1. INTRODUCTION ET CHAMP D’APPLICATION

Ce règlement interne a pour objectif de garantir la conformité de l’entreprise aux exigences du
Règlement général sur la protection des données (RGPD – Règl. UE 2016/679 du Parlement européen
et du Conseil du 27 avril 2016), ainsi qu’aux dispositions nationales applicables, en matière de
traitement des données à caractère personnel des salariés, clients, fournisseurs et partenaires.

 

2. PRINCIPES FONDAMENTAUX DE LA PROTECTION DES DONNÉES

Les traitements de données personnelles réalisés au sein de l’entreprise respectent les principes suivants :

• Licéité, loyauté et transparence : les données sont traitées de manière licite, loyale et transparente au regard des personnes concernées.
• Limitation des finalités : les données sont collectées pour des finalités déterminées, explicites et légitimes.
• Minimisation des données : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire sont collectées.
• Exactitude : les données sont tenues à jour et exactes.
• Limitation de la conservation : les données ne sont conservées que pendant la durée nécessaire à la finalité du traitement.
• Intégrité et confidentialité : la sécurité des données est assurée pour éviter tout accès, destruction, altération ou divulgation non autorisée.
• Responsabilité : l’entreprise doit être en mesure de démontrer le respect de ces principes.

 

 

3. RECENSEMENT ET MODALITÉS DES TRAITEMENTS DE DONNÉES

3.1 Recensement des traitements

L’entreprise recense l’ensemble des traitements de données personnelles mis en œuvre, notamment
pour la gestion des ressources humaines (recrutement, paie, formation, déclarations sociales, gestion
des accès, etc.).

3.2 Registre des traitements

• Les entreprises de moins de 250 salariés bénéficient d’une dérogation à l’obligation de tenir un registre des traitements uniquement dans certains cas très limités :
  • Si les traitements sont occasionnels,
  • S’ils ne comportent pas de risque pour les droits et libertés des personnes concernées,
  • Et s’ils ne portent pas sur des données sensibles ou relatives à des condamnations pénales et à des infractions.
• En pratique, toute gestion de paie ou de ressources humaines régulière doit être inscrite dans un registre.

3.3 Contenu du registre

Le registre doit comporter à minima pour chaque traitement :

• Le responsable du traitement
• L’objectif poursuivi
• Les catégories de personnes concernées
• Les catégories de données utilisées
• Les destinataires des données
• Les transferts éventuels hors UE
• La durée de conservation des données
• Les mesures de sécurité mises en place

 

 

4. OBLIGATIONS D’INFORMATION DES PERSONNES CONCERNÉES

Chaque salarié, client, fournisseur ou partenaire dont les données sont collectées doit être informé :

• De l’identité et des coordonnées du responsable du traitement
• Des finalités et de la base légale du traitement
• Des catégories de données traitées
• De la durée de conservation
• De ses droits (accès, rectification, effacement, limitation, opposition, portabilité)
• Des modalités d’exercice de ces droits
• De la possibilité d’introduire une réclamation auprès de la CNIL

Cette information doit être délivrée lors de la collecte ou dans un délai d’un mois si la collecte est indirecte.

 

5. EXERCICE DES DROITS DES PERSONNES

Les personnes concernées peuvent exercer les droits suivants :

• Accès à leurs données
• Rectification des données inexactes
• Effacement (droit à l’oubli) dans les cas prévus
• Limitation du traitement
• Opposition, dans les cas prévus
• Portabilité des données

La demande peut être faite par voie électronique ou sur place, avec justification de l’identité.
L’entreprise doit répondre dans un délai d’un mois, prolongeable de deux mois en cas de complexité
ou de nombre important de demandes. En cas de refus, les motifs doivent être communiqués, ainsi
que la possibilité de saisir la CNIL.

 

 

6. SÉCURITÉ ET CONFIDENTIALITÉ DES DONNÉES

L’entreprise met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la
sécurité des données personnelles contre tout accès, perte, destruction, altération ou divulgation
non autorisée.

 

 

7. SOUS-TRAITANCE

Tout sous-traitant de l’entreprise qui traite des données personnelles pour son compte doit offrir des
garanties suffisantes et respecter les exigences du RGPD. Un contrat écrit précise les obligations de
protection des données à la charge du sous-traitant.

 

 

8. NOTIFICATION DES VIOLATIONS DE DONNÉES

Toute violation de données à caractère personnel susceptible d’engendrer un risque pour les droits
et libertés des personnes concernées est notifiée à la CNIL dans les 72 heures suivant la connaissance
de l’incident. Si le risque est élevé, les personnes concernées sont également informées dans les
meilleurs délais.

 

 

9. DÉSIGNATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

La désignation d’un DPO n’est obligatoire que si l’activité de base de l’entreprise conduit à un suivi
régulier et systématique à grande échelle ou au traitement à grande échelle de données sensibles.
Toutefois, il est recommandé de désigner un référent RGPD ou une personne en charge de la
conformité.

Le référent RGPD désigné par AGRIDOM est Monsieur SIMON Julien (rgpd@agridom.fr).

 

 

10. CONTRÔLE ET SANCTIONS

En cas de manquement, des sanctions administratives, civiles ou pénales peuvent être prononcées,
pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.