La protection des données client revêt une importance capitale pour LAFAB. En tant qu'organisation soucieuse de la confidentialité, de l'intégrité et de la disponibilité des informations sensibles, nous nous engageons à mettre en œuvre des mesures efficaces pour assurer la sécurité des données que nous traitons.

Cette politique de protection des données client vise à définir les principes, les responsabilités et les procédures à suivre afin de garantir la confidentialité et la sécurité des données au sein de notre entreprise.

Elle s'applique à tous les employés, prestataires de services et autres parties prenantes ayant accès aux informations sensibles de l'entreprise.

En adoptant cette politique, LAFAB s'engage à respecter les lois et réglementations en vigueur en matière de protection des données, ainsi qu'à prendre toutes les mesures nécessaires pour prévenir les violations de données, les cyberattaques et autres menaces potentielles à la sécurité de nos systèmes d'information.

Nous considérons la protection des données comme une responsabilité partagée, et chaque employé est tenu de contribuer activement à la préservation de la confidentialité et de l'intégrité des informations traitées dans le cadre de ses fonctions.

Les dispositions qui suivent concernent tous les traitements de données personnelles effectués par le responsable du traitement, sauf mention contraire dans les dispositions spécifiques.

Le responsable du traitement déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à loi française n° 78-17 du 6 janvier 1978 (modifiée) relative à l’informatique, aux fichiers et aux libertés, ainsi qu’aux autres dispositions applicables en France aux traitements de données personnelles.

LAFAB a désigné un Référent Délégué à la Protection des Données. Ses missions sont définies sur une fiche de poste, selon les principes du RGPD.

À noter que :

• Le Référent n'est pas personnellement responsable en cas de non-conformité de LAFAB avec le règlement européen (RGPD).
• Les missions du Référent couvrent l’ensemble des traitements mis en œuvre par LAFAB.
• Le Référent est tenu au secret professionnel.

LAFAB est responsable de la collecte et du traitement des données personnelles pour la réalisation de ses activités, notamment :

• Les données nécessaires à la gestion administrative des clients
• Les données nécessaires à la gestion administrative des sous-traitants et fournisseurs.
• Les données nécessaires des prospects utiles à la présentation de Mylabtools.

LAFAB désigne la ou les personnes morales, identifié(s) pour chaque traitement mis en œuvre :

• Une analyse est systématiquement réalisée pour tout nouveau traitement afin de déterminer si l’entité juridique de LAFAB est le « responsable de traitement », « co-responsable du traitement » ou « sous-traitant » ;
• Le responsable du traitement détermine de manière claire et précise les finalités et les moyens de chacun des traitements des données à caractères personnel qu’il met en œuvre ;
• Le responsable du traitement définit les moyens de mise en œuvre du traitement, et peut décider de l’arrêt du traitement ;
• Lorsque l’entité juridique de LAFAB est « sous-traitant », elle collecte et traite les données à caractère personnel dans un cadre strictement conforme à la législation ou la convention en vigueur.

Le responsable du traitement est responsable du respect de la présente politique et est en mesure de démontrer qu’elle est respectée, y compris l'efficacité des mesures techniques et organisationnelles (principe de responsabilité).

Les données personnelles ne peuvent être traitées que pour un usage déterminé, explicite et légitime : c’est le principe de finalité.

La société se réserve le droit de traiter les données personnelles si le traitement est justifié, soit par le consentement de la personne, l’exécution d’un contrat, le respect d’une ou plusieurs obligations légales, l’intérêt légitime du responsable de traitement, ou encore la protection des intérêts vitaux des personnes.

Ces différents termes sont expliqués ci-dessous :

• Le consentement : Si la licéité du traitement (ce qui le rend licite) repose sur le consentement, l’entreprise LAFAB ne doit traiter les données personnelles qu’avec le consentement de la personne concernée. Si la finalité du traitement venait à changer, LAFAB s’engage à informer la personne concernée afin de demander et recueillir une nouvelle fois ce consentement.
• L’exécution du contrat : La licéité du traitement (ce qui le rend licite) repose sur un contrat dans les situations où le traitement des données personnelles est nécessaire à l’exécution d’un contrat ou l’application de conditions générales de vente.
• L’intérêt légitime du responsable de traitement: la société peut traiter les données personnelles lorsque ses intérêts légitimes le justifient. Parmi les cas d’intérêt légitime du responsable de traitement figure la sécurité, et en particulier les activités de sécurité des informations et des réseaux (la gestion des droits d’authentification et d’accès, la prévention de l’accès non autorisé aux réseaux informatiques).
• Le respect des obligations légales : Cette licéité s’applique aux cas dans lesquels LAFAB est légalement tenu de procéder à un traitement.
• La protection des intérêt vitaux des personnes : Il s’agit des cas où le traitement est nécessaire pour protéger les intérêts vitaux d’une personne par exemple, en cas d’urgence médicale.

LAFAB s’engage à mettre en œuvre des traitements de données personnelles dans les conditions qui permettent d’assurer la plus grande transparence possible envers les personnes concernées. L’organisation ne traite jamais les données personnelles à l’insu de ses visiteurs, clients, fournisseurs ou toute autre personne qui pourrait lui avoir confié ses données personnelles. LAFAB garantit ainsi un traitement loyal des informations qu’il traite, conformément au droit européen et aux attentes raisonnables d’une personne.

Les données personnelles confiées à LAFAB sont celles strictement nécessaires à la poursuite de ses activités.

D’après le principe de minimisation des données personnelles, seules sont traitées les informations pertinentes, adéquates et non excessives au regard des finalités poursuivies pour le traitement. LAFAB évalue ce principe au cas par cas afin de garantir une proportionnalité adaptée à chaque traitement de données à caractère personnel. Dans le cadre de ses activités en tant que Responsable de traitement, LAFAB garantit la collecte minimisée des données personnelles des personnes concernées afin de répondre strictement à ses obligations et ses prérogatives.

LAFAB porte une attention particulière à l’exactitude des données collectées et conservées dans le cadre de ses activités de responsable de traitement. Le cas échéant, elles sont mises à jour afin de corriger toute éventuelle erreur. En tant que personne concernée, il est possible de formuler auprès de LAFAB une demande de rectification sur des données personnelles qu’il détient auprès du Référent à la protection des données. La demande doit être accompagnée d’un justificatif d’identité.

Les durées de conservation des données personnelles recueillies et traitées par LAFAB sont déterminées au cas par cas en fonction du type de donnée personnelle, de la finalité du traitement, mais également des dispositions légales.

Les données personnelles qui font l’objet d’un traitement automatisé sont conservées par LAFAB, soit en base active lorsqu’elles sont actuellement traitées, soit en base d’archive le temps nécessaire au respect de la législation applicable ou des recommandations de l’autorité de contrôle compétente ou du Comité Européen de Protection des Données (CEPD).

Les données personnelles sous format papier sont conservées dans nos archives et font l’objet de mesures de sécurité physique.

Dans le cas où LAFAB a recours à des sous-traitants, les données personnelles transmises seront conservées strictement selon la durée prévue par le contrat qui lie LAFAB avec le sous-traitant.

LAFAB prend les mesures nécessaires pour garantir la confidentialité, l’intégrité, ainsi que la disponibilité des données traitées afin d’éviter leur divulgation à des tiers non autorisés. En conséquence, pour pourvoir à cette obligation de sécurité, tous les collaborateurs sont soumis à une obligation de confidentialité.

Dans le cadre de l'évaluation des risques pour la sécurité des données, LAFAB prend en compte les risques tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral pour les personnes concernées. Cette évaluation des risques devra être réalisée et revue régulièrement.

LAFAB met également en œuvre une sécurité par défaut, entendue comme le meilleur niveau de sécurité assuré par défaut dans la mise en œuvre de nos traitements, qui a pour conséquence la restriction des accès ou encore la limitation de la conservation des données personnelles.

LAFAB agit pour assurer la meilleure sécurité des données personnelles et de leurs traitements à la fois sur les plans techniques, humains et organisationnels. LAFAB suit les recommandations des autorités européennes protectrices des systèmes d’information (comme l’ANSSI en France) et celles responsables de la protection des données personnelles (comme la CNIL en France) pour garantir la sécurité de ces données.

A cet égard, LAFAB procède par exemple à :

• La sensibilisation et la formation des collaborateurs
• L’authentification et la gestion des habilitations des collaborateurs
• La traçabilité des accès et gestion des incidents
• La sécurisation des postes de travail
• La protection de son réseau informatique interne
• La sécurisation de ses serveurs et de ses sites web
• Sauvegarder et gérer la continuité de ses activités
• L’encadrement de la maintenance et de la destruction des données
• La protection des locaux
• L’encadrement des développements informatiques quand il y a lieu
• La mise en œuvre de méthodes cryptographiques
• À l’évaluation régulière du niveau de sécurité de l’entreprise

En tant que responsable de traitement, LAFAB est également amenée à réaliser des Études d’Impact sur la Vie Privée (EIVP, ou en anglais « PIA » pour « Privacy Impact Assessment ») lorsque le traitement présente un risque pour la vie privée des personnes concernées. LAFAB, dans ce cas, utilise la méthodologie proposée par la CNIL et son outil PIA pour réaliser ces analyses. Enfin, LAFAB s’assure des mesures techniques et organisationnelles de protection des données personnelles mises en place par les sous-traitants qu’il choisit.

Le destinataire des données correspond à la personne habilitée à obtenir communication des données enregistrées dans un fichier ou un traitement en raison des fonctions qu’elle exerce.

LAFAB transmet les informations des personnes concernées uniquement pour des raisons légitimes afin de mener les activités liées à l’entreprise ou pour se conformer aux obligations légalement prévues.

LAFAB ne vend pas et ne loue pas les données personnelles qu’il traite. Lorsque LAFAB accorde un accès à ses systèmes d’informations à un tiers, il ne lui octroie des droits que sur le périmètre de l’action prévue selon les principes de besoin d’en connaître et de moindre privilège.

Exercice de droits

Dans une perspective de responsabilisation vis-à-vis de la protection des données personnelles et afin de permettre un contrôle par les personnes concernées, le RGPD a octroyé de nouveaux droits à ces dernières et en a consolidé d’autres qui lui ont préexisté.

Toute personne concernée pourra notamment exercer les droits suivants :

• Le droit d’accès aux données personnelles et aux informations concernant le traitement
• Le droit d’opposition au traitement
• Le droit de rectification des données
• Le droit à l’oubli
• Le droit à la limitation du traitement
• Le droit à la portabilité des données
• Le droit d’opposition aux décisions individuelles automatisées et de profilage
• La possibilité d’introduire une réclamation auprès d’une autorité de contrôle

LAFAB s’engage au respect des droits et conditions de leur exercice prévus par le règlement européen. Il met tout en œuvre pour répondre dans les meilleurs délais aux demandes. Ces requêtes devront être accompagnées d’une pièce justifiant l’identité de la personne concernée, sans quoi LAFAB ne sera pas en mesure de répondre à la demande.

Pour les activités que LAFAB exerce en tant que responsable de traitement, il est possible de demander l’exercice des différents droits prévus par le règlement européen au Référent à la Protection des Données par email à l’adresse dpo@agence-lafab.fr.

Pour les activités que LAFAB exerce en tant que sous-traitant, LAFAB aide ses responsables de traitement dans la mesure du possible à s’acquitter de leur obligation de répondre aux demandes d’exercice de droits des personnes concernées.

LAFAB a établi une procédure à suivre en cas de demande d’exercice du droit des personnes concernées.

Violation de données

Une violation de données correspond à un incident de sécurité, qu’il soit accidentel ou intentionnel, venant affecter les données personnelles. Cet incident de sécurité peut se traduire par une perte, une indisponibilité ou une divulgation de données personnelles. En cas de survenance d’une violation de données personnelles, une procédure a été mise en place. Elle prévoit que les personnes suivantes doivent être prévenues : le Référent de LAFAB et le support informatique de LAFAB.

La gravité de cette violation déterminera, ainsi que l’exige le règlement européen, si l’autorité de contrôle compétente doit être notifiée et si les personnes concernées doivent l’être également ; cela dans les 72 heures. Cette remontée d’incident permettra également au Référent Délégué à la Protection des Données de tenir son registre des violations à jour.

LAFAB a établi une procédure à suivre en cas de violation de données.

En tant que responsable de traitement, LAFAB peut être amené à avoir recours à des prestataires externes. Dans ce contexte, LAFAB veille à choisir des prestataires de confiance présentant des garanties suffisantes en matière de protection et de sécurité des données personnelles.

LAFAB agit le plus souvent comme responsable de traitement. Un sous-traitant est considéré comme une entité traitant pour le compte de LAFAB des données personnelles que ce dernier lui transmet. Les relations sont contractualisées et les obligations respectives en la matière sont définies conformément aux dispositions du règlement européen et plus précisément à l’Article 28. Il appartient au Référent Délégué à la Protection des Données, en collaboration avec le RSSI, de vérifier que les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir leur respect et leur conformité au règlement européen et à cette politique. LAFAB se réserve le droit de réaliser des audits pour s’en assurer.

La présente Politique de Protection des Données Personnelles peut être amenée à évoluer avec le temps. Il est possible de continuer à la consulter sur ce support afin de connaître la date de sa dernière mise à jour par LAFAB. Dans un souci de transparence vis-à-vis des collaborateurs, clients et prospects, s’il est apporté des modifications substantielles à la présente politique, vous serez prévenus par tout moyen pertinent et adéquat.