Politique de confidentialité

PRÉAMBULE :

Les dispositions qui suivent concernent tous les traitements de données personnelles effectués par le responsable du traitement, sauf mention contraire dans les dispositions spécifiques.
Le Règlement Général sur la Protection des Données (ci- après nommé « RGPD ») est, depuis le 25 mai 2018, le nouveau cadre juridique européen, unique et commun à tous les états membres, en matière de traitement de données à caractère personnel. Ce règlement dispose également d’un cadre extraterritorial qui permet, sous certaines conditions, d’étendre son périmètre d’application hors de l’Union Européenne.
O‘studies place la protection des données à caractère personnel comme un des éléments clés de sa gouvernance et de celle de ses processus et procédures, aussi bien opérationnels, de support comme de pilotage. La donnée est au coeur de notre métier, et se doit d’être traitée de manière éthique et responsable.

CONTEXTE INTERNE

Selon les situations, O’Studies assure le rôle de Responsable de Traitement ou celui de Sous-traitant.
Ces différentes qualifications engendrant des obligations et des enjeux distincts, la présente
Politique de Protection des Données à Caractère Personnel reflète la volonté d’O’Studies de
Mettre en place l’ensemble des principes applicables aux données à caractère personnel
Collectées et traitées dans le cadre de ses activités.
O‘Studies veille à son alignement permanent avec les orientations et directives de la Loi
Informatique et Libertés du 6 janvier 1978 et ses versions modifiées (la dernière modification est formalisée par la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018 afin d’exercer certaines des « marges de manoeuvre nationales » autorisées par le RGPD et de transposer en droit français la Directive « police-justice ») ;

RESPONSABLE DU TRAITEMENT ET AUTRES INTERVENANTS

Le responsable du traitement est identifié ci-dessus détermine les finalités et les moyens de tous les traitements dont elle est responsable. Ses coordonnées sont les suivantes :

Prénom & Nom : Olivia TAGGART
Siège / adresse de correspondance : 7 Rue du Mont Griffon, 91560 CROSNE
Adresse électronique : olivia.taggart@o-studies.com
Téléphone : +33.6.52.42.09.14

Les coordonnées du délégué à la protection des données sont :
Prénom & Nom : Alexia DEPUISET – Responsable du pôle consulting public – Consultante juriste RGPD / DPO Certifiée
Siège / adresse de correspondance : 204 avenue de Colmar, 67100 Strasbourg, France
Adresse électronique : adepuiset@actecil.eu
Téléphone : +33.6.33.49.73
www.actecil.eu

Ses principales missions sont :

  1. Informer et conseiller O’Studies (la direction, le personnel participant aux opérations de traitement, etc…) sur les règles à respecter en matière de protection des données personnelles;
  2. Contrôler le respect des règles relatives à la protection des données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  3. Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact sur les DCP et vérifier l’exécution de celle-ci ;
  4. Coopérer avec l’Autorité de Contrôle et faire office d’interlocuteur privilégié sur toutes les questions relatives au traitement des DCP ;
  5. S’assurer de la bonne tenue de la documentation relative aux traitements des DCP ;
  6. Veiller au maintien de ses compétences en se tenant informé des dernières évolutions en matière de protection des données à caractère personnel

 

CHAMP D’APPLICATION

O‘Studies a défini les principes et lignes directrices de la présente politique de protection des données à caractère personnel (ci-après désignée par « PPDCP ») pour :

  1. Encadrer, conformément au RGPD, le traitement de l’ensemble des données collectées, quel que soit leur mode de collecte ou de traitement ;
  2. Satisfaire à l’obligation d’informer les personnes concernées sur leurs droits, de manière concise, transparente, compréhensible et aisément accessible ;
  3. Formaliser les droits et les obligations de O‘Studies en tant que Responsable de Traitement et en tant que Sous-Traitant.
  4.  
STOCKAGE DES DONNÉES

Tous les Datacenters d’O‘Studies dans lesquels sont susceptibles d’être hébergées des DCP sont situés en France ou dans un ou des pays de l’UE en passant par MICROSOFT 365 – E5 – ENTRA ID P2 licence n°100320032C3B933A (Microsoft Entra ID est la nouvelle appellation de Azure Active Directory).

LE RESPECT DES OBLIGATIONS DU RGPD

Le Responsable de Traitement, s’engage à respecter les principes suivants :

  1. La désignation d’un DPO ;
  2. L’utilisation des données à caractère personnel pour des finalités explicites, légitimes et déterminées, en lien avec les métiers d’O’Studies ;
  3. La collecte et traitement des DCP strictement utiles : O‘Studies applique ainsi le concept de Privacy-by-Default qui protège les personnes concernées de toute collecte excessive de données ;
  4. Une conservation des DCP collectées ne dépassant pas la durée nécessaire et proportionnelle à l’accomplissement des finalités, la durée maximale de conservation est de 6 mois. Au terme de ce délai et des délais prévus par les normes et autorisations de la CNIL ou par la loi, les DCP sont supprimées sur tous les supports et sauvegardes ;
  5. Une communication des DCP uniquement aux destinataires autorisés, dans le cadre strict des finalités définies au préalable
  6. Une politique d’encadrement des transferts de données personnelles hors UE dans le cas de transferts intra-Groupe ou autres (Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers) ;
  7. L’information préalable, claire et transparente des personnes concernées sur la finalité d’utilisation de leurs données, sur le caractère facultatif ou obligatoire de leurs réponses dans les formulaires, sur les droits dont ils disposent et des modalités d’exercice effectif de ces droits ;
  8. Le recueil d’un consentement explicite, éclairé, actif et non équivoque de la personne concernée pour le traitement de ses DCP ;
  9. Une politique de sécurité veillant à prendre toutes les mesures contre les violations de données personnelles, en informant la CNIL dans les 72h et le cas échéant, les personnes concernées, ainsi qu’une documentation des corrections consécutives à une violation ;

 

MESURES TECHNIQUES ET ORGANISATIONNELLES
Contrôle physique d’admission

Les mesures suivantes sont mises en œuvre pour empêcher les personnes non autorisées d’accéder aux installations de traitement des données :

  1. Porte électrique à l’entrée du bureau
  2. Système d’alarme avec connexion au service de sécurité (24h/24 et 7j/7) – accès avec puce, code PIN et clé pour les personnes définies
  3. Vidéosurveillance à l’entrée et dans la salle des serveurs
  4. Mesures de sécurité spéciales pour le stockage de sauvegardes et/ou d’autres supports de données
  5. Réglementation des visiteurs (obligation de garder le secret, interdiction de photographier, prise en charge à l’accueil, la documentation des heures de visite, l’accompagnement après la visite jusqu’à la sortie, pas d’accès sans l’enregistrement)
  6. Nettoyage et entretien uniquement pendant les heures de bureau, pas d’accès non surveillé aux zones de haute sécurité.
Contrôle d’accès aux systèmes de traitement des données
  1. Identifiants de connexion personnelle et individuelle de l’utilisateur lors de la connexion au système ou au réseau de l’entreprise
  2. Limitation du nombre d’utilisateurs autorisés
  3. Politique de mot de passe
  4. Documentation électronique des mots de passe et protection de cette documentation contre les accès
  5. Enregistrement de l’accès
  6. Verrouillage automatique des ordinateurs après un certain laps de temps sans activité de l’utilisateur (également économiseur d’écran protégé par mot de passe ou pause automatique (après 10 min. d’inactivité). Après plusieurs entrées incorrectes (actuellement 3 fois), la connexion et/ou l’utilisateur désactivé temporairement (actuellement 1 heure).
  7. Les serveurs et les postes de travail sont protégés par des pare-feu locaux (logiciels). Tous les réseaux externes
  8. Les connexions (Internet) sont protégées par des pare-feu (matériel).
  9. Technologie VPN
  10. PC portable (ordinateurs portables, ordinateurs portables) sous clé après les heures de travail

 

 

Pseudonymisation (art. 32, al. 1, let. a) du RGPD ;

Les données à caractère personnel sont traitées de manière qu’elles ne puissent plus être attribuées à une donnée spécifique sans recours à des informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et est soumis à des mesures techniques et organisationnelles appropriées.

En principe, toutes les informations sont traitées de manière strictement confidentielle, évaluées de manière anonyme et ne sont pas transmises à des tiers

INTEGRITE (art. 32, al. 1, art. B du RGPD)
Contrôle des transferts

Il est garanti que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation le transfert ou le stockage sur des supports de données et qu’il est possible de vérifier quelles personnes ou quels organismes ont reçu données personnelles.
Les mesures suivantes sont mises en oeuvre pour y parvenir :

  1. Stockage des données personnels uniquement dans un répertoire spécial protégé avec des droits d’accès restreints (uniquement personnes autorisées).
  2. Cryptage des e-mails ou des e-mails (par exemple, 7Zip : AES-256, PGP et serveur de messagerie TLS appliqué) comme ainsi que le cryptage du support de stockage des ordinateurs portables
  3. Transport physique des données sécurisé – possible sur demande du client (coût de l’opération)
  4. Transfert de fichiers sécurisé (par ex. SFTP / HTTPS)
  5. Une sauvegarde automatisée des systèmes de serveurs s’exécute hors site tous les jours ouvrables, les serveurs sélectionnés ont une sauvegarde supplémentaire sur site. La bonne exécution de la sauvegarde est surveillée. Le support de sauvegarde est crypté à l’aide d’AES-256 ou supérieur. La sauvegarde quotidienne est conservée pendant au moins trois mois
  6. Transport sécurisé des données (p. ex. SFTP – protocole de transfert de fichiers SSH, SSL/TLS)
Paramétrage par défaut respectueux de la protection des données (art. 25, al. 2, du RGPD)

Les paramètres par défaut doivent être pris en compte à la fois dans les paramètres par défaut standardisés des systèmes et dans les applications et dans la mise en place de procédures de traitement des données.

  • Si les adresses sont transmises à O’Studies par le client ou mises à disposition conformément au § 28 RGPD, ils ne peuvent être envoyés que sous forme cryptée à des adresses électroniques spécialement attribuées.
  • Les adresses sont attribuées à des destinataires spéciaux qui sont responsables du traitement des adresses.
  • Les données d’adresse sont stockées séparément dans des répertoires protégés, l’accès étant accordé exclusivement aux personnes autorisées ou rôles définis/groupes de personnes.
  • Chaque personne autorisée ne peut accéder qu’aux données dont ils ont besoin pour leur rôle au sein de l’entreprise.

L’autorisation n’est autorisée qu’après une formation au traitement des données à caractère personnel. La formation est répétée chaque année.

Les données à caractère personnel sont définitivement supprimées une fois que la limitation de la finalité ne s’applique plus et qu’une une certaine période d’attente (généralement après 1 à 2 semaines, par exemple pour le traitement des questions de dédommagements et/ou d’analyse).

LES ENGAGEMENTS DE O’STUDIES EN TANT QUE SOUS-TRAITANT

O‘Studies intervient en qualité de Sous-Traitant lorsque le Client a la qualité de Responsable de Traitement des données à caractère personnel.

Instructions du client

O’Studies s’engage à traiter les données à caractère personnel :

  • Dans le cadre du contrat qui le lie avec son Client ;
  • Dans le respect des instructions documentées et communiquées par le Client au fur et à̀ mesure de l’exécution de la prestation.

 

O’Studies informera immédiatement le Client si elle considère qu’une instruction de ce dernier constitue une violation du RGPD, de la présente PPDCP ou d’autres dispositions du droit de l’UE ou du droit français relatives à la protection des données à caractère personnel.


Cette information sera adressée par écrit et dans un temps compatible avec sa prise en compte par le Client.

Sort des données à la fin du contrat de sous-traitance

En tant que Responsable de Traitement, O’Studies met en oeuvre la suppression des données de manière régulière et selon les exigences légales.

En tant que Sous-Traitant et au terme de la prestation de service relative au traitement,
O’Studies s’engage à :

  • Traiter les données uniquement sur instruction documentée du Client ;
  • Supprimer ou restituer toutes les données selon le choix du Client ;
  • Détruire toutes les copies existantes et envoyer au Client une attestation de destruction de toutes les copies existantes de ses données.

 

DONNÉES À CARACTÈRE PERSONNEL TRAITÉES

La présente PPDCP s’applique au traitement des informations personnelles des candidats et des collaborateurs d’O‘Studies, dans le cadre de(s) :

  • Activités de recrutement menées à la fois en ligne (site web) par courrier électronique ou postale, lors d’un événement de recrutement, d’un entretien téléphonique, en ligne, ou en face à face ;
  • La gestion des ressources humaines et de l’exécution du contrat de travail.

 

O‘Studies traite les catégories d’informations personnelles suivantes selon les conditions énoncées à la section 9 et 14 de la présente PPDCP :

  1. Données d’identification/état civil : Nom, prénom, civilité, adresse postale ou/et électronique, coordonnées téléphoniques, numéro de sécurité sociale pour la déclaration préalable l’embauche (DPAE) ou la déclaration sociale nominative (DSN) auprès de l’URSSAF ;
  2. Données de vie professionnelle : Formation, diplômes, certificats et attestations, langues étrangères pratiquées, compétences, Curriculum vitae, références professionnelles, évaluations professionnelles , suivi des demandes de formation professionnelle et des périodes de formation effectuées, évaluation des connaissances et des formations, dates des entretiens d’évaluation,, compétences professionnelles du salarié, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par l’employé, prévisions d’évolution de carrière, documents de suivi de l’activité des salariés, notes de frais, annuaires, élections professionnelles, suivi et maintenance des matériels informatiques mis à disposition, véhicules et cartes de paiement, date et conditions d’embauche ou de recrutement, date, objet et motif des modifications apportées à la situation professionnelle du salarié, désirs du salarié en termes d’emploi, sanctions disciplinaires à l’exclusion de celles consécutives à des faits amnistiés, suivi administratif des visites médicales;
  3. Données de vie personnelle : Situation matrimoniale, noms et prénoms des conjoints et enfants (Mutuelle), nationalité, statut d’immigration et de visa, hobbies et loisirs (CV), catégorie de permis de conduire, mobilité géographique, délai de disponibilité ;
  4. Informations d’ordre économique et financière : salaire brut, prétentions salariales, coordonnées bancaires pour le versement du salaire, informations de rémunération (primes…) ;
  5. Données de connexion : adresse IP, connexions et logs de connexion des salariés, gestion des outils informatiques, gestion de la téléphonie fixe et mobile (numéros appelés, numéros des appels entrants, identité de l’utilisateur du service
    téléphonique…), code IMEI, vidéosurveillance (etc..) géolocalisation, contrôles d’accès
    par badge sur les lieux de travail, autorisations d’accès aux applications et aux réseaux.

Dans le respect de la présente PPDCP, O’Studies s’engage à limiter la collecte des DCP à leur strict nécessaire.

CATÉGORIES PARTICULIÈRES DE DONNÉES À CARACTÈRE PERSONNEL TRAITÉES

Les catégories particulières de DCP sont des Données Sensibles au sens RGPD du terme. Ce sont des données génétiques ou biométriques permettant d’identifier une personne physique de manière unique, un Numéro d’identification national unique (NIR pour la France) comme le numéro de sécurité sociale ou alors des données concernant :

  • L’origine raciale ou ethnique ;
  • Les opinions politiques ;
  • Les convictions religieuses ou philosophiques ;
  • L’appartenance syndicale ;
  • La santé ;
  • Les condamnations pénales ou infractions ;
  • L’orientation sexuelle.

Le traitement de ces catégories particulières de DCP ne peut s’effectuer sans le consentement explicite des personnes concernées, à moins que le traitement ne soit autorisé sur d’autres bases juridiques. En tout état de cause, O‘Studies veille à respecter la réglementation en vigueur.

Le consentement

Conformément au RGPD et à chaque fois qu’O‘Studies agira en tant que Responsable de POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL 14 Traitement, il s’attachera à obtenir le consentement des personnes concernées pour les finalités le nécessitant.
Les codes de conduite et la certification : a) Le code de conduite d’ESOMAR qui définit les règles déontologiques que les professionnels des études de marche doivent respecter ; b) La norme internationale ISO 20252 :2019, Études de marché, études sociales et d’opinion, qui établit des lignes directrices et des exigences relatives à la façon dont sont réalisées les études de marché

Droits des personnes
  1. Droit d’information avant toute collecte de DCP
  2. Droit d’obtenir la confirmation que les DCP sont ou ne sont pas traitées
  3. Droit d’accès permettant d’obtenir les informations suivantes :
    1. Finalités du traitement
    2. Catégories de données personnelles concernées
    3. Destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront communiquées
    4. Garanties appropriées en cas de transfert des données vers un pays tiers
    5. Durée de conservation des données envisagée ou les critères utilisées pour déterminer cette durée
    6. Existence du droit de demander au Responsable du Traitement la rectification ou l’effacement des données, la limitation du traitement, ou le droit de s’y opposer
    7. Droit d’introduire une réclamation auprès de la CNIL
    8. Information sur la source en cas de collecte indirecte de DCP
    9. Existence d’une prise de décision automatisée et/ou de profilage et les conséquences sur la personne concernée
  4. Droit à la rectification
  5. Droit à la limitation
  6. Droit à l’oubli
  7. Droit d’opposition concernant un traitement spécifique pour lequel un consentement explicite a été nécessaire (retrait du consentement)
  8. Droit à la portabilité des données
  9. Droit de ne pas faire l’objet d’une décision fondée sur un procédé automatisé
  10. Droit de ne pas faire l’objet de profilage
  11. Droit post mortem

 

Toute personne concernée pourra exercer ses droits, accompagnés d’un justificatif d’identité soit :

  • Par l’envoi d’un mail à adepuiset@actecil.eu;
  • Par courrier à l’adresse : O’Studies, 7 Rue du Mont Griffon, 91560, CROSNE France

 

O‘Studies : Se réserve le droit de réclamer au demandeur des pièces complémentaires justifiant son identité ;

Politique de protection des données à caractère personnel

Si une personne concernée estime ne pas avoir pu exercer ses droits conformément au RGPD ou à toute disposition légale en vigueur en matière de protection des données, elle pourra formuler une réclamation auprès de :

LA CNIL
3 place de Fontenoy
TSA 80715
75334 Paris Cedex 07
France

VIOLATION DES DONNÉES À CARACTÈRE PERSONNEL

Au sens du RGPD, une violation des DCP est une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Notification de violation des DCP en tant que sous-traitant

Il appartient au Client, et à lui seul, de notifier les éventuelles violations de sécurité à la CNIL.

O‘Studies s’engage à̀ notifier au Client, dans les meilleurs délais et pour permettre à celui-ci de respecter le délai légal de 72h maximum, toute violation de donnée à̀ caractère personnel qu’il aurait subi.

En cas de retard dans la communication de la violation, O‘Studies accompagnera sa notification des motifs expliquant ce retard. La violation de données est communiquée à l’interlocuteur désigné par le Client et précisera :

  • La nature de la violation des données, y compris, si possible :
    • a. Les catégories et le nombre approximatif de personnes concernées par la violation
    • b. Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernées
  • Le nom et les coordonnées du DPO d’O‘Studies
  • Les conséquences probables de la violation de données
  • Les mesures déjà prises ou celles qui sont proposées pour y remédier

 

Si O‘Studies est dans l’incapacité de fournir l’ensemble de ces informations dans le délai imparti, il procédera en deux temps en envoyant :

  1. Une notification initiale immédiate dès le constat de la violation ;
  2. Une notification complémentaire dans le délai de 72 heures si possible après la notification initiale. En cas de violation de données, O‘Studies prendra, dès que possible, toutes les mesures nécessaires pour remédier et diminuer l’impact de la violation et informera le Client des mesures prises et des résultats attendus et constatés. O‘Studies s’engage à̀ collaborer activement avec le Client pour qu’il soit en mesure de répondre à̀ :

                    a) Ses obligations règlementaires et contractuelles ;

                    b) Aux interrogations de la CNIL.

 

 

 

Notification de violation des DCP en tant que responsable de traitement

En sa qualité de Responsable de Traitement, O‘Studies s’attache à garantir une sécurité des traitements opérés sur les DCP, afin d’éviter toute violation de celles-ci.
Néanmoins, en cas de violation de données personnelles, O‘Studies respectera l’obligation de notifier la violation en question à la CNIL, dans les meilleurs délais, et si possible dans les 72 heures suivant sa prise de connaissance, sauf si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Au-delà des 72 heures, la notification qu’O‘Studies communiquera à la CNIL précisera les motifs du retard.

CONTRÔLE DE LA CNIL

O‘Studies est tenue de coopérer avec la CNIL, à la demande de celle-ci.
Dans le cas où le contrôle concernerait des traitements mis en oeuvre au nom et pour le compte d’un de ses Clients, O‘Studies s’engage à̀ l’en informer immédiatement et à ne prendre aucun engagement pour lui.

En cas de contrôle de la CNIL auprès d’un Client et portant sur les services délivrés par O‘Studies en tant que Sous-Traitant, ce dernier s’engage à̀ coopérer avec le Client et à lui fournir toute information dont la CNIL pourrait avoir besoin.
Dans le cas où le contrôle mené ne concernerait que les traitements mis en oeuvre par O‘Studies en tant que Responsable de Traitement, celui-ci s’interdit de communiquer ou de faire état des données à caractère personnel d’un Client dont il serait le Sous-Traitant.

AUDIT

Pour s’assurer du respect des obligations du RGPD, les Clients d’O’Studies peuvent réaliser un audit sous forme de questionnaire ou d’une demande d’information sur le niveau de conformité au RGPD d’O‘Studies.

Par ailleurs, et dans le même esprit, O‘Studies, en tant que Responsable de Traitement, exercera son droit d’audit sur ses propres Sous-traitants et procèdera de même avec les Sous-Traitants Ultérieurs si cela se révèle nécessaire.

RÉVISION

La présente PPDCP sera révisée chaque fois que nécessaire en cas d’une :

  • Évolution de la jurisprudence ;
  • Décision de la CNIL ;
  • Nouvelle règlementation en matière de protection des données à caractère personnel
  •  

Dernière mise à jour le 19.12.2023

Facebook Instagram