Nous voulons travailler avec vous, clients, partenaires, prestataires, fournisseurs, stagiaires en toute confiance ; pour cela, nous précisons dans cette politique ce que nous faisons en qualité de responsable du traitement avec les données à caractère personnel de personnes physiques.
Ce document vous indique les données à caractère personnel que nous collectons et que vous nous fournissez, les raisons pour lesquelles nous le faisons, les cas où nous les communiquons à des tiers, la manière dont nous les conservons, les sécurisons, ainsi que les moyens pour exercer les droits reconnus aux personnes sur leurs données.
Pour toute question concernant la présente politique, n'hésitez pas à contacter notre Déléguée à la Protection des Données (DPO) à l’adresse dpo@apave.com.
Pour quelles raisons collectons-nous et utilisons-nous des données à caractère personnel ?
Nous collectons des données à caractère personnel directement auprès de vous ou par le biais de votre employeur ou d’une personne autorisée pour :
- assurer l’exécution d’un contrat ou des conditions générales d'un service en ligne Apave (suivi du contrat, préparation et réalisation de l’intervention et de la prestation ; contrôle qualité) ;
- se conformer à nos obligations légales ou réglementaires ;
- la réalisation de finalités spécifiques après avoir obtenu votre consentement explicite et positif ;
- nos intérêts légitimes tels que la personnalisation de nos offres selon vos besoins, assurer la sécurité de notre système d’information.
Quelques exemples : nous pouvons vous envoyer via votre adresse email une notification de rappel de renouvellement de votre habilitation ou de votre certification ; nous pouvons vous informer de nouvelles applications ou services disponibles pour votre secteur d'activité.
Par ailleurs, si vous nous contactez, nous conserverons une trace de votre demande afin de nous permettre de la traiter au mieux.
Quelles sont les données à caractère personnel que vous nous fournissez ou que nous collectons ?
Lorsque vous nous contactez, ou nous demandez de vous recontacter pour les services qui vous intéressent, vous consentez à nous fournir les données à caractère personnel suivantes : nom, prénom, adresse mail, numéro de téléphone, informations partagées par vous-même, telles que votre fonction, activité, cookies.
Pour la réalisation de nos services et prestations, nous collectons des données d’identification personnelles et professionnelles telles que nom, prénom, numéros de téléphone professionnel, date de naissance (stagiaires et formation professionnelle), adresse mail professionnelle, signature, fonction, photographie le cas échéant ; des données concernant les compétences techniques ; des données financières liées à la facturation.
Nous utilisons également les données à caractère personnel générées à la suite de la formation: la feuille d’émargement, date de délivrance du certificat, évaluation de la formation, habilitations et titres. Lorsque vous avez suivi une formation et afin de vous aider au mieux à maintenir votre qualification, nous vous informons sur la nécessité du renouvellement.
Lorsque vous souhaitez accéder aux services en ligne auxquels vous avez souscrits, vous fournissez les données à caractère personnel suivantes : nom, prénom, adresse mail professionnelle, numéro de téléphone professionnel.
Nous stockons également vos consentements à recevoir des informations, par exemple l’actualité à laquelle vous vous abonnez, ainsi que vos retraits de consentement aux traitements auxquels vous aviez auparavant consenti.
Pour répondre à une finalité déterminée, nous sommes amenés à collecter des données de santé notamment dans le domaine du rayonnement et de certaines formations. Des précisions seront apportées le cas échéant.
Dans quels cas communiquons-nous vos données à caractère personnel à des tiers ?
Nous ne communiquons vos données à caractère personnel à des tiers que dans les cas suivants :
- Aux services internes du groupe Apave en charge de l’exécution des finalités.
- Pour des besoins de traitements externes : nous transmettons ces données à des personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément au RGPD et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. Nous faisons notamment appel à des fournisseurs de services pour assurer la sauvegarde et l’hébergement des données.
- Pour des raisons juridiques ou réglementaires : nous sommes susceptibles de partager des données à caractère personnel pour respecter des obligations légales, réglementaires et administratives, détecter, empêcher ou traiter des activités frauduleuses, des atteintes à la sécurité ou tout problème d'ordre technique ou encore lors d'évaluations et audits externes par des autorités (ou leurs représentants).
Comment conservons-nous et sécurisons-nous vos données à caractère personnel ?
Nous mettons en place les mesures de sécurité organisationnelles et techniques nécessaires et appropriées contre tout accès, toute modification, divulgation ou destruction non autorisé des données que nous stockons. La Politique de Sécurité du Système d’Information (PSSI) peut vous être transmise pour obtenir plus de détails sur les mesures.
Ces mesures sont notamment les suivantes :
- Ne collecter que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées.
- Les collaborateurs, sous-traitants, prestataires et interlocuteurs d’Apave qui ont besoin d'accéder aux données à caractère personnel pour exercer leurs rôles, fonctions et responsabilités :
- sont habilités et ont un accès qui leur est strictement réservé ;
- sont sensibilisés et/ou formés, selon leurs rôles, fonctions et responsabilités ;
- ont signé un engagement de confidentialité et ont été informés des risques et sanctions en cas de manquement à cette obligation.
- Nous chiffrons les données lorsque cela est nécessaire.
- Nous réalisons des audits internes et de nos fournisseurs traitant des données à caractère personnel pour le compte d’Apave.
Lorsque nous faisons appel à la sous-traitance pour mener des activités de traitement spécifiques, nous nous assurons que ces sous-traitants respectent les mêmes obligations et présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement de données personnelles réponde aux exigences de la réglementation en vigueur. Un accord portant sur la sous-traitance de données à caractère personnel sera alors formellement conclu.
Nous conservons les données à caractère personnel pendant la durée de la relation commerciale, puis nous les archivons ou les supprimons. Dans certains cas, nous nous réservons le droit de les conserver pour une durée plus longue notamment pour prévenir un éventuel contentieux et répondre à nos obligations légales et réglementaires.
Pour les données traitées dans le cadre d’un traitement soumis à un consentement, nous les supprimons dès le retrait du consentement.
Nous ne transférons pas les données à caractère personnel en dehors de l’Union Européenne. Dans le cas où nous y serons amenés pour les besoins d’un contrat, nous nous engageons à mettre en place les garanties appropriées et à recueillir l’autorisation préalable sur le transfert. En tout état de cause, nous restons responsables de nos engagements sur ces données à caractère personnel.
Comment exercer vos droits sur les données à caractère personnel ?
Conformément à la loi de transposition du règlement général sur la protection des données à caractère personnel, vous disposez de droits que nous sommes tenus de respecter :
- Un droit à l’information du traitement de vos données de façon claire, loyale et transparente ;
- Un droit d’accès à vos informations personnelles transmises : vous avez le droit d’obtenir de notre part la confirmation que vos données sont traitées ou non, les finalités du traitement, le destinataire des données, le transfert éventuel de ses dernières ainsi qu’une copie desdites données ;
- Un droit de rectification des données inexactes ou incomplètes : vous pouvez obtenir de notre part la rectification de vos données si ces dernières s’avèrent être erronées ou inexactes ;
- Un droit d’opposition à certains traitements notamment ceux ayant pour finalité la prospection commerciale ;
- Un droit de retirer le consentement à un traitement de données, sans que les effets de ce retrait soient rétroactifs ;
- Un droit d’effacement de vos données faisant l’objet d’un traitement illicite : vous disposez d’un droit à l’oubli seulement lorsque le traitement de vos données ne concerne pas l’exécution du contrat et que vous avez résilié ledit contrat ;
- Un droit à la portabilité permettant de recevoir dans un format utilisable vos données fournies afin de les transmettre à un autre prestataire. La portabilité des données ne s’exerce que sur les données que vous nous avez-vous même fournies vous concernant et uniquement si le traitement est fondé sur le consentement ou le contrat ;
- Un droit à la limitation du traitement ;
- Un droit de donner des directives relatives à la conservation, à l'effacement et à la communication de vos données après décès.
Pour exercer vos droits, il suffit de contacter la DPO à l'adresse mail dpo@apave.com, ou par courrier à Apave à l'attention de la DPO au 191 rue de Vaugirard 75738 Paris cedex 15. Il existe également la possibilité d'introduire une réclamation auprès d'une Autorité de contrôle de la Protection des Données, en France la CNIL.
Comment gérons-nous les violations de données à caractère personnel ?
Nous prenons très au sérieux les violations de données à caractère personnel.
En cas de violation de vos données personnelles susceptible d’engendrer un risque pour vos droits et libertés, le DPO d’Apave notifie la violation à la CNIL dans les meilleurs délais, et, si possible 72 heures au plus tard après en avoir pris connaissance. Apave informera également la personne concernée, dans les meilleurs délais conformément aux dispositions de l’article 34 du RGPD.
Révision et mise à jour de notre politique de protection des données
Nous nous engageons à traiter les données à caractère personnel conformément aux dispositions légales en vigueur.
La présente politique sera revue en fonction des évolutions des textes. Vous serez régulièrement informé de cette mise à jour.
(Mise à jour le 20/11/2019)