Politique de conservation et de destruction des données personnelles

EFC SERVICES DE SANTÉ COMMERCE S.A.

POLITIQUE DE CONSERVATION ET DE DESTRUCTION DES DONNÉES PERSONNELLES

ARTICLE 1- OBJET

La politique de conservation et de destruction des données personnelles a été préparée afin de déterminer les procédures et principes concernant les opérations et démarches relatives à la conservation et à la destruction des données personnelles traitées par EFC SERVICES DE SANTÉ COMMERCE S.A..

ARTICLE 2- CHAMP D’APPLICATION

Les données personnelles appartenant aux employés de l’entreprise, aux candidats à l’emploi, aux stagiaires, aux personnes bénéficiant de produits et services, aux clients potentiels, aux partenaires, aux visiteurs, aux fournisseurs et aux autres tiers entrent dans le champ d’application de la présente politique.

La présente politique s’applique à tous les environnements d’enregistrement appartenant à l’entreprise ou gérés par l’entreprise où des données personnelles sont traitées, ainsi qu’aux activités relatives au traitement des données personnelles.

ARTICLE 3- DÉFINITIONS

Groupe de destinataires : Catégorie de personnes physiques ou morales auxquelles les données personnelles sont transférées par le responsable du traitement.

Consentement explicite : Consentement relatif à un sujet spécifique, fondé sur l’information et exprimé librement.

Anonymisation : Rendre les données personnelles telles qu’elles ne puissent en aucun cas être associées à une personne physique identifiée ou identifiable, même par recoupement avec d’autres données.

Employé : Personnel de l’entreprise.

Environnement électronique : Environnements dans lesquels les données personnelles peuvent être créées, lues, modifiées et écrites au moyen de dispositifs électroniques.

Environnement non électronique : Tous les environnements écrits, imprimés, visuels, etc., autres que les environnements électroniques.

Prestataire de services : Personne physique ou morale fournissant des services à l’entreprise dans le cadre d’un contrat déterminé.

Personne concernée : Personne physique dont les données personnelles sont traitées.

Utilisateur concerné : Personnes qui traitent des données personnelles au sein de l’organisation du responsable du traitement ou conformément à l’autorité et aux instructions reçues du responsable du traitement, à l’exception de la personne ou de l’unité responsable du stockage technique, de la protection et de la sauvegarde des données.

Destruction : Suppression, destruction ou anonymisation des données personnelles.

Loi : Loi n° 6698 sur la protection des données personnelles.

Environnement d’enregistrement : Tout environnement dans lequel se trouvent des données personnelles traitées par des moyens entièrement ou partiellement automatisés ou par des moyens non automatisés, à condition qu’elles fassent partie d’un système d’enregistrement de données.

Données personnelles : Toute information relative à une personne physique identifiée ou identifiable.

Inventaire du traitement des données personnelles : Inventaire dans lequel les responsables du traitement détaillent les activités de traitement des données personnelles qu’ils réalisent en fonction de leurs processus métiers, en les associant aux finalités et à la base juridique du traitement, à la catégorie de données, au groupe de destinataires auquel elles sont transférées et au groupe de personnes concernées, et en explicitant la durée maximale de conservation nécessaire aux finalités pour lesquelles les données personnelles sont traitées, les données personnelles dont le transfert vers des pays étrangers est envisagé ainsi que les mesures prises en matière de sécurité des données.

Traitement des données personnelles : Toute opération effectuée sur des données, telle que l’obtention, l’enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la reprise, la mise à disposition, la classification ou l’empêchement de l’utilisation des données personnelles par des moyens entièrement ou partiellement automatisés ou par des moyens non automatisés, à condition qu’elles fassent partie d’un système d’enregistrement de données.

Conseil : Conseil de protection des données personnelles.

Catégories particulières de données personnelles : Données relatives à la race, l’origine ethnique, l’opinion politique, la conviction philosophique, la religion, la secte ou d’autres croyances, l’apparence et la tenue vestimentaire, l’appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques.

Destruction périodique : Processus de suppression, de destruction ou d’anonymisation à réaliser d’office à des intervalles récurrents indiqués dans la politique de conservation et de destruction des données personnelles dans le cas où toutes les conditions de traitement des données personnelles prévues par la Loi cessent d’exister.

Politique : Politique de conservation et de destruction des données personnelles.

Société : EFC SERVICES DE SANTÉ COMMERCE S.A.

Sous-traitant : Personne physique ou morale traitant des données personnelles pour le compte du responsable du traitement sur la base de l’autorité accordée par le responsable du traitement.

Système d’enregistrement des données : Système d’enregistrement dans lequel les données personnelles sont traitées en étant structurées selon certains critères.

Responsable du traitement : Personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles et qui est responsable de la mise en place et de la gestion du système d’enregistrement des données.

Système d’information du registre des responsables du traitement : Système d’information, accessible via internet, créé et géré par la Présidence, que les responsables du traitement utiliseront pour les demandes d’inscription au Registre et autres opérations connexes.

VERBIS : Système d’information du registre des responsables du traitement.

Règlement : Règlement sur la suppression, la destruction ou l’anonymisation des données personnelles publié au Journal officiel en date du 28 octobre 2017.

ARTICLE 4- RESPONSABILITÉS ET TÂCHES

Tous les employés et unités de l’entreprise apportent un soutien complet et actif aux unités responsables en matière de collecte, de traitement et de conservation légaux des données personnelles. Dans la mise en œuvre des mesures administratives et techniques prises dans le cadre de la Politique, dans la formation des employés des unités, dans l’assurance, le renforcement et le suivi de la sensibilisation des employés, dans la prévention de l’accès illégal aux données personnelles et dans la conservation des données personnelles conformément à la loi, tous les employés et unités soutiennent les unités responsables. La répartition des titres, unités et descriptions de fonction des personnes intervenant dans les processus de conservation et de destruction des données personnelles est indiquée dans le TABLEAU ANNEXE : 1.

ARTICLE 5- ENVIRONNEMENTS D’ENREGISTREMENT

Les données personnelles sont conservées de manière sécurisée et conforme à la loi par l’entreprise dans les environnements listés dans le TABLEAU ANNEXE : 2.

ARTICLE 6- BASES JURIDIQUES NÉCESSITANT LA CONSERVATION

Au sein de l’entreprise, les données personnelles traitées dans le cadre des activités sont conservées pendant la durée prévue par la législation pertinente et dans le cadre de la Loi et de la législation pertinente. Dans ce cadre, les raisons nécessitant la conservation sont les suivantes :

  1. Conservation des données personnelles en raison de leur lien direct avec l’établissement et l’exécution des contrats,
  2. Conservation des données personnelles aux fins d’établissement, d’exercice ou de protection d’un droit
  3. Conservation des données personnelles étant obligatoire pour les intérêts légitimes de l’entreprise, à condition de ne pas porter atteinte aux droits et libertés fondamentaux des personnes
  4. Conservation des données personnelles aux fins de l’exécution de toute obligation légale de l’entreprise
  5. Conservation des données personnelles explicitement prévue par la législation
  6. Existence du consentement explicite des personnes concernées pour les activités de conservation nécessitant l’obtention du consentement explicite des personnes concernées

ARTICLE 7- FINALITÉS DE TRAITEMENT NÉCESSITANT LA CONSERVATION

La Société peut traiter les données personnelles de la personne concernée ou des tiers indiqués par la personne concernée à diverses fins, y compris, mais sans s’y limiter, les suivantes :

  1. Mener les processus de ressources humaines
  2. Assurer la communication institutionnelle
  3. Assurer la sécurité de l’entreprise
  4. Pouvoir réaliser des études statistiques
  5. Pouvoir exécuter les opérations et démarches à la suite des contrats et protocoles signés
  6. Assurer l’exécution des obligations légales telles qu’exigées ou imposées par les réglementations légales
  7. Établir un contact avec les personnes physiques / morales ayant une relation commerciale avec la Société
  8. Réaliser des rapports légaux
  9. S’acquitter de la charge de la preuve à titre d’élément probant dans d’éventuels litiges juridiques futurs
  10. Réaliser/suivre les affaires juridiques de la Société

ARTICLE 8- BASES JURIDIQUES NÉCESSITANT LA DESTRUCTION

Les données personnelles sont supprimées ou détruites par la Société à la demande de la personne concernée ou d’office en présence des situations suivantes :

  1. Modification ou abrogation des dispositions législatives pertinentes constituant la base du traitement des données personnelles
  2. Disparition de la finalité nécessitant le traitement ou la conservation des données personnelles
  3. Dans les cas où le traitement des données personnelles est effectué uniquement sur la base du consentement explicite, retrait du consentement explicite par la personne concernée
  4. Acceptation par le responsable du traitement de la demande formulée par la personne concernée concernant la suppression et la destruction de ses données personnelles dans le cadre des droits de la personne concernée conformément à l’article 11 de la Loi
  5. Expiration de la durée maximale nécessitant la conservation des données personnelles et absence de toute condition justifiant une conservation plus longue des données personnelles

ARTICLE 9- MESURES TECHNIQUES

Les mesures techniques prises par la Société concernant les données personnelles qu’elle traite sont les suivantes :

  1. Effectue les contrôles internes nécessaires dans le cadre des systèmes mis en place
  2. Mène les processus de réalisation de l’évaluation des risques informatiques et de l’analyse d’impact sur l’activité dans le cadre des systèmes mis en place
  3. Assure la mise en place de l’infrastructure technique permettant d’empêcher ou de surveiller la fuite de données hors de l’entreprise et l’élaboration des matrices correspondantes
  4. Assure le contrôle des vulnérabilités du système en recourant à des services de test d’intrusion régulièrement et lorsque nécessaire
  5. Assure le contrôle des autorisations d’accès aux données personnelles des employés travaillant dans les unités informatiques
  6. Assure que la destruction des données personnelles est effectuée de manière irréversible et sans laisser de trace d’audit
  7. Conformément à l’article 12 de la Loi, tout environnement numérique où les données personnelles sont stockées est protégé par des méthodes chiffrées et/ou cryptographiques répondant aux exigences de sécurité de l’information

ARTICLE 10- MESURES ADMINISTRATIVES

Les mesures administratives prises par la Société concernant les données personnelles qu’elle traite sont les suivantes :

  1. Limite l’accès interne aux données personnelles conservées au personnel qui a besoin d’y accéder en raison de sa description de poste. Dans la limitation de l’accès, il est également tenu compte du fait que les données sont des catégories particulières de données personnelles et de leur degré d’importance.
  2. En cas d’obtention par des tiers de données personnelles traitées par des moyens illégaux, elle notifie la personne concernée et le Conseil dans les plus brefs délais.
  3. En ce qui concerne le partage des données personnelles, elle assure la sécurité des données en signant un contrat-cadre relatif à la protection des données personnelles et à la sécurité des données avec les personnes avec lesquelles les données personnelles sont partagées, ou par des dispositions ajoutées aux contrats existants.
  4. Emploie du personnel compétent et expérimenté en matière de traitement des données personnelles et fournit à son personnel les formations nécessaires dans le cadre de la législation sur la protection des données personnelles et de la sécurité des données.
  5. Réalise et fait réaliser les audits nécessaires afin d’assurer l’application des dispositions de la Loi au sein de sa personnalité morale. Élimine les failles de confidentialité et de sécurité révélées à la suite des audits.

ARTICLE 11- MÉTHODES DE SUPPRESSION DES DONNÉES PERSONNELLES

Les données personnelles sont supprimées selon les méthodes indiquées dans le TABLEAU ANNEXE : 3.

ARTICLE 12- MÉTHODES DE DESTRUCTION DES DONNÉES PERSONNELLES

Les données personnelles sont détruites selon les méthodes indiquées dans le TABLEAU ANNEXE : 4.

 

ARTICLE 13- DURÉES DE CONSERVATION ET DE DESTRUCTION

Lors de la détermination de la durée de conservation des données personnelles par la Société ; en premier lieu, si une durée est prévue dans la législation concernant la conservation des données personnelles en question, cette durée est respectée. En dehors de cela ; le tableau des durées de conservation et de destruction figurant dans le TABLEAU ANNEXE : 5 est pris comme référence.

ARTICLE 14- PÉRIODE DE DESTRUCTION PÉRIODIQUE

La Société effectue chaque année le processus de destruction périodique aux mois de juin et décembre.

ARTICLE 15- PUBLICATION, CONSERVATION ET MISE À JOUR DE LA POLITIQUE

La Politique est publiée sur deux supports différents, sous forme signée manuscrite (papier imprimé) et sous forme électronique, et est annoncée au public sur la page internet. La copie papier imprimée est conservée au sein de la société. La Politique est réexaminée lorsque cela est nécessaire et les sections requises sont mises à jour.

ARTICLE 16- ENTRÉE EN VIGUEUR

La Politique est réputée être entrée en vigueur après sa publication sur le site internet de la société. En cas de décision de retrait, les anciennes copies signées manuscrites de la politique sont annulées (par apposition d’un cachet « annulé » ou par mention « annulé »), signées et conservées par la société pendant au moins 5 ans.

TABLEAU ANNEXE : 1 Répartition des tâches des processus de conservation et de destruction

TITRE UNITÉ MISSION
Directeur de la société Société Responsable du respect de la politique par les employés.
…. Responsable de la préparation, du développement, de l’exécution, de la publication dans les environnements concernés et de la mise à jour de la Politique.
Responsable informatique Direction informatique Responsable de la fourniture des solutions techniques nécessaires à la mise en œuvre de la Politique.
Toutes les autres unités Responsables de l’exécution de la Politique conformément à leurs missions.

 

TABLEAU ANNEXE : 2 Supports de conservation des données personnelles

Supports électroniques Supports non électroniques
Ordinateurs personnels

Appareils mobiles

Disques optiques

Imprimantes, scanners, photocopieurs

Mémoires amovibles et portables

Serveurs

Logiciels

Dispositifs de sécurité de l’information

 Papiers

Supports écrits et imprimés

Enregistrements visuels

Systèmes d’enregistrement manuel des données

 

TABLEAU ANNEXE : 3 Méthodes de suppression des données personnelles

Support d’enregistrement des données Méthode de suppression
Serveurs Pour les données personnelles sur les serveurs dont la durée de conservation a expiré, la suppression est effectuée par l’administrateur système en supprimant l’autorisation d’accès des utilisateurs concernés.
Support électronique Les données personnelles sur support électronique dont la durée de conservation a expiré sont rendues inaccessibles et inutilisables pour tous les employés (utilisateurs concernés) autres que l’administrateur de base de données.
Support physique Pour les données personnelles conservées sur support physique dont la durée de conservation a expiré, elles sont rendues inaccessibles et inutilisables pour tous les employés autres que le responsable de l’unité chargée des archives de documents. En outre, un noircissement est appliqué en rayant/peignant/effaçant de manière illisible.
Support portable Les données personnelles stockées sur des supports de stockage basés sur flash dont la durée de conservation a expiré sont chiffrées par l’administrateur système et stockées dans des environnements sécurisés avec des clés de chiffrement, l’autorisation d’accès n’étant accordée qu’à l’administrateur système.

 

TABLEAU ANNEXE : 4 Méthodes de destruction des données personnelles

Support d’enregistrement des données Méthode de destruction
Support physique Les données personnelles sur papier dont la durée de conservation a expiré sont détruites de manière irréversible dans des machines de destruction de documents.
Support optique ou magnétique Une destruction physique est appliquée aux données personnelles sur supports optiques et magnétiques dont la durée de conservation a expiré, telle que la fusion, la combustion ou la pulvérisation. En outre, les supports magnétiques sont passés dans un dispositif spécial et exposés à un champ magnétique de haute intensité, rendant les données qui s’y trouvent illisibles.

 

TABLEAU ANNEXE : 5 Tableau des durées de conservation et de destruction

PROCESSUS DURÉE DE CONSERVATION DURÉE DE DESTRUCTION
Pratiques de santé et de sécurité au travail 10 ans à compter de la fin de la relation de travail 180 jours à compter de la fin de la durée de conservation
Paie 10 ans à compter de la fin de la relation de travail 180 jours à compter de la fin de la durée de conservation
Réponse aux demandes du personnel des tribunaux/parquets 10 ans à compter de la fin de la relation de travail 180 jours à compter de la fin de la durée de conservation
Enregistrements relatifs aux visiteurs et aux patients 10 ans à compter de la date d’établissement et d’enregistrement 180 jours à compter de la fin de la durée de conservation
Archivage des enregistrements de formation 10 ans après l’organisation de la formation 180 jours à compter de la fin de la durée de conservation
Préparations aux situations d’urgence 10 ans à compter de la préparation 180 jours à compter de la fin de la durée de conservation
Systèmes de suivi des journaux (logs) 10 ans à compter de la création 180 jours à compter de la fin de la durée de conservation
Enregistrements vidéo (caméras) 1 an à compter de l’enregistrement 180 jours à compter de la fin de la durée de conservation