RGPD

Règlement général sur la protection des données-RGPD

Politique de Sécurité Des Données


INTRODUCTION

Chez 328 RECORDS nous collectons, traitons et stockons des données personnelles à des fins commerciales diverses. Les personnes concernées sont les clients, les fournisseurs, les partenaires, les employés, les clients et autres parties prenantes et individus.
En gardant à l'esprit l'engagement de 328 RECORDS  à faire respecter les droits de l'individu tels qu'ils sont consacrés par la loi, notre politique de sécurité des données est conçue pour protéger tous les employés, clients ou partenaires passés, actuels et futurs, contre toute activité illégale ou préjudiciable menée par des tiers utilisant leurs données personnelles.

Notre politique de sécurité des données décrit comment 328 RECORDS  s'efforcera de garder et de protéger toutes les données personnelles. Elle vise également à sensibiliser les membres du personnel à l'impact du RGPD sur leur utilisation des données personnelles des individus.

Cette politique s'applique à toutes les activités de traitement des données impliquant 328 RECORDS  et inclut les activités ou systèmes liés à la fois aux opérations commerciales internes, ainsi qu'aux relations externes et à tout accord avec des tiers.

Veuillez noter que la politique de sécurité des données de 328 RECORDS  s'applique à tous les employés, et que cette politique peut faire l'objet de révisions et de modifications régulières. Pour plus d'informations sur cette politique et sa mise en œuvre globale, consultez notre délégué à la protection des données.

Ce document fait l'objet d'une révision régulière afin de garantir une conformité réglementaire permanente.

DONNEES PERSONNELLES

Les données personnelles englobent tout type d'information se rapportant à un individu identifiable. Les différents types de données personnelles que 328 RECORDS  peut collecter, stocker et traiter peuvent inclure :


• les coordonnées de contact
• des informations financières
• le contexte éducatif
• Certifications
• Compétences
• Nationalité
• État civil
• Titre de l'emploi

La liste ci-dessus n'est en aucun cas exhaustive et ne doit être utilisée que comme point de référence à partir duquel une définition pratique des données à caractère personnel peut être établie et développée.


Données personnelles sensibles

En vertu du RGPD, les données personnelles sensibles sont définies comme englobant l'un des éléments suivants :
• Origine raciale ou ethnique
• opinion politique
• croyances religieuses ou philosophiques
• l'appartenance à un syndicat
• Données génétiques
• Données biométriques
• Informations relatives à la santé
• Orientation sexuelle


Il est primordial que toutes les données personnelles sensibles fassent l'objet d'un contrôle rigoureux dans le cadre de la mise en œuvre de notre politique de sécurité des données.


Finalités des données à caractère personnel AVENIR BURALISTE  utilise les données à caractère personnel à des fins diverses. Ces objectifs peuvent inclure :

• Financière
• Administratif
• Ressources humaines
• Conformité réglementaire
• Paie
• Développement commercial

Veuillez noter que la liste ci-dessus n'est en aucun cas exhaustive et qu'elle doit simplement être utilisée comme point de référence à partir duquel une définition pratique de l'objectif peut être établie.

Objectifs commerciaux

328 RECORDS doit exécuter une série de fonctions et de processus dans le cadre de son activité opérationnelle. Les données conservées dans le cadre de ces activités relèvent de la catégorie des données à des fins commerciales, qui comprennent les informations de la nature suivante :


• Opérationnel
• Conformité
• Respect des politiques
• Ressources humaines et personnel
• Marketing

La liste ci-dessus n'est en aucun cas exhaustive et ne doit être utilisée que comme un point de référence à partir duquel une définition pratique des objectifs de l'entreprise peut être établie et développée.


Traitement équitable

Chez 328 RECORDS  il y aura des occasions où les employés devront traiter des données personnelles ; cependant, les activités de traitement doivent toujours être effectuées d'une manière équitable et légale, compatible avec les droits de chaque individu correspondant. Par conséquent, nous devons éviter de traiter les données personnelles de toute personne qui ne nous a pas donné son consentement explicite.

Notre entreprise doit s'efforcer d'obtenir à tout prix un consentement explicite, et nous devons clairement identifier à l'individu quelles données sont traitées, pourquoi nous devons les utiliser et qui aura accès à ses données. Ces facteurs doivent être identifiés et clairement réitérés à la personne au moment de la demande de consentement.
Il convient de noter qu'il peut y avoir des circonstances exceptionnelles dans lesquelles on nous demande de traiter des données personnelles sensibles sans consentement. Un exemple de circonstance exceptionnelle pourrait inclure des obligations légales que nous pourrions devoir remplir pour nous conformer aux réglementations en matière de santé et de sécurité.

328 RECORDS s'efforce de prendre toutes les mesures nécessaires pour garantir que toutes les données personnelles que nous obtenons, traitons et stockons sont exactes, pertinentes et adéquates par rapport à la raison pour laquelle nous avons demandé ces informations. Nous ne devons pas détenir de données excessives ou non pertinentes sur des individus, et nous ne traiterons aucune donnée personnelle dans un but non lié à celui pour lequel l'individu concerné a consenti au traitement de ses données.


Nos rôles et responsabilités

La sécurité des données est un élément essentiel de notre activité. Il incombe à chacun au sein de 328 RECORDS  d'assumer la responsabilité de la sécurité des données, et tous les employés doivent se familiariser avec notre politique de sécurité des données et faire tout ce qui est en leur pouvoir pour respecter cette politique au quotidien.

Veuillez noter que 328 RECORDS  prend la protection des données très au sérieux, et nous attendons de tous les membres du personnel qu'ils adhèrent à cette politique de sécurité des données. Tout manquement ou refus de se conformer à cette politique pourrait, à terme, mettre notre entreprise en danger.

En gardant cela à l'esprit, le non-respect personnel de cette politique de sécurité des données pourrait entraîner des mesures disciplinaires dans le cadre des procédures ordinaires relatives au personnel. Pour toute autre question concernant la protection des données, veuillez contacter votre supérieur hiérarchique chez 328 RECORDS  .

En tant que membre du personnel de 328 RECORDS  vous pouvez vous attendre à recevoir une formation sur la protection des données conformément à notre politique de sécurité des données. Tous les nouveaux employés recevront une formation dans le cadre du processus d'intégration du personnel, et tous les membres du personnel peuvent s'attendre à devoir suivre une formation supplémentaire en raison des mises à jour réglementaires ultérieures du RGPD, ou de toute autre législation pertinente en matière de sécurité des données.

La sécurité des données englobera inévitablement une série de responsabilités supplémentaires pour divers rôles au sein de l'entreprise. Ces rôles et leurs responsabilités comprennent (sans s'y limiter) :

Délégué à la protection des données

Le RGPD stipule que notre entreprise doit désigner un délégué à la protection des données. Il est de la responsabilité de notre délégué à la protection des données de :
Organiser une formation à la sécurité des données pour tous les employés qui ne sont pas spécifiquement référencés dans cette politique de sécurité des données.
Revoir et analyser régulièrement tous les protocoles et processus de sécurité des données existants.
Être un point de contact pour tous les employés, clients et parties prenantes afin de répondre aux questions sur la protection et la sécurité des données.
Répondre aux demandes internes ou externes des personnes souhaitant savoir quelles données les concernant ont pu être obtenues, traitées ou stockées par notre société.
Effectuer un contrôle préalable et soumettre une approbation concernant tout accord contractuel avec un tiers impliquant le traitement ou le stockage de données.
Maintenir un contact permanent avec les directeurs de l'entreprise, les membres du conseil d'administration et les parties prenantes en ce qui concerne la sécurité des données, les responsabilités de l'entreprise et la gestion des risques liés aux données.

Responsable informatique

Les technologies de l'information jouent un rôle crucial dans le fonctionnement de notre entreprise. Tous les processus liés à l'informatique et au traitement et au stockage des données doivent être soigneusement contrôlés, évalués et guidés par un responsable informatique.
Il incombe au responsable informatique de 328 RECORDS  de :

Mener une diligence raisonnable et des niveaux de recherche appropriés sur tout service tiers auquel notre entreprise peut faire appel pour stocker ou traiter des données.
S'assurer que tous les logiciels, systèmes informatiques, équipements et services de l'entreprise répondent aux niveaux changeants des normes de sécurité des données.
Effectuer des contrôles, audits et analyses réguliers pour s'assurer que le matériel et les logiciels de sécurité sont pleinement fonctionnels et optimisés pour gérer et atténuer les risques liés à la sécurité des données.

Responsable du marketing

Une part importante de nos activités de marketing implique la collecte, le stockage et le traitement de données. Par conséquent, notre responsable marketing doit assumer les responsabilités suivantes :
Accepter toutes les demandes relatives à la sécurité et à la protection des données provenant de prospects, de médias, de clients ou d'autres personnes et superviser et fournir une réponse adéquate.
Travailler avec le délégué à la protection des données de 328 RECORDS  pour s'assurer que tous nos processus, campagnes et activités de marketing sont conformes à toutes les lois pertinentes en matière de sécurité et de protection des données, ainsi qu'à la politique de sécurité des données de notre entreprise.

Examiner, rédiger et approuver toutes les déclarations pertinentes sur la sécurité des données qui doivent accompagner les courriels, les autres messages ou les supports de marketing applicables.

Nos politiques de sécurité des données

328 RECORDS prend la sécurité des données extrêmement au sérieux, et nous plaçons les droits de l'individu et le respect de la réglementation au cœur de tout ce que nous faisons en tant qu'entreprise.

À la lumière de nos engagements, il est obligatoire que tous les membres du personnel observent et adhèrent aux politiques de sécurité des données suivantes :

Politique de stockage des données

Toutes les informations ou données qui sont collectées et traitées sont soumises à toutes les exigences applicables telles que décrites et documentées dans cette politique. Cela inclut les informations recueillies par voie électronique, sur papier, par téléphone ou les données recueillies par tout autre moyen.
Toutes les données doivent être collectées, stockées et protégées dans un endroit sécurisé désigné par 328 RECORDS  pendant une période de conservation prédéfinie par la législation correspondante ou la politique de l'entreprise.

Il est strictement interdit aux membres du personnel de conserver sur leurs appareils personnels des informations confidentielles ou des données personnelles ne les concernant pas. Les exceptions à cette politique comprennent les informations nécessaires à une finalité liée au travail, temporaire et spécifiée et approuvée par un responsable compétent.
Dans la mesure du possible, les membres du personnel doivent éviter de télécharger des fichiers sensibles ou des informations confidentielles sur des appareils locaux. Les informations qui sont nécessairement traitées à des fins professionnelles peuvent être exemptées de cette politique.
Les membres du personnel doivent installer et utiliser des logiciels et des systèmes ayant fait l'objet d'une licence et approuvés par l'entreprise sur des appareils dans le cadre de l'exercice de leurs fonctions. Le téléchargement ou l'utilisation d'un logiciel, d'une application ou d'un système qui n'est pas approuvé au préalable par l'entreprise nécessitera l'approbation préalable du responsable informatique de l'entreprise.
Tous les appareils mobiles et portables utilisés par les membres du personnel doivent être approuvés par le responsable informatique de l'entreprise et sécurisés pour éviter tout accès non autorisé ou toute violation. Les appareils personnels peuvent être un ordinateur portable, un smartphone, une tablette ou tout autre appareil informatique de poche. Cette politique s'applique également à tout espace de stockage partagé dans le cloud.
Tous les accès à Internet et toutes les opérations en ligne effectuées par les employés peuvent faire l'objet d'un contrôle et d'un filtrage conformément à la législation en vigueur et à la politique de l'entreprise. Cette surveillance doit être effectuée uniquement par le responsable informatique ou un membre du personnel autorisé.
Les employés doivent respecter tous les éléments applicables de cette politique lorsqu'ils utilisent des dispositifs personnels pour accéder aux ressources de l'entreprise. De même, les employés doivent observer et respecter tous les éléments applicables de la présente politique de sécurité des données lorsqu'ils utilisent le matériel fourni par 328 RECORDS  pour accéder à des informations à l'extérieur.

Il est interdit aux employés d'utiliser des dispositifs d'accès public. Cette pratique est autorisée dans certaines circonstances ; toutefois, l'autorisation préalable et explicite d'un supérieur hiérarchique pour un accès public régulier doit être obtenue et enregistrée.
Les employés doivent utiliser les outils d'accès qui leur sont fournis par un client ou un partenaire de 328 RECORDS  si l'accès est accordé à un système de stockage tiers ou à une installation de stockage de données.

Il est interdit d'envoyer, de transmettre ou de soumettre à un tiers toute information ou donnée visée par la présente politique de sécurité des données, sauf si cela est jugé essentiel pour mener à bien des processus approuvés.
Si un employé doit soumettre des données à un tiers, ces données doivent être sécurisées conformément à la politique de l'entreprise et aux protocoles de protection des données du tiers concerné.
Veuillez noter que 328 RECORDS  effectuera des audits réguliers du système afin de surveiller et d'assurer la conformité continue avec cette politique de sécurité des données et toutes les exigences réglementaires telles que décrites dans le RGDP.


Politique de conservation des données

Bien que 328 RECORDS  doive collecter et stocker des données de manière routinière, nous engageons à respecter les droits des personnes. C'est pourquoi nous ne conservons toutes les informations et les données personnelles que pendant la durée nécessaire.

La durée de conservation nécessaire sera souvent décidée au cas par cas, en gardant à l'esprit la raison d'être et l'objectif initial de la collecte et de la conservation des données. Les décisions de cette nature doivent être prises de manière à être compatibles avec nos directives existantes en matière de conservation des données en vertu du RGPD.
Pour des conseils supplémentaires, consultez les documents correspondants suivants :
Document sur la politique de conservation et d'effacement des données.


Politique de cryptage et d'anonymisation des données

328 RECORDS déploie le cryptage pour sécuriser et protéger les données stockées sur des dispositifs contre tout traitement illégal ou accès non autorisé. Le cryptage est également utilisé pour protéger les informations qui sont en transit.

Nous utilisons également l'anonymisation des données personnelles chaque fois que cela est jugé prudent pour garantir que les droits de l'individu sont pleinement protégés et respectés.
Conformément à ces principes, nous engageons à utiliser le cryptage et l'anonymisation comme outil de gestion des risques, parallèlement aux systèmes existants, afin de protéger l'entreprise contre les pertes accidentelles, ainsi que contre l'endommagement ou la destruction des données ou des informations personnelles.

Activités interdites

Sauf indication ou information contraire, il est strictement interdit aux employés d'utiliser les équipements, outils ou systèmes de l'entreprise à des fins non liées aux responsabilités de leur rôle, à l'exception des exceptions mentionnées précédemment. Cette politique s'applique également à tout système, outil ou équipement appartenant à un client ou à un partenaire de l'entreprise.
Dans cette optique, les activités suivantes doivent être considérées comme interdites, sans exception :
- Toute reproduction non autorisée de matériel protégé par le droit d'auteur.
- La violation des droits individuels par le biais de la collecte, du stockage et du traitement inutiles de données ou d'informations personnelles.
- La violation des droits d'un individu ou d'une organisation protégés par la loi sur la propriété intellectuelle dans toute juridiction.
- L'utilisation de tout programme, commande ou interface conçu pour interférer avec un utilisateur ou une session d'utilisateur correspondante.
- L'accès à des données, à un compte d'utilisateur ou à un serveur à des fins non liées à la fonction commerciale du rôle de l'entreprise d'une personne.
- L'émission d'offres frauduleuses de produits ou de services à partir d'un compte d'entreprise.
- Le partage ou l'utilisation autorisés des identifiants de connexion d'un employé ou des systèmes de l'entreprise par toute personne autre que la personne désignée.
- L'exportation d'informations exclusives ou confidentielles en rapport avec l'entreprise.
- L'exportation de tout logiciel ou de toute donnée en violation de la réglementation ou de la politique de sécurité des données de l'entreprise.
- le fait de provoquer sciemment une perturbation du réseau ou une violation de la sécurité.
- Un employé n'est pas autorisé à accéder à des données qui ne lui sont pas destinées en se connectant à un système ou en obtenant l'accès à un compte confidentiel ou à accès limité. La seule exception à cette règle est si l'employé se voit accorder un accès dans le cadre d'un projet spécifique de l'entreprise.
Veuillez noter que toute violation de cette politique peut entraîner des mesures disciplinaires, ainsi que des poursuites judiciaires si cela est jugé prudent ou nécessaire.

Signaler les problèmes de sécurité

Si vous rencontrez un incident ou un problème lié à la sécurité ou à la protection des informations ou des données, vous devez le signaler immédiatement à la direction de l'entreprise. La direction prendra et enregistrera ensuite toute mesure jugée nécessaire pour prévenir les dommages ou les pertes liés à une menace pour la sécurité.
Si nécessaire, il incombe à la direction de l'entreprise de signaler les incidents pertinents liés à une violation des données ou à une menace pour la sécurité des informations aux régulateurs ou aux autorités. En vertu du RGPD, il incombe également à la direction de l'entreprise de contacter les personnes impliquées dans toute violation ou menace de sécurité.