifier d’un motif, à ce que ses données soient utilisées à des fins de prospection, notamment commerciale.

Droit à l’information

Toute personne physique dont les données sont collectées doit être informée de la mise en œuvre d’un traitement de ses données, de l’identité du responsable de traitement, des finalités de la collecte et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne ainsi que des éventuels transferts de données.

Cas particulier de la collecte indirecte

Il s’agit de la collecte de données personnelles qui ne sont pas recueillies directement auprès de la personne concernée. Dans ce cas, il est nécessaire d’inviter la personne qui fournit les informations à informer l’intéressé des informations qu’elle a transmises à CRP EXPERTS et qui le concernent.

A défaut sans information préalable, les données de cette personne ne peuvent être « exploitées » par CRP EXPERTS.

Modalités pratiques d’exercice des droits d’accès, de rectification ou d’opposition

Formalisme de la demande

La personne physique (interne ou externe) peut effectuer une demande d’exercice de ses droits d’accès, de rectification ou d’opposition sous les formes :

Soit en l’adressant par courrier à CRP EXPERTS,
Soit en la déposant directement sur place à l’accueil de CRP EXPERTS.

Identification de la demande

Que la personne physique adresse sa demande sur place à l’accueil ou qu’elle l’envoie par courrier, une correspondance peut être considérée comme une demande d’exercice d’un droit d’accès, de rectification ou d’opposition, si elle ne contient pas au moins un des termes suivants :

Données personnelles / nominatives / vie privée,
CNPD,
Accès aux fichiers,
RGPD,
Dossier client / fichier client / carte de fidélité client,
Suppression / effacement de données ou de fichiers,
Correction / rectification de données ou de fichiers,

Traitement de la demande

Les clients peuvent déposer leur demande d’exercice des droits directement auprès des collaborateurs de CRP EXPERTS. Les clients et les collaborateurs peuvent envoyer un email pour exercer leurs droits.

S’il s’agit d’un client, la personne de CRP EXPERTS doit vérifier la signature et l’adresse du demandeur par rapport au Dossier Client si le dossier papier existe.

La demande du client, qu’elle soit orale ou écrite, doit être reçue. Il faut lui faire préciser l’adresse à laquelle il souhaite recevoir la réponse. Il doit également justifier son identité par tout moyen.

La réponse de CRP EXPERTS, réalisée par l’équipe, devra intervenir dans un délai maximum d’un mois à compter de la réception de la demande. Un délai d’un mois supplémentaire peut être accordé pour des raisons de complexité de réalisation techniques ou autres.

Coût : La réponse à l’exercice de ses différents droits par la personne physique ne lui est pas facturée excepté en cas de demande abusive.

Demande ou violation ?

Pour qu’il y ait violation, 2 conditions doivent être réunies :

CRP EXPERTS a mis en œuvre un traitement de données personnelles en relation avec les données incriminées dans la demande.
Ces données ont fait l’objet d’une violation :
perte de disponibilité,
perte d’intégrité,
perte de confidentialité,
des données personnelles de manière accidentelle ou illicite.

L’obligation de notifier à la CNPD les violations de données à caractère personnel est prévue à l’article 33 du règlement général sur la protection des données (RGPD). Elle concerne tous les responsables de traitement de données à caractère personnel. Dans le cas où la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose de notifier ces dernières.

Dans les cas de demande, l’équipe CRP EXPERTS va remplir le registre des demandes (Registre des demandes.xlsx) et mettre en œuvre la recherche des réponses à apporter à cette demande.

Contrôles et surveillance de la CNPD

La CNPD est une autorité administrative indépendante chargée de vérifier et contrôler que les données personnelles soumises à un traitement sont traitées en conformités avec les dispositions de la loi et ses règlements d’exécution.

Elle a un pouvoir de sanction, à savoir :

Sanctions administratives

La Commission nationale peut prendre les sanctions disciplinaires suivantes :

Avertir ou admonester le responsable du traitement ayant violé les obligations imposées en matière de sous- traitance et de sécurité.
Verrouiller, effacer ou détruire des données faisant l’objet d’un traitement contraire aux dispositions de la loi ou de ses règlements d’exécution;
Interdire temporairement ou définitivement un traitement contraire aux dispositions de la loi ou à ses règlements d’exécution;
Ordonner l’insertion intégrale ou par extraits de la décision d’interdiction par la voie des journaux ou de toute autre manière, aux frais de la personne sanctionnée.

Sanctions pénales

Emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement.

En application de la loi, est notamment puni de huit jours à un an d’emprisonnement et de 251 à 125 000 euros d’amende le fait, y compris par négligence :

De procéder ou de faire procéder à des traitements de données personnelles sans respecter les formalités préalables ;
De poursuivre un traitement malgré l’injonction de le cesser ;
De procéder (hors les cas prévus par la loi) à un transfert de données personnelles vers un Etat hors Union Européenne ;
De procéder à un traitement de données personnelles concernant une personne physique, malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection commerciale ;
De détourner les données personnelles de leur finalité ;
De divulguer des données personnelles à des tiers non autorisés sans autorisation de l’intéressé.

Il faut se rappeler que toute sanction prononcée par la CNPD peut aussi entraîner un risque de réputation, lorsque ces sanctions font l’objet d’une publication.

INFORMATIONS GENERALES SUR LA PROCEDURE

Ce document a été réalisé par CARLOTTI Nicolas collaborateur de CRP EXPERTS le 04.10.2021 et actualisé le 02.09.2024.

Il a été validé par le responsable Mr CAIAZZO Roland.

La procédure est publiée sur le site internet de CRP EXPERT et disponible en format papier au sein des bureaux.

La procédure est revue et améliorée de manière régulière et ses modifications font l’objet d’une nouvelle validation avant d’être publiées.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.