Politique générale de protection des données à caractère personnel

HEXATRUST s’attache à la mise en œuvre et au respect du règlement no 2016/679, dit règlement général sur la protection des données (RGPD), adopté par le Parlement européen le 14 avril 2016 et dont les dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.

Le respect de la vie privée et de la protection des données à caractère personnel constitue un facteur de confiance, valeur à laquelle tient particulièrement HEXATRUST, en s’attachant au respect des libertés et droits fondamentaux de chacun.

La présente politique de protection des données à caractère personnel témoigne des engagements mis en œuvre par HEXATRUST dans le cadre de ses activités quotidiennes pour une utilisation responsable des données personnelles.

Un Délégué à la Protection des Données (DPO)

Afin de préserver la vie privée et la protection des données à caractère personnel de tous, HEXATRUST a désigné en 2023, un Délégué à la Protection des Données (DPO) qui exerce ses missions pour l’ensemble de ses structures.

Le DPO est un gage de confiance. Interlocuteur spécialisé dans la protection des données personnelles, chargé de veiller à la préservation de la vie privée et à la bonne application des règles de protection des données personnelles, interlocuteur privilégié de la Commission Nationale de l’Informatique et des Libertés (CNIL), et de toutes personnes concernées par une collecte ou un traitement de données à caractère personnel.

Pour contacter le DPO dans le cadre de l’exercice des droits :

HEXATRUST

A l’attention de Maitre Olivier Weber

5-7 Rue Bellini

92800, Puteaux

Principes applicables à la protection des données personnelles

HEXATRUST recueille et traite des données personnelles relative à ses membres ainsi qu’à toute personne qui s’identifierait auprès d’elle dans le respect des lois et réglementations en vigueur, et notamment de la loi Informatique et Libertés du 6 janvier 1978 modifiée et des normes édictées par la CNIL.

Elle applique dans tous ses traitements les principes définis par la Privacy by Design et mène une politique d’information et de sensibilisation de ses équipes au respect des principes édictés par le Règlement Général pour la Protection des Données.

1. Finalité déterminée, explicite et légitime du traitement :

HEXATRUST est une association visant à promouvoir les entreprises innovantes des métiers de la cybersécurité. A ce titre, ses outils informatiques sont configurés pour recueillir, protéger et traiter un certain nombre de données personnelles permettant l’information de chacun et le fonctionnement de ses structures.

Par ailleurs, en tant qu’entreprise, HEXATRUST dispose d’un logiciel de gestion des ressources humaines lui permettant de se conformer à ses obligations contractuelles et légales.

Les données personnelles sont collectées pour des objectifs précis (finalités) en lien avec les finalités décrites et définis par les besoins du traitement développé à partir d’un cahier des charges validé dans le cadre de notre procédure de protection des données personnelles par défaut.

2. Proportion et pertinence des données collectées :

Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte et se distinguent selon la nature de l’opération de surveillance qu’elle supporte (télésurveillance, vidéosurveillance, téléassistance…).

Les logiciels HEXATRUST s’attachent ainsi à minimiser les données collectées afin de les circonscrire aux seules exigences du traitement.

3. Durée de conservation limitée des données à caractère personnel :

Les données à caractère personnel sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités de collecte et détruites, sous réserves de disposition légales spécifiques, dans un délai maximum d’un mois après que la disparition de leur objet contractuel.

4. Confidentialité / Sécurité des données :

Des Politiques de Protection des Systèmes d’Information (PSSI) sont mises en œuvre, adaptées à la nature des données traitées et de leur traitement.

Des mesures de sécurité physiques, logiques et organisationnelles appropriées sont prévues pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.

HEXATRUST exige également de tout sous-traitant qu’il présente des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

5. Droits des personnes :

Tous les moyens nécessaires à garantir l’effectivité des droits des personnes sur leurs données personnelles sont mis en œuvre.

Toute personne dispose de droits sur les données la concernant, qu’elle peut exercer à tout moment et gratuitement, en justifiant de son identité. Ainsi, les personnes peuvent accéder à leurs données personnelles, et dans certains cas les faire rectifier, supprimer ou s’opposer à leur traitement.

L’accès à ces droits (accès, rectification, suppression, opposition, limitation de traitement, portabilité, effacement, droit de ne pas faire l’objet d’une décision individuelle automatisée) est facilité par les fonctionnalités des logiciels développés par HEXATRUST.

6. Droits issus de la Loi pour une République numérique :

Le nouvel article 40-1 de la loi Informatique et libertés permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès.

Une personne peut être désignée pour exécuter ces directives. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.

En l’absence de directives données de son vivant par la personne, les héritiers auront la possibilité d’exercer certains droits, en particulier :

– Le droit d’accès, s’il est nécessaire pour le règlement de la succession du défunt ;

– Le droit d’opposition pour procéder à la clôture des comptes utilisateurs du défunt et s’opposer au traitement de leurs données.

Suivi de la Politique de Protection des Données Personnelles

Cette politique est révisée au moins tous ans pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation d’HEXATRUST ou dans les offres, produits et services proposés.

La présente Politique de Protection des Données Personnelles est complétée

D’une documentation de nos logiciels sur les finalités explicites des traitements de données à caractère personnel concernant les personnes, les destinataires des données, leurs durées de conservation, et les modalités d’exercice des droits des personnes.

D’une information complète de ses clients opérant ses logiciels quant à leur utilisation dans le cadre du RPGD et notamment :

– Que les données personnelles doivent être collectées loyalement ; aucune collecte ne devant être effectuée à l’insu des personnes et sans qu’elles en soient informées

– Que les données personnelles collectées doivent être portés à la connaissance des personnes concernées.

– Que les données collectées ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

– Que les données personnelles doivent être tenues exactes et à jour.

– Que les délais de conservation des données doivent être portés à la connaissance des personnes, et varient selon la nature des données, la finalité des traitements, ou les exigences légales ou réglementaires.

– Qui si des données à caractère personnel devaient faire l’objet de transferts vers des pays situés dans l’Union Européenne ou hors de l’Union Européenne, les personnes concernées devraient en être précisément informées, et que des mesures spécifiques devraient être prises pour encadrer ces transferts.

– Que les moyens nécessaires à garantir l’effectivité des droits des personnes sur leurs données personnelles doivent être mis en œuvre, notamment par une information claire et complète sur les traitements de données mis en œuvre, facilement accessible et compréhensible par tous.