Le Groupe Numen apporte une attention particulière à la protection des données à caractère personnel de ses collaborateurs, clients et prospects et s’attache à entretenir leur confiance dans l’organisation. Naturellement sensibilisé au traitement et à la protection des données personnelles des individus dont il a la charge dans le cadre de ses activités, le Groupe Numen a bien compris la nécessité de s’assurer du respect de la règlementation nationale et européenne en vigueur, et ainsi, d’être responsable dans son utilisation des données personnelles et de faciliter l’exercice des droits des individus sur celles-ci afin que la protection de la vie privée de tous soit garantie.
La présente politique s’applique à tous les services du Groupe Numen. Elle formalise les engagements du Groupe Numen en matière de protection des données personnelles, et s’inscrit dans une démarche d’information quant à nos pratiques de mise en œuvre de la législation en vigueur.
Nous avons mis en place une organisation et agissons pour garantir notre conformité au cadre légal et règlementaire : le règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil (le RGPD) entré en application le 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (la loi Informatique et Libertés modifiée ou loi I&L), et tout autre texte de loi ou règlement relatif aux données personnelles qui s’applique à nous.
Nous suivons les recommandations des autorités compétentes telles que la Commission Nationale Informatique et Libertés (la CNIL) et le Contrôleur Européen à la Protection des Données (le CEPD, et avant lui le G29) pour l’application conforme du RGPD et de la loi I&L.
Le Groupe Numen s’engage à ce que les traitements de données à caractère personnel qu’il met en œuvre soient conformes aux législations et doctrines en vigueur. La politique de protection des données personnelles a pour objectif de présenter aux clients, prospects, partenaires et collaborateurs du Groupe Numen : les principes généraux, l’organisation, le respect des droits des personnes, ainsi que la gestion de la sous-traitance et des tiers mis en œuvre par le Groupe Numen dans le cadre de sa démarche de conformité.
Une « donnée à caractère personnel » est définie comme toute information se rapportant à une personne physique identifiée ou qui peut être identifiée directement ou indirectement. Il s’agit par exemple d’une donnée permettant de vous identifier (données identifiantes) : numéro de sécurité sociale, nom prénom date et lieu de naissance, numéro d’identification de séjour dans un établissement, etc., et de toute information qui serait mise en lien avec celle-ci. Il peut également s’agir d’un ensemble d’informations non identifiantes intrinsèquement mais qui une fois combinées entre elles permettent de vous identifier de manière unique. Lorsqu’une donnée est mise en relation avec une donnée identifiante, elle devient une donnée à caractère personnel.
Un « traitement de données à caractère personnel » est défini comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
On appellera « personne concernée » une personne dont les données personnelles sont traitées par le Groupe Numen. Il peut s’agir de nos collaborateurs, comme de nos contacts au sein de nos clients et prospects, ou encore de nos partenaires.
Le « responsable d’un traitement » est défini comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Le Groupe Numen est, par exemple, responsable des traitements dans le cadre de la gestion interne de ses collaborateurs.
Un « sous-traitant » est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Le Groupe Numen est sous-traitant dans le cadre des activités menées pour le compte de ses clients.
Afin de piloter et entretenir notre conformité à la règlementation en vigueur, nous avons intégré le respect des obligations et des principes relatifs au traitement des données personnelles dans notre organisation.
Nous avons nommé un Délégué à la Protection des Données (DPD ou en anglais Data Privacy Officer, DPO). Le DPO est le « chef d’orchestre » de la conformité au RGPD. Il a connaissance de notre domaine d’activité ainsi que de la législation en matière de protection des données personnelles, dispose de moyens suffisants à l’exercice de ses fonctions et a la capacité d’agir en toute indépendance.
Son rôle est essentiellement :
D’informer et de conseiller ;
De contrôler le respect du règlement et du droit national en matière de protection des données ;
De conseiller sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
D’être disponible auprès des personnes concernées pour toute question ;
De coopérer avec la CNIL et d’être son point de contact.
Dans l’exercice de ses fonctions, le DPO fait appel à ses collaborateurs et notamment au responsable des systèmes d’informations qui assure également la sécurité des traitements informatisés. Le plus haut niveau de direction est directement informé des actions de conformité qui sont menées, des risques de non-conformité ou de sécurité.
Pour engager notre mise en conformité, nous avons fait appel à un cabinet de conseil spécialisé en cybersécurité et en conformité règlementaire avec qui nous avons constitué une feuille de route afin de pérenniser notre conformité règlementaire et d’augmenter notre niveau de sécurité.
Afin d’entretenir sur le long terme notre conformité, nous auditons régulièrement notre organisation, nos pratiques et nos établissements afin de garantir le respect des principes et obligations de la règlementation ; et notre DPO tient à jour des registres des traitements relatifs à nos activités en tant que sous-traitant et responsable de traitement.
Ils contiennent notamment :
- Les noms et coordonnées des divers acteurs ;
- La finalité des traitements ;
- La catégorisation des données ;
- Le lien vers le PIA ;
- Le processus d’alerte en cas de violation des données ;
- La durée de conservation ;
- Le lieu d’hébergement des données.
Le DPO du Groupe Numen est entouré de plusieurs référents à la protection des données personnelles répartis sur sites et dans chaque directions et services en interne : Direction des ressources humaines, Direction des systèmes d’information, Direction du marketing, Direction juridique, Direction administration et finance, et Services généraux.
Ce réseau de référents permet de faciliter le relai local des informations et de contribuer aux actions de conformité en fonction des responsabilités respectives. Ils ont ainsi pour mission de : dresser l’inventaire des traitements propres à leur périmètre, de revoir annuellement l’occurrence de modifications qui ont pu impacter les traitements de leur périmètre, d’informer le DPO en cas de violation de données personnelles, et de remettre les fiches de traitement à ce dernier.
Pour plus d’informations sur les traitements de données à caractère personnel ou notre gestion de la conformité, vous pouvez contacter notre DPO :
- Par e-mail à l’adresse service.dpo@numen.fr ;
- Via le formulaire présent sur notre site web institutionnel : https://www.numen.fr/nous-contacter ;
- Par courrier à l’adresse Numen sa, SERVICE DPO, 24 rue Marc Séguin, 75018 Paris - France.
Le Groupe Numen s’engage à veiller à la licéité des traitements qu’il met en œuvre dans le cadre de ses activités internes et externes. Afin de se conformer au principe de licéité, la ou les base(s) légale(s) attachés aux traitements de données personnelles sont déterminées au cas par cas parmi la liste proposée au titre de l’article 6 alinéa premier du règlement européen.
Les principaux fondements juridiques liés aux activités du Groupe Numen sont :
- L’exécution d’un contrat : par exemple lorsqu’un client nous sous-traite une activité ;
- Le respect des obligations légales et règlementaires nous incombant : par exemple, la collecte d’informations fiscales concernant nos collaborateurs ;
- Le consentement de la personne concernée : par exemple lors de la souscription à la Newsletter Numen sur notre site web institutionnel.
Lorsque le consentement constitue la base légale d’un traitement, une vigilance particulière est portée par les équipes du Groupe Numen afin de garantir son caractère spécifique, univoque, libre et informé au moment du recueil, et la possibilité de son retrait le cas échéant.
Le Groupe Numen s’engage à mettre en œuvre des traitements de données personnelles dans les conditions qui permettent de vous assurer la plus grande transparence possible. Nous ne traiterons jamais vos données personnelles à votre insu. Nous vous garantissons ainsi un traitement loyal de vos informations, conformément au droit européen et à vos attentes raisonnables.
Les données personnelles que nous traitons sont toujours utilisées pour des raisons déterminées, explicites et légitimes au regard des activités que nous poursuivons. Pour les activités que nous menons en tant que responsable de traitement (par exemple la gestion du personnel de Numen), nous avons défini ces finalités au préalable de manière claire, explicite et exhaustive afin d’être conforme aux attentes du règlement européen.
Pour les activités que nous menons en tant que sous-traitant, nos clients ont eux aussi définis les finalités de notre intervention (par exemple la dématérialisation de documents clients, l’éditique, ou encore le coffre-fort électronique) dans un cadre contractuel. Ainsi, vos données ne seront jamais traitées pour des objectifs incompatibles avec la raison première de leur collecte.
Les données personnelles confiées au Groupe Numen sont celles strictement nécessaires à la poursuite de ses activités. D’après le principe de minimisation des données personnelles, seules sont traitées les informations pertinentes, adéquates et non excessives au regard des raisons poursuivies pour le traitement. Nous évaluons ce principe au cas par cas afin de vous garantir une proportionnalité adaptée.
Dans le cadre de certaines activités de sous-traitance, le Groupe Numen se voit confier des données personnelles au format analogique comme électronique. Les activités de sous-traitance peuvent être selon le besoin, la numérisation de documents analogiques au format numérique, l’édition de chèques ou tout autre document de gestion, la production de cartes de fidélité ou d’hébergement des données en mode SaaS. Le client qui confie ses données personnelles à Numen s’assure de leur minimisation au regard de la finalité qui a été déterminée au préalable.
Dans le cadre de ses activités en tant que responsable de traitement, le Groupe Numen garantit à ses collaborateurs la collecte minimisée de leurs données personnelles afin de répondre strictement à ses obligations et ses prérogatives d’employeur.
Le Groupe Numen porte une attention particulière à l’exactitude des données collectées et conservées dans le cadre de ses activités de responsable de traitement. Le cas échant, elles sont également mises à jour afin de corriger toute inexactitude. En tant que collaborateur ou contact du Groupe Numen, vous pouvez demander la rectification de vos données personnelles auprès de notre DPO, accompagné de la preuve de votre identité.
En tant que client du Groupe Numen, vous êtes informés que, dans le cadre de nos activités de sous-traitance, nous avons mis en place un processus de modification et de suppression de données personnelles lorsque vous ou une personne concernée souhaite rectifier et actualiser des informations inexactes, ou les effacer.
Le Groupe Numen garantit l’information des personnes identifiables dont il traite les données personnelles. Cette information vous est fournie en des termes clairs, simples et aisément accessibles, peu importe le support de transmission : notre site web institutionnel, nos formulaires, notre charte informatique, ...
Lorsque nous collectons vos données directement auprès de vous, nous nous assurons de vous fournir les informations listées à l’article 13 du règlement européen, c’est-à-dire : l’identité du responsable, les coordonnées de notre DPO, les raisons et le fondement juridique qui légitiment le traitement, les types de données personnelles concernés, les types de destinataires de vos données, la durée pendant laquelle nous les conserverons, les transferts hors de l’Union européenne que nous opèrerons le cas échéant, ainsi que les droits dont vous jouissez.
Lorsqu’en tant que client, vous nous sous-traitez la digitalisation des données personnelles par exemple, vous êtes responsable de l’information fournie aux personnes concernées par le traitement. Le Groupe Numen mettra tout en œuvre pour faciliter la transmission de cette information.
Les durées de conservation des données personnelles recueillies et traitées par le Groupe Numen sont déterminées au cas par cas en fonction de la raison du traitement, mais également des dispositions légales prévues par les textes de loi et l’éventualité de recours juridictionnels.
Les données personnelles sont conservées par Numen soit en base active lorsqu’elles sont actuellement traitées, soit en base d’archive le temps nécessaire au respect des obligations et des conditions prévues par la législation ou des recommandations de l’autorité de contrôle ou du Contrôleur européen. Les données personnelles sous format papier sont conservées dans nos archives et font l’objet de mesures de sécurité physique.
En tant que sous-traitant, les données que vous nous confiez sont conservées strictement selon la durée prévue par le contrat qui nous lie. Numen s’assure du respect de cette durée de conservation. Dès que celle-ci est atteinte, vos données sont supprimées de manière sécurisée pour empêcher leur récupération. Lorsqu’elles sont stockées sur des supports analogiques, elles sont également détruites de manière à préserver la confidentialité, et un certificat de destruction vous est remis.
Le Groupe Numen prend les mesures nécessaires pour garantir la confidentialité et l’intégrité ainsi que la disponibilité des données traitées et éviter leur divulgation à des tiers non autorisés. Afin de pourvoir à cette obligation de sécurité, tous nos collaborateurs sont soumis à une obligation de confidentialité.
Nous nous attachons à prendre en compte la protection de la vie privée dès la conception de nos offres et produits, notamment grâce à la minimisation des données et des mesures de sécurité adaptées au regard de l’état de l’art et des risques potentiels.
Dans le cadre de l'évaluation des risques pour la sécurité des données, nous prenons en compte les risques tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral pour les personnes concernées.
Nous mettons également en œuvre une sécurité par défaut, entendu comme le meilleur niveau de sécurité assuré par défaut dans la mise en œuvre de nos traitements, qui a pour conséquence la restriction des accès ou encore la limitation de la conservation des données personnelles.
Nous agissons pour assurer la meilleure sécurité possible pour vos données et leurs traitements à la fois sur les plans techniques, humains et organisationnels. Nous suivons les recommandations de l’Agence Nationale de Sécurité des Systèmes d’Information, de la CNIL et d’autres autorités compétentes pour en assurer la sécurité.
Nous sommes par exemple amenés à :
· Sensibiliser et former les utilisateurs ;
· Authentifier les utilisateurs et gérer leurs habilitations ;
· Tracer les accès et gérer les incidents ;
· Sécuriser les postes de travail ;
· Protéger le réseau informatique interne ;
· Sécuriser les serveurs et les sites web ;
· Sauvegarder et prévoir la continuité d'activité ;
· Encadrer la maintenance et la destruction des données ;
· Protéger les locaux ;
· Encadrer les développements informatiques quand il y a lieu ;
· Mettre en œuvre des méthodes cryptographiques ;
· Evaluer régulièrement notre niveau de sécurité.
En tant que responsable de traitement, nous pouvons également être amenés à réaliser des études d’impact sur la vie privée (EIVP, ou PIA pour Privacy Impact Assessment) lorsque le traitement en question présente un risque sur votre vie privée. Nous utilisons alors la méthodologie proposée par la CNIL et son outil PIA afin de réaliser ces analyses.
Par ailleurs, nous avons également documenté nos processus techniques, organisationnels et de sécurisation afin de démontrer notre conformité et d’informer nos collaborateurs quant à la nécessaire protection des données personnelles.
En tant que sous-traitant, nous aidons nos clients à garantir le respect de leurs obligations en matière de protection des données personnelles. Nous nous mettons à la disposition de nos clients afin de vous permettre d’auditer notre système d’information pour évaluer que nous présentons des garanties suffisantes. Pour cela, nous vous ouvrons le cas échéant l’accès à la documentation nécessaire et facilitons le travail de vos auditeurs.
De surcroit, nous nous engageons à vous alerter sur toute violation de données personnelles dont nous prenons connaissance, ainsi que l’exige le règlement européen, et à notifier l’autorité de contrôle compétente dans les meilleurs délais le cas échéant.
Les destinataires des données, qu’il s’agisse de tiers ou non, se voient toujours transmettre vos informations pour des raisons légitimes, afin de mener nos activités ou encore de nous conformer à nos obligations légales. Nous ne vendons pas ni ne louons vos données personnelles.
Lorsque nous accordons un accès à nos systèmes d’informations à un tiers, nous ne lui octroyons des droits que sur son périmètre d’action selon les principes de besoin d’en connaitre et de moindre privilège. Nous traçons ses actions et vérifions qu’elles sont conformes aux missions qui lui sont confiées.
Dans une perspective de responsabilisation vis-à-vis de la protection des données personnelles et de plus de contrôle entre les mains des personnes concernées, le RGPD a octroyé de nouveaux droits aux personnes concernées et consolidé d’autres qui lui ont préexistés.
Il s’agit notamment des droits suivants :
· Le droit d’accès aux données personnelles et aux informations concernant le traitement ;
· Le droit d’opposition au traitement ; Le droit de rectification des données ;
· Le droit à l’oubli, le droit à la limitation du traitement ;
· Le droit à la portabilité des données ;
· Le droit d’opposition aux décisions individuelles automatisées et profilage ;
· Le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Nous nous engageons dans le respect de ces droits et des conditions de leurs exercices prévues par le règlement européen. Nous mettons tout en œuvre pour répondre dans les meilleurs délais aux demandes ; celles-ci doivent, la plupart du temps, nous être adressées accompagnées d’une pièce justifiant votre identité, sans quoi nous ne serons pas en mesure d’y répondre (mis à part lorsque vous exercez vos droits grâce à l’adresse e-mail qui a servi à votre inscription à la newsletter, par exemple).
Dans certains cas où nous agissons en tant que responsable de traitement, vous pouvez ainsi interagir avec nous sur la base de vos différents droits : en nous demandant la fourniture d’une copie des données personnelles que nous possédons sur vous, en nous informant de modifications et corrections à apporter aux données que nous détenons, en nous demandant d’effacer, de limiter les données traitées ou de cesser le traitement, etc.
En tant que collaborateur, vous pouvez interagir avec nous sur la base de vos différents droits dans les conditions prévus par le règlement européen : par exemple en vous informant de modifications et corrections à apporter aux données que nous détenons.
Lorsque nous agissons en tant que sous-traitant, nous nous engageons auprès de nos clients pour vous aider dans la mesure du possible à donner suite aux demandes d’exercice de droits reçues pour les traitements que nous exécutons pour votre compte.
Pour les activités que nous adressons en tant que responsable de traitement, vous pouvez demander l’exercice de vos différents droits à notre DPO via l’adresse mail ou le courrier postal fournis (section « Contacter le DPO »).
Pour les activités que nous adressons en tant que sous-traitant, nous aidons nos clients dans la mesure du possible à s’acquitter de leur obligation de répondre aux demandes d’exercice de droits des personnelles concernées. Lorsque celles-ci nous adressent leurs demandes, nous vous les transmettons dans les meilleurs délais par un canal adapté.
En tant que responsable de traitement, nous pouvons être amenés à sous-traiter à des prestataires certaines de nos activités. Dans ce contexte, nous veillons à choisir des prestataires de confiance présentant des garanties suffisantes en matière de protection et de sécurité des données personnelles.
Nous contractualisons notre relation avec eux et nos obligations respectives en la matière, conformément aux dispositions du règlement européen, notamment l’article 28. Nos sous-traitants sont ainsi tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées pour le respect du règlement européen et de la présente politique, et nous nous réservons le droit de réaliser des audits pour nous en assurer.
En tant que sous-traitant, le Groupe Numen réalise la majorité des traitements de vos données personnelles dans l’Union européenne. Il nous est néanmoins possible de faire appel à un ou des autre(s) sous-traitant(s) situés en dehors de l’Union européenne afin qu’ils mènent des opérations de traitement déterminées.
Généralement, nous sous-traitons à notre filiale Numen Madagascar certaines activités de traitement, mais il peut également s’agir d’autres entités. Ces transferts hors de l’Union européenne peuvent contenir des données personnelles et consister dans de la communication, copie, extraction, déplacement de données, etc.
Nos clients sont toujours informés de la sous-traitance ultérieure effectuée et nous avons mis en place des clauses contractuelles types afin de systématiser cette information. Dans ce cadre et lorsqu’ils ne sont pas situés dans un pays prévoyant un niveau adéquat de protection des données personnelles, les contrats que nous signons avec nos clients nous donnent mandat afin d’inclure, dans les actes juridiques qui nous lient à Numen Madagascar ou un autre sous-traitant, les clauses contractuelles types relatives à la protection des données personnelles de 2010 de la Commission européenne.
En tant qu’utilisateur, lorsque vous vous rendez sur les sites Internet institutionnels du Groupe Numen, des cookies peuvent être déposés sur votre terminal (ordinateur, tablette ou smartphone), conformément aux recommandations de la CNIL. Un cookie étant un petit fichier texte déposé dans le logiciel de navigation Internet qui permet de faciliter la navigation sur le site internet de Numen.
Les cookies aident Numen à voir comment le site Internet est utilisé, permettent d’effectuer des améliorations et des mises à jour du site basées sur des données (telles que par exemple le nombre d’utilisateurs connectés au site) rassemblées par les cookies. Les différents types de cookies utilisés sur notre site sont : les cookies de navigation, les cookies d’analyse de mesure d’audience.
Lors de votre première session sur l’un de nos sites Internet, un bandeau cookies apparaîtra sur la page visitée. La poursuite de la navigation sur une autre page du site ou la sélection d’un élément du site (image, lien, bouton " rechercher "…) matérialise votre acceptation au dépôt des cookies visés sur votre terminal.
Vous avez la possibilité de vous opposer à l’enregistrement d’un cookie en configurant votre navigateur (Internet Explorer, Safari, Firefox, Chrome, etc.) afin que ce dernier vous avertisse avant toute installation d’un cookie ; ou bien même de refuser toute installation de cookies si une telle fonctionnalité est incluse dans votre navigateur. Le refus d’autoriser les cookies peut empêcher le site de fonctionner correctement, en rendant son utilisation moins performante ou certains services inaccessibles.
La présente Politique de Protection des Données Personnelles peut être amenée à évoluer avec le temps. Vous pourrez continuer à la consulter sur cette page afin de connaitre la date de sa dernière mise à jour par le Groupe Numen.
Dans un souci de transparence vis-à-vis de nos collaborateurs, clients et prospects, si nous apportons des modifications substantielles à la présente politique, vous serez prévenus par e-mail.