Politique de conformité au RGPD de vFairs Responsable de la politique : Responsable GRC chez vFairs , délégué à la protection des données Date d'entrée en vigueur : 30 mai 2022 Dernière révision : Demande La présente politique s'applique à tous les employés, sous-traitants et fournisseurs dans le cadre de leurs relations commerciales avec vFairs LLC, ainsi qu'à toute autre personne ayant accès aux informations relatives aux personnes concernées de l'Union européenne (UE) et de l'Espace économique européen (EEE) (« données à caractère personnel ») dans le cadre des activités opérationnelles de vFairs. Politique vFairs s'engage à protéger la sécurité, la confidentialité et la vie privée de ses ressources d'information, y compris les données à caractère personnel de l'UE et de l'EEE, conformément aux exigences énoncées dans le règlement général sur la protection des données (UE) 2016/679 (« RGPD », « le règlement »). Les données à caractère personnel ne seront traitées que lorsqu'il existe une base juridique pour le faire ; elles seront gérées de manière à garantir le maintien de la sécurité, de la confidentialité et de la vie privée, et ne seront utilisées qu'à des fins autorisées. Tous les employés et sous-traitants de vFairs partagent la responsabilité de la protection des données à caractère personnel auxquelles ils ont accès. Lorsqu’elle mène des activités commerciales en soutien aux produits et services de vFairs qui concernent des données à caractère personnel de l’UE/EEE, vFairs peut être amenée à mener certaines activités qui peuvent l’obliger à recevoir, stocker, traiter, transmettre, créer ou accéder à des données et les utiliser, ce qui peut entraîner des obligations de conformité aux dispositions applicables du RGPD. La présente politique et les politiques relatives au RGPD adoptées en vertu de celle-ci ont pour objectif de soutenir la mission de vFairs et de faciliter les activités de traitement des données qui sont importantes pour vFairs en : Veiller au respect des exigences imposées par le RGPD et des obligations réglementaires de vFairs. Prévoir la mise en place de politiques relatives au RGPD qui définissent, entre autres, les mesures de protection techniques, physiques et administratives nécessaires pour garantir la sécurité, la confidentialité et la protection des données à caractère personnel. Définir les rôles et responsabilités nécessaires pour permettre à vFairs de s'acquitter de ses obligations en matière de traitement des données à caractère personnel, conformément au RGPD. Rôles et responsabilités Adoption de la politique vFairs élaborera et adoptera, en collaboration avec les parties prenantes concernées, les politiques nécessaires et appropriées relatives au RGPD, qui comprendront, entre autres, les mesures de sécurité techniques, physiques et administratives requises pour garantir la confidentialité, l'intégrité et la protection des données à caractère personnel, ainsi que pour protéger ces données contre les menaces ou risques raisonnablement prévisibles et contre toute utilisation ou divulgation non autorisée. Toutes les parties prenantes concernées de vFairs coopéreront avec vFairs à l'élaboration et à la mise en œuvre des politiques relatives au RGPD. Les politiques de vFairs en matière de sécurité de l'information et de protection des données s'inscrivent dans le cadre des politiques relatives au RGPD et mettent en œuvre des mesures visant à garantir la conformité avec ce règlement. Responsable Rizwan Tanveer, responsable GRC et délégué à la protection des données chez [email protected], s'est vu confier la supervision générale du programme de conformité au RGPD de vFairs. Délégué à la protection des données Le délégué à la protection des données (DPO) assume les responsabilités énoncées dans la présente politique et à l'article 39 du RGPD. Le DPO est chargé de la supervision et de la gestion quotidiennes et continues du programme de conformité au RGPD de vFairs, ce qui comprend les responsabilités suivantes : Contrôler la conformité interne de vFairs au RGPD. Fournir des conseils dès que possible sur tous les aspects de la protection des données. Tenir les parties prenantes de vFairs informées des modifications apportées au RGPD et aux autres lois et réglementations applicables. Assister le responsable du traitement ou le sous-traitant dans le contrôle du respect interne du règlement, notamment : Collecte d'informations visant à identifier les activités de traitement. Analyse et vérification de la conformité des activités de traitement. Informer, conseiller et formuler des recommandations à l'intention du responsable du traitement ou du sous-traitant Agir en toute indépendance et veiller à ce qu'il n'y ait aucun conflit d'intérêts lié à d'autres fonctions ou intérêts que le DPD pourrait exercer. Tenir à jour des inventaires de toutes les données à caractère personnel conservées pour le compte du responsable du traitement ou du sous-traitant. Répondre aux demandes et aux réclamations des personnes concernées en matière de sécurité, de confidentialité et d'accès aux données. Gérer les questions relatives à la sécurité des données et à la continuité des activités essentielles susceptibles d'avoir une incidence sur les données à caractère personnel. Fournir, à la demande, des conseils au responsable du traitement afin qu'il réalise une analyse d'impact relative à la protection des données (« AIPD »). Fournir des conseils sur la manière de réagir face à des incidents accidentels ou malveillants susceptibles d'avoir une incidence sur les données à caractère personnel. Coopérer avec l'autorité de contrôle si nécessaire. Servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement des données et, le cas échéant, la consulter sur toute autre question. Le délégué à la protection des données est : Rizwan Tanveer, responsable GRC, [email protected] Mise en œuvre Protection des données Le traitement de toutes les données à caractère personnel doit reposer sur une base juridique et leur accès sera limité aux seules personnes qui en ont strictement besoin. Les données à caractère personnel doivent rester confidentielles et être protégées contre tout accès, toute modification et toute divulgation non autorisés. Stockage et transmission : les données à caractère personnel doivent être chiffrées à l'aide d'un système de chiffrement robuste dès lors qu'elles sont stockées sur les systèmes de vFairs ou transmises par ceux-ci Élimination : les documents papier doivent être déchiquetés de manière sécurisée avant leur élimination. Les supports électroniques doivent être effacés de manière sécurisée, nettoyés ou détruits physiquement avant leur élimination ou leur réutilisation. Formation de sensibilisation : le personnel concerné recevra une formation adaptée sur ses responsabilités en matière de sécurité de l'information et de protection des données, notamment en ce qui concerne le RGPD et le traitement des données à caractère personnel, ainsi que sur la procédure de demande d'accès aux données (DSAR) vFairs ne transmettra aucune donnée à caractère personnel provenant de l'UE ou du Royaume-Uni à un tiers ou à un fournisseur tant qu'un avenant relatif à la protection des données n'aura pas été dûment signé par vFairs et le tiers concerné. L'entreprise doit conserver un registre des activités de traitement conformément à l'article 30 du RGPD. Ce registre doit comprendre : le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ; les finalités du traitement ; une description des catégories de personnes concernées et des catégories de données à caractère personnel ; les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires situés dans des pays tiers ou au sein d'organisations internationales ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, la documentation relative aux garanties appropriées ; dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1. Notification de violation Toute utilisation ou divulgation non autorisée de données à caractère personnel devant faire l'objet d'une notification sera signalée aux personnes concernées, conformément aux exigences de notification du RGPD et à la politique de gestion des incidents. Demandes d'accès aux données personnelles (DSAR/SAR) Sous réserve des exceptions mentionnées ci-dessous dans la présente politique, vFairs se conformera à toute demande d'accès aux données (SAR) concernant les droits suivants de la personne concernée : Accès (à une copie des données à caractère personnel faisant l'objet d'un traitement) Rectification des données à caractère personnel (correction des données enregistrées ou traitées) Effacement (« droit à l'oubli ») Limitation du traitement Avis concernant la rectification ou l'effacement Portabilité des données (En cas de demande de portabilité des données, vFairs exportera les données du client dans un format conforme aux normes du secteur et les rendra accessibles sur Internet, en téléchargement réservé exclusivement à la personne concernée) Opposition au traitement (retrait du consentement au traitement) Prise de décision individuelle automatisée, y compris le profilage Demandes de non-vente en vertu de la CCPA Politique de confidentialité lorsque vFairs est le responsable du traitement des données : Une demande d'accès aux données (SAR) doit être effectuée via le lien figurant sur la page DSAR de vFairs : https://www.vfairs.com/data-access-request. vFairs peut mettre à disposition une « interface » ou un mécanisme en libre-service que la personne concernée est invitée à utiliser pour lancer la procédure de SAR. Une demande d'accès aux données personnelles peut également être effectuée en utilisant l'adresse e-mail [email protected] Le cas échéant, la personne concernée doit fournir une preuve raisonnable de son identité sous la forme d'un document d'identité valide, par exemple une vérification par e-mail. Lorsqu'il soumet la demande d'accès via l'interface, la personne concernée doit préciser le type de demande dont il s'agit, par exemple l'effacement. Si une déclaration d'activité est soumise par un mandataire, celle-ci doit comporter l'identification de la personne concernée. Droit d'accès aux données lorsque vFairs agit en tant que sous-traitant : Le rapport SAR doit être soumis via l'interface utilisateur des services vFairs. Le responsable du traitement doit identifier la demande d'accès aux données à caractère personnel qui lui est adressée. Exigences en matière de SAR : Il convient de consigner la date à laquelle le SAR est soumis, celle à laquelle l'identité est vérifiée, ainsi que la nature de la demande de SAR ; vFairs accusera réception de toute demande manuelle dans un délai de 3 jours ouvrables. vFairs dispose d'un délai d'un mois à compter de la date de la demande initiale pour y donner suite. Une prolongation de ce délai d'un mois ne sera accordée que dans des cas très exceptionnels. La demande de SAR sera consignée par écrit et pourra faire l'objet d'un audit conformément aux procédures internes de vFairs. vFairs en tant que sous-traitant Les clients recevront des instructions sur la manière d'accéder aux données via l'interface utilisateur ou les API. Si le client ne parvient pas à accéder à ses données ou rencontre des difficultés pour y accéder, vFairs l'aidera à y accéder. vFairs recueillera les données fournies par la personne concernée et les traitera conformément aux instructions données par le responsable du traitement. vFairs conservera une trace des demandes de données et de leur réception, y compris les dates. vFairs en tant que responsable du traitement des données Recueillir les données indiquées par la personne concernée Effectuer une recherche dans toutes les bases de données et tous les systèmes de classement pertinents de vFairs, y compris tous les fichiers de sauvegarde et archivés, ainsi que tous les dossiers de messagerie et les archives. vFairs tient un registre indiquant où sont stockées les données à caractère personnel au sein de vFairs. vFairs tiendra un registre des demandes de données et de leur réception, accessible au délégué à la protection des données de vFairs et/ou à tout autre représentant désigné par vFairs. vFairs tiendra également un registre des traitements, comprenant les dates. Mettre à la disposition des personnes concernées un mécanisme en ligne leur permettant de formuler des demandes, lesquelles seront toutes consignées. vFairs accusera réception de la demande d'accès aux données personnelles dans un délai de trois (3) jours à compter de la demande initiale et y répondra dans un délai de 30 jours à compter de cette même demande. Les signalements émanant d'employés ou d'anciens employés feront l'objet d'une coordination avec les ressources humaines et la direction du service actuel ou ancien de ces employés. Exemptions SAR vFairs peut refuser de communiquer les informations demandées dans le cadre d'une demande d'accès aux données, conformément à l'article 23 du RGPD ou à toute autre exception similaire prévue par la législation applicable. Toute exception de ce type doit être examinée et approuvée par le délégué à la protection des données ou le conseiller juridique. Limites SAR Dans les cas où la loi l'autorise, comme le prévoit l'article 15 du RGPD, vFairs peut facturer des frais raisonnables correspondant aux coûts administratifs pour toute copie supplémentaire des données à caractère personnel collectées par vFairs demandée par la personne concernée. Lorsque la personne concernée effectue sa demande par voie électronique, et sauf demande contraire de sa part, les informations lui seront fournies dans un format électronique couramment utilisé. Divulgation obligatoire vFairs régit la divulgation obligatoire des données à caractère personnel des clients en réponse à des demandes légales valides émanant de tiers, telles que des ordonnances judiciaires, des mandats de perquisition, des citations à comparaître, des enquêtes gouvernementales et autres demandes similaires, et ces dispositions sont intégrées par référence dans la Politique de confidentialité de vFairs. Dès réception d'une demande d'informations à caractère juridique, vFairs en informera immédiatement le conseiller juridique désigné par la société ainsi que le délégué à la protection des données. vFairs examinera ces demandes et, s'il est déterminé, à la seule discrétion de vFairs, qu'elles sont valides, nous rechercherons et communiquerons les informations spécifiées et que nous sommes raisonnablement en mesure de localiser et de fournir. Nous ne sommes pas en mesure de traiter les demandes trop générales ou trop vagues, et nous ne divulguerons pas d'informations qui ne sont pas spécifiquement demandées, sauf en réponse à des demandes de suivi. vFairs peut contacter ses clients si nous sommes contraints de divulguer leurs informations en réponse à des demandes légales valides, mais nous n'y sommes pas tenus et, dans certains cas, la loi peut nous l'interdire. Toute communication externe avec les clients, les autorités de régulation et les forces de l'ordre doit être approuvée par vFairs LLC. Application Le responsable informatique de vFairs et le délégué à la protection des données sont chargés de veiller au respect de la présente politique. Les employés qui auraient des questions sont invités à contacter le délégué à la protection des données de vFairs, le cas échéant. Mesure disciplinaire Le non-respect de l'une des dispositions de la présente politique peut entraîner des mesures disciplinaires, pouvant aller jusqu'au licenciement. Rapports Toute violation présumée ou potentielle de la présente politique, aussi insignifiante qu'elle puisse paraître, doit être signalée sans délai soit au délégué à la protection des données de vFairs, soit via la procédure de signalement des incidents disponible à l'adresse [email protected]. Tant qu'un signalement est effectué en toute honnêteté et de bonne foi, vFairs ne prendra aucune mesure à l'encontre de quiconque du fait de ce signalement. Le fait de ne pas signaler des actes répréhensibles avérés ou présumés dont vous avez connaissance peut vous exposer à des mesures disciplinaires pouvant aller jusqu'au licenciement.