POLITIQUE DE CONFIDENTIALITÉ GLOBALE

Nos valeurs directrices en matière de protection des données

Nous accordons énormément d’importance à la vie privée des individus dont nous traitons les données à caractère personnel au nom de tiers (nos clients et leurs utilisateurs finaux, par exemple) ou au sein même de Bloomreach.

Vous trouverez ci-dessous les principes de confidentialité (les “Principes”) qui s’appliqueront à chaque fois que nous collectons, utilisons ou gérons des données à caractère personnel dans le cadre de notre offre de produits et services et à l’échelle des entreprises du groupe Bloomreach.

Ces Principes visent à définir des standards minimums pour le traitement des données à caractère personnel afin de garantir un fonctionnement uniforme et conforme à la législation en vigueur à travers toute l’organisation.

Les Principes s’appliquent à tous les membres du personnel de Bloomreach et régissent le développement de nos produits et services ; la gestion des données que nous collectons ; l’identification de nos partenaires et nos interactions avec eux ; et la formulation de nos politiques publiques.  

 

LES PRINCIPES

1. TRANSPARENCE: Nous devons faire preuve d’ouverture et d’honnêteté vis-à-vis des données que nous traitons et vis-à-vis de la façon dont nous les traitons.

Nous devons en tout temps faire preuve de transparence à l’égard des individus et autres parties dont nous collectons des informations personnelles. À ce titre, nous devons fournir à ces personnes des informations succinctes, claires et facilement accessibles sur la manière et les raisons pour lesquelles nous utilisons et transmettons leurs informations personnelles ; ainsi que toute autre information nécessaire justifiant d’une utilisation loyale et conforme à la législation en vigueur. Les informations que nous fournissons doivent permettre à ces individus de prendre une décision éclairée quant à l’utilisation des données les concernant.

Lorsque nous collectons des données directement auprès des individus, nous devons les en informer au moment de collecter ces données (ou dès que possible dans la mesure du raisonnable). Si nous collectons des données à caractère personnel auprès d’une entité qui n’est pas un individu (par exemple, LinkedIn, ou toute autre ressource accessible publiquement), nous devons informer le plus tôt possible la personne concernée à moins que cela ne soit pas possible ou que cela implique un effort disproportionné.

 

2. FINS COMMERCIALES LÉGITIMES: Nous ne pouvons utiliser les données à caractère personnel qu’à des fins spécifiques, loyales et licites.

Nous ne pouvons traiter des données à caractère personnel que si nous sommes en mesure de prouver le fondement juridique de leur utilisation. Le traitement des données doit être licite et loyal.

Dans la mesure du possible, nous devons privilégier un fondement qui n’implique pas l’obtention du consentement de l’individu (par exemple un fondement basé sur nos intérêts légitimes ou sur l’exécution de nos obligations contractuelles) et éviter de compter sur l’obtention du consentement pour traiter les données à caractère personnel à moins que la loi l’exige.

La collecte et l’utilisation des données à caractère personnel doivent être conformes aux indications fournies aux personnes concernées au moment de la collecte.

Nous pouvons uniquement transmettre les données à caractère personnel d’un individu à des tiers si nous disposons des autorisations nécessaires ou s’il existe un intérêt commercial légitime à le faire.

 

3. CHOIX ET CONTRÔLE INDIVIDUELS: Dans certaines situations, nous devons obtenir le consentement des individus pour traiter leurs données à caractère personnel, et nous devons permettre à ces personnes de contrôler le traitement qui est fait de leurs données personnelles.

Dans certaines situations, il se peut que nous ayons l’obligation d’obtenir le consentement préalable des individus avant de procéder au traitement des données les concernant. Par exemple, nous avons l’obligation légale d’obtenir le consentement d’un individu en cas de collecte, d’utilisation ou de communication de données « sensibles » à son sujet. Il peut s’agir de données médicales, financières, génétiques, géographiques et biométriques utilisées exclusivement à des fins d’identification d’un individu, ainsi que de données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ou l’orientation sexuelle de l’individu.   

De plus, dans le cas où nous aurions l’intention d’utiliser ou de communiquer des données à caractère personnel autrement que selon les modalités précisées au moment de la collecte, ou autrement que ce que prévoit la loi, il se peut que devions obtenir le consentement préalable de l’individu.

Si nous obtenons le consentement de l’individu, nous devons tenir un historique pour pouvoir prouver ce pour quoi l’individu a donné son consentement. Cette base de données indiquera notamment quelles informations lui ont été communiquées, le moment où l’individu a consenti et la manière dont il a consenti.

Les principes de confidentialité confèrent aussi aux individus un certain degré de contrôle sur les données à caractère personnel que collectent les entreprises et sur la manière dont ces données sont utilisées. Dans certaines situations, nous pouvons donner aux individus le droit d’adhérer ou de se soustraire à certaines fonctionnalités qui impliquent la collecte de données à caractère personnel.

Nous ne pouvons envoyer des communications promotionnelles directes aux individus si leurs préférences de marketing et la législation en vigueur en matière de marketing direct nous y autorisent. Nous devons aussi donner aux individus la possibilité d’adhérer ou de se soustraire à tout moment de toute communication de marketing directe de notre part.

 

4. MINIMISATION DES DONNÉES: Nous ne devons collecter que des données à caractère personnel nécessaires et pertinentes.

Nous devons collecter des données à caractère personnel seulement à des fins commerciales légitimes et seulement en quantité suffisante et pertinente pour répondre à ces finalités. Nous devons nous assurer que nos produits, services et processus commerciaux sont conçus pour ne collecter que les données à caractère personnel minimales requises.

 

5. RESPONSABILITÉ: Nous sommes responsables de la manière dont nous et nos prestataires de services traitons les données à caractère personnel.

Nous demeurerons responsables de la manière dont nous traitons les données à caractère personnel, qu’importe que ces données soient collectées directement par nous, ou si nous les traitons pour le compte de nos clients. Nous serons également responsables du traitement des données à caractère personnel par nos prestataires ou par d’autres entités que nous sollicitons pour traiter les données à caractère personnel pour notre compte ou en notre nom.

Nous devons avoir des processus établis pour prouver notre conformité et responsabilité vis-à-vis des Principes dans le cadre du traitement de données à caractère personnel. Nous devons également être en mesure de prouver que ces processus font l’objet d’un contrôle et d’une évaluation et que toute mesure ou tout changement nécessaire a été mis en œuvre. Ces processus doivent inclure la tenue d’un historique recensant les données à caractère personnel dont nous sommes responsables ou que nous traitons pour le compte de nos clients.

 

6. CONSERVATION ET SUPPRESSION: Nous ne devons ni utiliser ni conserver des données à caractère personnel plus longtemps que la durée nécessaire.

Nous ne devons conserver des données à caractère personnel que si nous disposons d’un besoin commercial ou juridique réel de le faire et nous ne devons les conserver qu’aux fins notifiées aux individus ou autres parties dont nous traitons les données à caractère personnel. Nous ne devons pas conserver les données à caractère personnel indéfiniment. Une fois que les données à caractère personnel ne sont plus requises aux fins ayant conduit à leur collecte, ou lorsque les données deviennent obsolètes, elles doivent être supprimées ou détruites de manière sécurisée, sauf prévision juridique contraire. Toute mesure raisonnable doit être mise en œuvre pour supprimer ou rectifier les données inexactes.  

Dans le cas où nous traitons des données à caractère personnel pour le compte de nos clients en notre qualité de sous-traitants, nous ne traitons et conservons ces données que pour la durée indiquée par le client, à moins que la loi stipule autrement ou dans le cadre de la gestion d’une relation commerciale en cours.  

 

7. EXACTITUDE: Nous devons nous assurer que les données à caractère personnel sont exactes, complètes et à jour.

Nous devons prendre toutes les mesures raisonnables et adaptées pour assurer que les données à caractère personnel que nous traitons demeurent exactes, complètes et à jour. Cela peut impliquer de demander de façon périodique à la source des données à caractère personnel, qu’il s’agisse d’un individu ou d’une entité, de vérifier l’exactitude et la complétude des informations personnelles dont nous disposons. Si possible, cela peut aussi impliquer de fournir des outils en libre-service pour permettre les individus de mettre à jour les données les concernant.

 

8. CONSIGNES DES CLIENTS: Nous devons respecter les consignes de traitement fournies par nos clients.

Lorsque nous collectons, conservons et utilisons des données à caractère personnel pour le compte de nos clients, nous devons le faire strictement selon les consignes ou sur autorisation de nos clients, et non à nos propres fins (ou aux fins de tout tiers). Nous devons préserver en tout temps la confidentialité et la sécurité des données personnelles de nos clients, conformément à nos obligations contractuelles à leur égard. En cas de questions ou de demandes relatives aux données à caractère personnel que nous utilisons pour le compte de nos clients, nous devons informer le client concerné et l’aider à apporter une réponse.

 

9. DROITS D’ACCÈS INDIVIDUELS. Nous devons respecter les droits et choix des individus.

Les individus disposent d’un certain nombre de droits et de choix en ce qui concerne l’utilisation de leurs données à caractère personnel, dont le droit de nous demander de confirmer certains éléments d’information concernant les données que nous disposons à leur égard. Ils peuvent également nous demander de corriger toute donnée personnelle erronée dont nous disposons ou de supprimer leurs données.

Dans certaines régions (dont l’Espace économique européen), les individus ont le droit de demander la remise d’une copie de toute information à caractère personnel les concernant. Dans certaines situations exceptionnelles, les individus ont le droit de demander le transfert de leurs données à caractère personnel à un tiers.

Nous devons répondre en temps opportun et conformément à la législation en vigueur aux questions, réclamations et demandes relatives à l’exercice de ces droits, envoyées par des individus et tiers dont nous collectons des données à caractère personnel.

Par ailleurs, et lorsque la loi l’exige, nous devons permettre aux individus de s’opposer à l’utilisation de leurs données à caractère personnel à des fins de marketing direct, à la fois avant et après la collecte des données les concernant. Nous devons respecter en tout temps les préférences exprimées par les individus en matière de marketing.

Lorsque nous traitons des données à caractère personnel pour le compte de nos clients, nous aiderons tout client qui en aurait besoin à donner suite à toute demande effectuée par un individu pour exercer ses droits.

 

10. SÉCURITÉ ET NOTIFICATION EN CAS DE VIOLATION DE LA SÉCURITÉ. Nous devons adopter des mesures de sécurité appropriées et garantir que les violations de la sécurité sont notifiées de manière adéquate.

Nous devons mettre en œuvre les moyens matériels, administratifs et techniques nécessaires pour protéger les données à caractère personnel que nous traitons contre tout traitement ou toute communication illicites ou non autorisés, ou contre la perte, la destruction ou les dommages accidentels.

Lorsque nous sollicitons un prestataire tiers pour collecter, conserver ou utiliser des données à caractère personnel pour notre compte, nous devons imposer des obligations contractuelles strictes quant à la gestion de la confidentialité et de la sécurité de ces données.  

Lorsque la loi l’exige, nous devons garantir que les violations liées à la sécurité sont notifiées en temps opportun et conformément à la législation en vigueur aux organismes de régulation compétents et/ou aux individus concernés.  

 

11. TRANSFERTS À L’INTERNATIONAL. Nous devons garantir la protection des données à caractère personnel en cas de transfert à l’international.

Certaines régions n’autorisent pas le transfert de données à caractère personnel vers d’autres régions en l’absence d’un cadre de protection suffisant des données à la réception de celles-ci.  

Nous pouvons seulement transférer des données à caractère personnel à l’international si nous avons au préalable pris les dispositions nécessaires, notamment avec des clauses contractuelles de la Commission européenne (dites « clauses types ») pour protéger les données à caractère personnel transférées.    

 

12. CONFIDENTIALITÉ DES DONNÉES DÈS LA CONCEPTION. Nous devons mettre en place les mesures nécessaires pour garantir que les principes de confidentialité dès la phase de conception et par défaut sont intégrés à nos processus et systèmes.

Nous devons adopter des politiques internes et mettre en œuvre des mesures qui respectent et intègrent les principes de protection des données dès la conception et de protection des données par défaut.  

À ce titre, lors de la conception, du développement et de l’utilisation des produits, services et processus commerciaux, nous devons avoir conscience des données à caractère personnel qui seront traitées, comment elles seront traitées, pourquoi elles font l’objet d’un traitement par ces moyens et, dans la mesure du possible, nous devons minimiser le traitement des données à caractère personnel et procéder à la pseudonymisation ou à l’anonymisation des informations dès que possible. Si nécessaire, ou si la loi l’exige, des évaluations de l’impact sur la vie privée (« Privacy Impact Assessments ») doivent être intégrées aux processus d’analyse des produits et d’accueil de nouveaux prestataires.

 

Bloomreach, Inc. et ses associés

DERNIÈRE MISE À JOUR : 18 MAI 2018