Notre Experience d'Agence de Communication

Procédure de Conservation des Données Personnelles

1.Objet :

Cette procédure a pour objet de décrire le processus de conservation des données personnelles : protection, sécurisation, stockage/ archivage et destruction.

2.Domaine et Périmètre D'application

La procédure s'applique à l'ensemble de la structure.

3.Documents de référence :

Règlement RGPD

4.Personnes Concernées :

Cette procédure concerne le responsable de traitement.

5.Description du Processus :

5.1. Protection des données personnelles

La création et le traitement de données personnelles (Numéro d'identification, Nom, Adresse, Numéro de Téléphone, photo, Adresse IP, etc…) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles.

DEFINITIONS :

Données personnelles : toute information identifiante directement ou indirectement une personne physique (ex. Nom, Numéro d'immatriculation, Numéro de téléphone, Photographie, Date de Naissance, Commune de Résidence, Empreinte Digitale…).

Sont considérées comme données personnelles sensibles, celles concernant l'originale raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu'avec le consentement explicite des personnes.

OBLIGATIONS DE L'ORGANISME EN TERMES DE PROTECTIONS DES DONNEES PERSONNELLES :

Désignations de référents RGPD :

Le délégué à la protection des données

Un délégué à la protection des données a été mis en place. Il est chargé :

*d'informer et conseiller le responsable de traitement (ou le sous-traitant) et ses employés

*de contrôler le respect du règlement européen et du droit français en matière de protection de données

*de contrôler l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution,

*de coopérer avec l'autorité de contrôle et d'être son contact.

Le responsable de traitement :

Le responsable de traitement est la personne, l'entreprise ou un autre organisme qui détermine la finalité et les moyens du traitement des données à caractère personnel (Seul ou conjointement avec d'autres.)

Son contact : YANN' DIGITAL TECHNOLOGIES

* Mail : contact@yanndigitaltechnologies.com

* Téléphone : +339 52 55 53 70

OBLIGATION GENERALE DE SECURITE DE CONFIDENTIALITE

Dans le cadre de la protection des données, le responsable de traitement a mis en œuvre des mesures de sécurité :

* Des locaux : les documents papiers sont classées et rangés dans des locaux sécurisés dont l'accès est limité et réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale (Services des impôts par exemple) (CF. Registre de données)

* Des systèmes d'informations : les données personnelles numériques sont stockées sur un serveur sécurisé (CF. Registre des données).

Chaque salarié ayant accès à des données personnelles sensibles doit signer une charte d'utilisation des données personnelles sensibles annexée au règlement intérieur.

OBLIGATION D'INFORMATION

Les filiales du Groupe E4 informent les personnes concernées par divers canaux d'informations :

* l'ensemble des personnes concernées : le registre des données qui permet de recenser les traitements de données et de disposer d'une vue d'ensemble de ce qui est fait avec les données personnelles.

* les salaries : rédaction d'une note d'information affichée dans les locaux et intégration d'une clause sur la RGPD dans les contrats de travail.

* les Clients / Usagers/ Résidents : rédaction d'une note d'information envoyées par mail et ou par courrier et ou sur le site internet et introduction d'une clause sur la RGPD dans les contrats de Prestation/ Séjour/ CGV

* Les sous-traitants : Intégration d'une clause RGPD dans les contrats.

ANALYSE D'IMPACT EN CAS DE RISQUE ELEVE POUR LES DROITS ET LIBERTES DES PERSONNES

Pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, une analyse d'impact sur la vie privée a été menée par le responsable de traitement pour évaluer en particulier, l'origine, la nature, la particularité et la gravité de ce risque.

Cette étude a été présentée à la CNIL si elle n'a pas permis de diminuer suffisamment l risque pour le rendre acceptable.

Les données concernées doivent porter sur :

* les informations sensibles (Origine, Opinions Politiques, Religieuses, Syndicales), biométriques ou génétiques,

* l'évaluation des personnes (profilage, par exemple)

* les fichiers ayant une finalité particulière (études statistiques de INSEE, traitements de recherche médicale, par exemple)

* les transferts de données hors de l'Union Européenne.

A NOTER : Les transferts de données hors UE ne sont plus interdits mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la commission européenne. Une autorisation de la CNIL est nécessaire si des clauses contractuelles sont différentes des clauses de commission Européenne. Les données transférées restent soumises au droit de l'UE non seulement pour leur transfert, mais aussi pour tout traitement/ transfert ultérieur.

5.2. Sécurisation des données

Le responsable du traitement et le sous-traitant doivent prendre des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne le traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un Etat membre.

* Sensibiliser les utilisateurs,

* Authentifier les utilisateurs,

* Gérer les habitations,

* Tracer les accès et gérer les incidents,

* Sécuriser les postes de travail,

* Sécuriser l'information mobile,

* Protéger le réseau informatique interne,

* Sécuriser les serveurs,

* Sécuriser les sites Web,

*Sauvegarder et prévoir la continuité d'activité* Archiver de manière sécurisée,

* Encadrer la maintenance et la destruction des données,

* Gérer la sous-traitance,

* Sécuriser les échanges avec d'autres organismes,

* Protéger les locaux,

* Encadrer les développements Informatiques,

* Chiffrer, garantir l'intégrité ou signer.

5.3. Stockage et archivage des données

Les données personnelles sont stockées dans des locaux sécurisés dont l'accès est limité et archivées selon les délais en vigueur.

Documents civils et commerciales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Contrat ou convention conclue dans le cadre d'une relation commerciale, correspondance commerciale

5 ans

Article L 110-4 du code du commerce

Garantie pour les biens ou services fournis au consommateur

2 ans

Article L 218-2 du code de la consommation

Contrat conclu par voie électronique (à partir de 120£)

10 ans à partir de la livraison ou de la prestation

Article L.123 du code du commerce

Contrat d'acquisition ou de cession de biens immobiliers et fonciers

30 ans

Article 2227 du Code Civil

Document Bancaire (talon de chèque, relevé bancaire…)

5 ans

Article L 110-4 du code de commerce

Document de transport de marchandises

5 ans

Article L 110-4 du code de commerce

Déclaration en Douane

3 ans

Article 16 du règlement européen n°2913/92 du conseil d 12 Octobre 1992

Police d'Assurance

2 ans à partir de la réalisation du contrat

Article L 114-1 du code des assurances

Document relatif à la propriété intellectuelle (dépôt de brevet, marque, dessin et model)

5 ans à partir de la fin de la protection

Article 2224 du code civil

Dossier d'un Avocat

5 ans à partir de la fin du mandat

Article 2225 du code civil

Pieces comptables

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Livre et registre comptable : livre journal, livre d'inventaire, etc…

10 ans à partir de la clôture de l'exercice

Article L123-22 du code de commerce

Piece justificative ; bon de commande, de livraison ou de réception, facture client et fournisseur, etc…

10 ans à partir de la clôture de l'exercice

Article L123-22 du code de commerce

Documents fiscales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Impôt sur le revenu et sur les sociétés

6 ans

Article L102 B du livre des procédures fiscales

Bénéfices industriels t commerciaux (BNC) et bénéfices agricoles (BA) en régime réel

6 ans

Article L102 B du livre des procédures fiscales

Impôts sur les sociétés pour l'EIRL, des sociétés à responsabilité limitée (exploitations agricoles, Sociétés d'exercice libérale)

6 ans

Article L102 B du livre des procédures fiscales

Impôts directs locaux (taxes foncières, contribution à l'audiovisuel public

6 ans

Article L102 B du livre des procédures fiscales

Cotisation foncière des entreprises (CFE) et CVAE

6 ans

Article L102 B du livre des procédures fiscales

Taxes sur le chiffre d'affaires (TVA et taxes assimilées, impôts sue les spectacles, taxe sur les conventions d'assurance…)

6 ans

Article L102 B du livre des procédures fiscales

Attention : les délais sont portés à 10 ans, en cas d'activité occulte : fraude fiscale, travail dissimulé, absence de déclaration, activité illicite, par exemple.

Documents fiscales

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Statuts d'une société, d'un GIE ou d'une association (Si nécessaire, une pièce modificative de statuts)

5 ans à partir de la perte de personnalité morale (ou radiation du RCS)

Article 2224 du code civil

Compte annuel (bilan, compte de résultat, annexe…)

10 ans à partir de la clôture de l'exercice

Article L123-22 du code de commerce

Traité de fusion let d'autre acte lié au fonctionnement de la société (+documents de la société absorbée)

5 ans

Article 2224 du code civil

Registre de titres nominatifs. Registre des mouvements de titres. Ordre de mouvement. Registre des procès-verbaux d'assemblés et de conseils d'administration

5 ans à partir de la fin de leur utilisations

Article L225-117 du code de commerce

Feuille de présence et pouvoirs. Rapport du gérant ou du conseil d'administration. Rapport des commissaires au compte

3 dernières exercices

Article L225-117 du code de commerce

Gestion du Personnel

TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Bulletin de paie (double papier ou sous forme électronique)

5 ans

Article L3243-4 du code du travail

Registre unique du personnel

5 ans à partir du départ du salarié

Article R1221-26 du code du travail

Documents concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite.

5 ans

Article 2224 du code civil

Document relatif aux charges sociales et à la taxe sur les salaires

3 ans

Articles l 244-3 du code de la sécurité sociale et L169 A du livre des procédures fiscales

Comptabilisation des jours de travail des salariés sous convention de forfait

3 ans

Article D3171-16 du code du travail

Comptabilisation des heures des salariés, des heures d'astreinte et de leur compensation

1 an

Article D3171-16 du code du travail

Observation ou mise en demeure de l'inspection du travail. Vérification et contrôle du CHSCT

5 ans

Article D4711-3 du code du travail

Déclaration d'accident du travail auprès de la caisse primaire d'assurance maladie

5 ans

Article D4711-3 du code du travail

Document lié à la santé




TYPE DE DOCUMENT

DUREE DE CONSERVATION

TEXTE DE REFERENCE

Dossier médical dans les établissements de santé publics et privées

20 ans à compter du dernier passage. Si le patient décède moins de 10 ans après son dernier passage dans l'établissement, son dossier sera conservé pendant une durée de 10 ans à compter de la date du décès

Article R.1112-7 du code de la santé publique

Transmission des feuilles de soins

90 Jours pour le double électronique et les accusés de réception 3 ans pour les décomptes de remboursement de la sécurité sociale

Norme simplifiée n°53 Article R.161-4 du code de la securit sociale

Article L.332-1 du code de la sécurité sociale

Gestion administrative de la pharmacie, dispensation des médicaments, produits de santé et dispositifs médicaux d'analyse statistique des ventes

Conservation 3 ans à compter de la dernière intervention sur le dossier du patient puis archivage 15 ans.

Conservation de l'ordonnance pendant 10 ans

Norme simplifiée n°52 Article R.5125-45 du code de la santé publique

Article R.5132-36 du code de la santé publique

Article R.5121-195 du code de la santé publique

5.4. Destruction des données personnelles

La destruction des données personnelles papier

Le désarchivage et la destruction des données détenues font l'objet d'une gestion sécurisée. Les filiales du groupe E4 font appel à un organisme réalisant la destruction de document confidentiels et fournissant un certificat de destruction qui reprend l'ensemble des informations de collecte et de destruction fourni par chaque opérateur.

La destruction des données personnelles numérique

Les données contenues dans un applicatif sont stockées dans une base de données SQL et purgées dès leur effacement.

5.5. Demande de droit d'accès aux données personnelles

Toute personne physique, voulant accéder à ses données personnelles, doit saisir le responsable de traitement.

Le responsable de traitement répond à la demande de droit d'accès aux personnelles selon les délais prévus à l'article 12.3 du RGPD.

Son contact : YANN' DIGITAL TECHNOLOGIES

*Mail : : contact@yanndigitaltechnologies.com

*Téléphone : +339 52 55 53 70

5.6. Gestion des violations des données personnelles

Violation de données à caractère personnel (Article 4.12 du RGPD) : une violation de la sécurité entrainante, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisé de données à caractère personnel transmises, conservée ou traitées d'une manière, ou l'accès est non autorisé à de telles données.

Le responsable de traitement doit, tout d'abord, notifier la violation des données personnelles en interne à travers le document interne « Registre de violations ».

Si l'incident constitue un risque au regard de la vie privée des personnes concernées, le responsable de traitement doit notifier l'incident à la CNIL et aux personnes concernées.

Il doit transmettre la notification à la CNIL dans les meilleurs délais à l'adresse suivante : https://notifications.cnil.fr/notification/index

Si le responsable ne peut pas fournir toutes les informations requises dans ce délai car des investigations complémentaires sont nécessaires, il doit procéder à une notification complémentaire dans le délai de 72 heures si possible après la notification initiale.

Si le délai de 72 heures est dépassé, il conviendra d'expliquer, lors de votre notification, les motifs du retard.

En cas de doute, il est nécessaire de notifier à la CNIL qui indiquera s'il est nécessaire d'informer les personnes.

Dès réception le CNIL va introduire la notification.

Objet
Description du Processus
Sécurisation des données
Stockage et archivage des données
Destruction des données personnelles
Gestion des violations des données personnelles