Annexe 1 au règlement intérieur : Le règlement général sur la protection des données – RGPD

Annexe 1 au Règlement intérieur : Le règlement général sur la protection des données - RGPD

1 – DÉFINITIONS

Art.1.1 – Données personnelles (également appelées Données à caractère personnel ou Données) :
désigne l’ensemble des Données relatives à des personnes physiques identifiées ou identifiables directement et/ou indirectement.
Le terme recouvre la même définition qu’il soit utilisé au singulier ou au pluriel.

Art.1.2 – Législation applicable : signifie tout code, législation, réglementation, recommandation ou avis émanant d’une autorité de contrôle ou prudentielle compétente, relatif à la protection des Données personnelles et de la vie privée applicable aux traitements de Données à caractère personnel, en ce inclus le règlement européen et toute législation, réglementation, recommandation ou avis venant s’y substituer ou amender, étendre, reconstituer/répéter ou consolider la législation applicable.

Art.1.3 – Personne concernée : signifie toute personne dont les Données à caractère personnel sont traitées par le responsable de traitement ou le sous-traitant. Le terme recouvre la même définition qu’il soit utilisé au singulier ou au pluriel.

Art.1.4 – Responsable de traitement : désigne la personne ou l’organisme qui détermine les objectifs poursuivis par un traitement et ses modalités pratiques (informations collectées par exemple).

Art.1.5 – Sous-traitant : désigne toute entité (ANIAPPS, Cabinet comptable, …) qui traite les Données au nom et pour le compte du responsable de traitement, en suivant ses instructions. Le sous-traitant ne participe pas à la détermination des finalités et des moyens d’un traitement, mais peut parfois intervenir sur la détermination de moyens non-essentiels au traitement.

Art.1.6 – Sous-traitant ultérieur : signifie toute tierce-partie engagée par le sous-traitant effectuant des activités de traitement de Données personnelles pour le compte du responsable de traitement.

Art.1.7 – Traitement de Données personnelles (traitement) :
désigne toute manipulation ou utilisation de données personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission ou diffusion ou toute autre forme de mise à disposition, le rapprochement, etc. Tout maniement de données, y compris une simple consultation, est un « traitement de données personnelles ».

Le terme recouvre la même définition qu’il soit utilisé au singulier ou au pluriel.

Art.1.8 – Violation de Données (Violation) : désigne tout incident qui a un impact sur les Données personnelles traitées en termes de disponibilité, d’intégrité ou de confidentialité. Cela recouvre par exemple et sans que la liste soit exhaustive : la perte accidentelle ou illicite, la destruction accidentelle ou non autorisée, l’accès non autorisée aux Données, l’indisponibilité des Données, la modification involontaire des Données etc… Le cas échéant, tous les termes non définis ci-dessus auront la même signification que celle indiquée dans le Règlement Général sur la Protection des Données 2016/679 du 27 avril 2016 (ci-après le « RGPD »).

Tout incident (Violation) mentionné ci-dessus sera signalé à la CNIL dans les 72 heures et documenté au sein d’ESCALE pour être vérifié par les services de la CNIL si nécessaire.

2 – OBLIGATIONS DES PARTIES

Art.2.1 – vis-à-vis de ses adhérents et salariés, ESCALE s’engage à respecter:

– le principe de licéité du traitement en poursuivant un objectif qui n’est pas contraire au droit et reposer sur une base légale prévue par le RGPD.

– le principe de finalité déterminée et légitime des Données collectées (les données ne peuvent pas être utilisées pour une autre raison que celle qui a été fixée initialement.)

– le principe de pertinence et de minimisation des données nécessaire pour atteindre l’objectif du traitement défini (avoir un lien direct avec l’objet poursuivi ; être nécessaires à l’objectif poursuivi ; limiter autant que possible la quantité des données traitées).

– le principe de transparence et de respect des droits des personnes en précisant aux adhérents qui le demandent la raison de la collecte de leurs données, à leur communiquer les principales caractéristiques du traitement réalisé et les droits qu’ils peuvent exercer.

– le principe d’une durée de conservation limitée des données pendant une durée limitée définie en fonction
de l’objectif poursuivi par le traitement.

– le principe de confidentialité et de sécurité des Données en prenant des mesures pour garantir la sécurité des locaux et des postes de travail

3 – TRAITEMENT DES DONNÉES PERSONNELLES

Art.3.1 – ESCALE est susceptible de traiter un certain nombre de Données personnelles dans le cadre de l’exercice de ses missions, pour les finalités suivantes :

– Actions sur le milieu de travail : Les équipes pluridisciplinaires ont à réaliser un certain nombre d’actions en milieu de travail, et sont donc en ce sens, susceptibles de traiter un certain nombre de Données personnelles.

– Suivi individuel de l’état de santé des salariés : Dans le cadre du suivi des salariés, ESCALE organise des rendez-vous santé-travail

– Rapports, recherches et travaux : Dans le cadre de l’exercice de leurs missions, les membres de l’équipe pluridisciplinaire d’Escale sont susceptibles de mettre en place des rapports et des études, de constituer et d’alimenter le Dossier Médical Santé au Travail (DMST).

Dans le même temps, et dans le cadre de l’exécution des obligations qui incombent aux employeurs, certaines Données peuvent être traitées pour les finalités suivantes :

– Adhésion/Emploi à ESCALE: Lors de son adhésion/embauche, l’adhérent/le salarié a l’obligation de fournir un certain nombre d’informations notamment au Service de prévention et de santé au travail (nombre de salariés suivis, risques professionnels auxquels les salariés sont exposés, absence de risques à l’activité physique et sportive, etc.)

– Paiement des cotisations : Chaque adhérent doit s’acquitter d’une somme, qu’il s’agisse de droits d’entrée ou bien d’une cotisation appelée annuellement ou à l’acte

– Déclaration des effectifs : Escale a l’obligation d’effectuer une Déclaration Obligatoire des Effectifs (DOETH) Cette déclaration doit intervenir dans un premier temps au moment de l’adhésion de l’employeur, puis doit ensuite être renouvelée annuellement.

Dans le cadre de la bonne exécution des relations entre ESCALE et les entreprises adhérentes : sous-traitantes, ces dernières sont susceptibles de transmettre un certain nombre de documents pouvant contenir des Données à caractère personnel (document Unique d’Évaluation des Risques Professionnels, fiche de prévention des expositions à certains facteurs de risques professionnels, etc.)

Tous les traitements de Données à caractère personnel susvisés sont effectués dans le cadre de la gestion de la relation associative entre Escale et ses sous-traitants.

4 – DONNÉES COLLECTÉES

Art.4.1 – Dans le cadre de la gestion de la relation associative entre les adhérents et ESCALE, les Données personnelles suivantes sont susceptibles d’être traitées :

– Données d’identification : Civilité, Nom, Prénom, Adresse Postale, Adresse email, Nationalité, Date et Lieu de Naissance, Numéro de téléphone fixe, Numéro de téléphone mobile, etc.

– Caractéristiques personnelles : Sexe, Poids, Taille, etc.

– Données de santé : Expositions, Antécédents médicaux, Pathologies actuelles, Ordonnances, etc.

– Données liées à la vie professionnelle : Poste occupé, Conditions de travail, Employeur, Carrière, Date d’entrée dans l’association, etc.

– Données relatives à des personnes morales : Activité, Adresse de l’établissement, Immatriculation, Numéro de SIRET, Code NAF, etc. Ces Données peuvent être traitées aussi bien dans le cadre de la relation entre l’entreprise adhérente et ESCALE qu’à des fins de gestion du suivi individuel des salariés ou adhérents.

5 – DESTINATAIRES DES DONNÉES

Art.5.1 – Les Données à caractère personnel traitées sont uniquement destinées à ESCALE et ne sont accessibles que par les personnes habilitées à les gérer, suivant les finalités des traitements et dans la limite de leurs attributions respectives.
Par exception, les Données à caractère personnel peuvent être communiquées à des tiers d’ESCALE lorsque nous faisons appel à des prestataires de services techniques qui agissent en notre nom et selon nos instructions (sous-traitants informatiques, hébergeurs de données, etc.) ESCALE pourra également être amenée à communiquer à des tiers les Données à caractère personnel lorsqu’une telle communication est requise par la Loi, une disposition réglementaire ou une décision judiciaire, ou si cette communication est nécessaire pour assurer la protection et la défense des droits d’ESCALE.

6 – SÉCURITÉ DES DONNÉES

Art.6.1 – L’ensemble du personnel d’ESCALE (salariés et bénévoles) est soumis au secret professionnel, dans le respect des dispositions prévues par l’article 226-13 du code civil et les articles L 1110-4 du Code de la Santé publique.
ESCALE s’engage à protéger les Données personnelles traitées contre toute perte, destruction, altération, accès ou divulgation non autorisée. Pour cela, ESCALE met en œuvre des mesures techniques et organisationnelles appropriées, au regard de la nature des Données personnelles et des risques que leur traitement comporte.
ESCALE souhaite préserver la sécurité et la confidentialité des Données personnelles traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Ces mesures peuvent notamment comprendre des pratiques telles qu’un accès limité aux Données personnelles par des personnes habilitées en raison de leurs fonctions, des garanties contractuelles en cas de recours à un prestataire/partenaire, selon la législation en vigueur, des analyses d’impact sur la vie privée (AIPD), des examens réguliers de nos pratiques et Politiques de respect de la vie privée et/ou des mesures de sécurité physiques.

7 – TRANSFERT DE DONNÉES

Art.7.1 – ESCALE s’efforce de conserver les Données personnelles en France, et a minima au sein de l’Espace Économique Européen (EEE). En cas de transfert, ESCALE garantit que le transfert est :

– Effectué vers un pays assurant un niveau de protection adéquat, c’est-à-dire un niveau de protection équivalent à ce que les réglementations européennes exigent ;

– Ou, qu’il soit encadré par des clauses contractuelles types ;

– Ou, qu’il soit encadré par des règles internes d’entreprise.

8. DROITS DES PERSONNES CONCERNÉES

Conformément aux dispositions prévues par la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée ainsi que du Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016, chaque personne concernée par les traitements de données effectués par ESCALE dispose d’un certain nombre de droits sur ses Données personnelles la concernant.

– Un droit d’accès : toute personne peut accéder à l’ensemble de ses Données personnelles après demande écrite de sa part accompagnée d’un justificatif d’identité

– Un droit de rectification : Toute personne peut demander une rectification de toute donnée inexacte ou incomplète la concernant.

– Un droit de suppression : Toute personne concernée peut demander la suppression de ses Données personnelles. Néanmoins, il est possible que dans le cadre du respect des obligations légales d’ESCALE, certaines Données ne puissent faire l’objet d’une suppression au moment où la demande est effectuée

– Un droit à la portabilité : sous certaines conditions, toute personne concernée peut recevoir les Données personnelles la concernant, dans un format structuré.

– Un droit d’opposition : Toute personne peut s’opposer au traitement de ses Données personnelles en invoquant des intérêts légitimes

– Un droit de retrait de consentement : Toute personne peut retirer son consentement à tout moment. Ce droit ne concerne que les Données utilisées dans le cadre de traitements basés sur le consentement

– Un droit à la limitation du traitement : Toute personne peut apporter des restrictions au traitement de ses Données si :

Leur exactitude est contestée, jusqu’à vérification,
Le traitement est illégal mais aucune demande de suppression de Données n’est formulée par la personne concernée,
ESCALE n’utilise plus vos données aux fins du traitement mais celles-ci sont susceptibles d’être utilisées afin d’intenter, de faire valoir ou de défendre toute demande en justice. Ces droits peuvent être exercés aux adresses suivantes :

– Courriel : dpo@escale-ecouen.fr

– Courrier : Association ESCALE, à l’attention du DPO, 14 avenue du Ml Foch, 95440 Écouen

– Il est également possible de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL),
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, de toute réclamation se rapportant à la
manière dont ESCALE collecte et traite les données à caractère personnel.