Politique de protection des données personnelles

1. OBJET ET CHAMP D’APPLICATION

La présente politique vise à encadrer le traitement des données personnelles collectées au sein de Nexira. Elle s’adresse à l’ensemble du personnel du groupe Nexira, à ses sous-traitants, ainsi qu’aux tiers dans la mesure où Nexira collecte leurs données personnelles.

Conformément aux dispositions légales et réglementaires applicables, en particulier la Loi « informatique et Libertés » n°78-17 du 6 janvier 1978, et au Règlement européen n° 2016/679/UE du 27 avril 2016 (applicable depuis le 25 mai 2018) sur la protection des données (« RGPD »), Nexira s’engage à assurer la protection des données personnelles de ses clients, employés, partenaires et autres parties prenantes, qu’elle collecte et traite dans le cadre de ses activités.

2. DEFINITIONS

Donnée personnelle : « toute information se rapportant à une personne physique identifiée ou identifiable. »
Traitement de données personnelles : « Une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction). »
Responsable de traitement (RT) : « Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. »
Délégué à la protection des données (DPO) : « Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. »
Sous-traitant : « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

3. ROLES ET RESPONSABILITES

Le responsable du traitement des données est la société Nexira.

Un délégué à la protection des données a été désigné (Frédéric DUCLUSEAU, Directeur de la gestion des risques), avec une adresse électronique dédiée (dpo@nexira.com).

4. TRAITEMENT DES DONNEES PERSONNELLES

Nexira est susceptible de collecter et traiter, sans s’y limiter, les données personnelles suivantes :

  • Données d’identification : nom, prénom, date et lieu de naissance, sexe, photographie, vidéo ;
  • Données de contact : adresse de résidence, email, numéro de téléphone ;
  • Données transactionnelles : coordonnées bancaires, montant et date de facture ;
  • Données de connexion : adresse IP, cookies ;
  • Données relatives à la vie personnelle ou professionnelle : situation familiale, diplômes, etc.

Les traitements de ces données ont notamment pour finalité, sans que cette liste ne soit limitative :

  • Le recrutement ;
  • La gestion administrative du personnel ;
  • La gestion de la carrière et de la mobilité du personnel ;
  • La gestion de la formation,
  • Le suivi des fournisseurs et prestataires ;
  • La gestion des clients et des prospects ;
  • La communication interne et externe de Nexira ;
  • La gestion de l’accueil des visiteurs.

Chaque traitement de données personnelles repose sur une base légale (consentement, exécution d’un contrat avec Nexira, respect d’une obligation légale, etc.) et est encadré par des finalités déterminées, précises et légitimes. Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités doivent être recueillies. Si des données doivent être utilisées à d’autres fins que la finalité définie, Nexira s’engage à en informer les personnes concernées afin d’obtenir leur accord.

Par ailleurs, Nexira veille à respecter l’exactitude et la mise à jour des données personnelles collectées et se réserve la possibilité de solliciter les personnes concernées afin de s’en assurer.

Les données personnelles sont conservées pour une durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, et en accord avec les obligations légales. Elles sont ensuite effacées ou anonymisées afin de pouvoir les exploiter sans porter atteinte aux droits des personnes.

Les activités de traitement de données personnelles sont recensées dans un Registre des traitements des données personnelles précisant, pour chaque activité, les destinataires, les finalités, les bases légales, les catégories de données personnelles et de personnes concernées, les durées de conservation et les mesures de sécurité. Ce registre est placé sous la responsabilité du DPO et est mis à jour régulièrement.

5. OBLIGATIONS DES SOUS-TRAITANTS

Nexira peut être amenée à transférer des données personnelles à des tiers pour des raisons techniques ou des obligations légales. Les sous-traitants sont tenus de respecter les obligations en matière de sécurité, de confidentialité et de documentation des traitements de données personnelles qu’ils réalisent pour le compte de Nexira, conformément au RGPD, et plus particulièrement à l’article 28 « Sous-traitant ». Le sous-traitant s’engage à :

  • Ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement et uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
  • Veiller à ce que les personnes autorisées à traiter les données personnelles reçoivent une formation nécessaire et s’engagent respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Fournir aux personnes concernées l’information relative aux traitements de données qu’il réalise et aider le Responsable de traitement à traiter les demandes des personnes concernées qui le saisissent pour leurs droits : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée ;
  • Supprimer toutes les données à caractère personnel ou les renvoyer au responsable de traitement au terme de la prestation de services, y compris les copies existantes ;
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques ;
  • Informer le responsable du traitement sans retard excessif, et au plus tard dans les 48 heures, après avoir pris connaissance d’une violation de données à caractère personnel ;
  • Communiquer à Nexira le nom et les coordonnées de son délégué à la protection des données ;
  • Tenir par écrit un Registre de toutes les activités de traitement de données personnelles effectuées pour le compte du responsable de traitement ;
  • Ne pas recruter un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Si l’autre sous-traitant ne remplit pas son obligation en matière de protection des données, le sous-traitant initial reste pleinement responsable de l’exécution des obligations de cet autre sous-traitant vis-à-vis du responsable du traitement ;
  • Si le sous-traitant fait appel à un sous-traitant ultérieur originaire d’un pays tiers (hors UE), le sous-traitant s’engage à utiliser des mécanismes de transfert de données conformes aux dispositions des articles 44 et suivants du RGPD : (1) une décision d’adéquation de la Commission européenne, (2) des garanties appropriées telles que la conclusion de Clauses Contractuelles Types de la Commission européenne, (3) des règles d’entreprise contraignantes, (4) des dérogations permises par le RGPD et ce, en accord avec Nexira ;
  • Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, réalisés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.
  • Compte tenu de la nature du traitement et des informations à la disposition du sous-traitant, aider le responsable du traitement pour toute analyse d’impact relative à la protection des données et pour la consultation de l’autorité de contrôle préalablement au traitement en cas d’analyse d’impact indiquant un risque élevé.

6. TRANSFERTS HORS UNION EUROPEENNE

En cas de transfert de données hors de l’Union Européenne, Nexira s’assure qu’un niveau de protection des données suffisant et approprié est mis en place, en conformité avec le cadre légal du RGPD.

7. MESURES DE PROTECTION DES DONNEES

Nexira s’engage à mettre en place toutes les mesures de sécurité physique, techniques et organisationnelles appropriées pour assurer la confidentialité, l’intégrité et la disponibilité des données. Ces mesures incluent l’utilisation de pare-feu, des contrôles d’accès, des procédures de sauvegardes régulières, etc. Ces mesures de sécurité sont revues régulièrement pour être ajustées en fonction de l’évolution des risques et du degré de sensibilité des données collectées.

En cas de transfert de données à des sous-traitants, Nexira s’assure que ceux-ci respectent bien la règlementation européenne en matière de protection des données personnelles, via notamment la formalisation d’un contrat définissant les obligations des parties en matière de protection des données. 

8. RESPECT DES DROITS DES PERSONNES

Nexira veille à informer, de façon transparente et compréhensible, les personnes concernées de la collecte de leurs données personnelles et à obtenir leur consentement si nécessaire. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale.


Nexira s’engage à faciliter l’exercice des droits des individus concernant leurs données personnelles : droits d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité et d’opposition.


Pour exercer vos droits ou pour toute question concernant la politique de protection des données personnelles de Nexira, vous pouvez adresser une demande à l’attention de notre Délégué à la Protection des Données à l’adresse suivante : dpo@nexira.com. Après avoir vérifié l’identité du demandeur et identifier les données concernées, Nexira s’engage à répondre aux demandes adressées dans un délai d’un mois.

Les personnes concernées disposent également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité française de protection des données personnelles, à l’adresse postale 3 Place de Fontenoy – TSA 80715, 75334 Paris Cedex 07, par téléphone au 01 53 73 22 22, ou sur le site www.cnil.fr.

9. VIOLATION DES DONNEES PERSONNELLES

Les données personnelles étant confidentielles, leur accès est limité aux collaborateurs et prestataires de Nexira qui ont besoin d’en connaître dans le cadre de l’exécution de leur mission. Les personnes ayant accès aux données personnelles sont tenues par une obligation de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

En cas de violation de données personnelles (accès illégitime, modification non désirée ou disparition de données), le DPO de Nexira alerte la CNIL dans les 72 heures, si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. En cas de risques élevés, les personnes concernées seront informées, dans les conditions prévues par la réglementation. Chaque violation de données sera consignée dans le Registre des violations de données personnelles.

10. CONTROLES ET AMELIORATION CONTINUE

Des contrôles internes réguliers des traitements de données seront effectués afin de vérifier leur conformité aux règlementations en vigueur, leur effectivité et l’adéquation des mesures prévues en fonction des menaces identifiées et de la sensibilité des données. Ces contrôles permettront de corriger rapidement toute non-conformité éventuellement identifiée et d’assurer le respect des droits des personnes. Des audits externes pourront également mis en place. 

L’amélioration continue passant également par l’implication de tous les acteurs, des formations seront proposées aux salariés de Nexira afin de les responsabiliser sur la protection des données personnelles et d’améliorer les pratiques.

La présente Politique pourra être modifiée à tout moment par NEXIRA en raison notamment de l’évolution législative et/ou réglementaire et de politiques internes concernant la protection des données.