Clause de Protection des Données Personnelles (RGPD)

1. Définitions

Aux fins de la présente clause, les termes suivants auront les significations suivantes :

• « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

• « Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

• « Responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

2. Principes de Protection des Données

La Société s'engage à respecter les principes suivants en matière de protection des données à caractère personnel :

• Les données doivent être traitées de manière licite, loyale et transparente.

• Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

• Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données).

• Les données doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

• Les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

• Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

3. Droits des Personnes Concernées

Les personnes concernées disposent des droits suivants :

• Droit d'accès : la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et, lorsqu'elles le sont, l'accès auxdites données.

• Droit de rectification : la personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.

• Droit à l'effacement (droit à l'oubli) : la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant.

• Droit à la limitation du traitement : la personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique : l'exactitude des données est contestée, le traitement est illicite, le responsable du traitement n'a plus besoin des données pour les finalités du traitement, ou la personne concernée s'est opposée au traitement.

• Droit à la portabilité des données : la personne concernée a le droit de recevoir les données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle.

• Droit d'opposition : la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant.

4. Notification des Violations de Données

En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l'autorité de contrôle compétente (CNIL) dans les meilleurs délais et,

si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable

du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

5. Sécurité des Données

La Société met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, entre autres, selon les besoins :

• La pseudonymisation et le chiffrement des données à caractère personnel.

• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

• Une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

6. Responsabilité et Gouvernance

Le responsable du traitement est responsable de la mise en œuvre et du respect des présentes dispositions. Il doit tenir un registre des activités de traitement et veiller à ce que les sous-traitants respectent également les obligations en matière de protection des données à caractère personnel.

7. Contact et Réclamations

Pour toute question relative à la protection des données à caractère personnel ou pour exercer leurs droits, les personnes concernées peuvent contacter le délégué à la protection

des données de la Société à l'adresse suivante :

Monsieur Eric GAGNEROT, 46 allée Destanque – 40230 - SAINT GEOURS DE MAREMNE.

Les personnes concernées ont également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).