Cette politique vise à poser les fondements de la conformité RGPD chez CFC Croisières et s’adresse à l’ensemble des collaborateurs et partenaires concernés.
Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), CFC Croisières met en œuvre une politique interne dédiée à la gestion des violations de données personnelles.
Ce règlement impose aux responsables de traitement l’obligation de notifier certains incidents de sécurité à l’autorité de contrôle compétente (en France, la CNIL), et, le cas échéant, aux personnes concernées, lorsque ces incidents présentent un risque pour leurs droits et libertés.
Cette obligation impose la mise en place, au sein de CFC Croisières, d’une politique destinée à assurer la détection de telles violations, d’en évaluer la gravité et de mettre en œuvre les mesures appropriées afin de minimiser les risques, réduire les impacts pour les personnes concernées et identifier toute action utile permettant de prévenir la survenance de nouvelles violations.
1.1 Objet de cette politique
Cette politique a pour objectif de fixer le cadre et les principes de base pour la protection et le traitement des données au sein de CFC Croisières. Le traitement des données étant indispensable à nos activités, CFC Croisières considère que la protection des droits et de la sphère privée de chaque individu est la base de toute relation de confiance. C’est pourquoi CFC Croisières souhaite être exemplaire dans la protection et le traitement des données de ses clients.
Tous les employés de CFC Croisières doivent se conformer aux règles en vigueur relatives au contrôle et au traitement des données. La priorité de CFC Croisières est de mettre en place des standards applicables pour le traitement des données.
Nos politiques de protection des données servent de cadre général et sont applicables au sein de l’entreprise. Cette politique doit être portée à la connaissance de tous les employés de CFC Croisières devant se conformer avec la politique et ses exigences. D’autre part, la politique s’applique également aux tiers ayant à faire aux employés de CFC Croisières et qui ont/pourraient avoir accès aux données des clients. Ces tiers sont censés avoir lu et compris la présente politique et doivent être en conformité avec elle.
1.2 Objectifs
Les principaux objectifs de la politique sont les suivants :
Protéger la liberté et les droits de toutes les personnes concernées et de les en informer ;
Traiter les données des clients conformément aux attentes de CFC Croisières ;
Éviter toute violation des données et de leur sécurité de manière générale ;
Améliorer la prise de conscience relative à la protection des données de façon générale.
1.3 Rôles et responsabilités internes
Au sein de CFC Croisières, l’ensemble des collaborateurs contribue à la mise en œuvre des actions nécessaires à la conformité de l’organisation en matière de protection des données personnelles, sous la coordination du Délégué à la Protection des Données (DPO).
Le DPO, en lien avec les Responsables de Traitement des Données (RTD), veille à la diffusion, à la bonne compréhension et au respect de la présente politique par les équipes concernées.
Le service informatique, en coordination avec le DPO, est chargé de la mise en œuvre opérationnelle des mesures techniques et organisationnelles nécessaires à la sécurité des traitements.
1.4 Principes fondamentaux du traitement des données
Tout traitement de Données doit être effectué en conformité avec les principes de protection des données comme indiqué dans le RGPD. La politique de CFC Croisières est établie afin d’assurer la conformité avec ces principes. En somme, en tant que CFC Croisières nous nous engageons à être en phase avec les principes suivants :
Le principe de licéité et de transparence d’équité : nous nous engageons à traiter les Données employés uniquement après en avoir informé la personne concernée et à condition que le traitement se fasse en conformité avec la loi.
Le principe de la limitation de la finalité : nous nous engageons à traiter les données uniquement dans un but spécifique, et pour des raisons explicites et légitimes, et ne procéderons à aucun traitement incompatible avec ces objectifs.
Le principe de minimisation : nous traitons uniquement les données adéquates, importantes et en nous limitant à celles qui sont nécessaires pour atteindre la finalité que nous nous sommes fixés.
Le principe d’exactitude : Nous prendrons toutes les mesures nécessaires et raisonnables afin de garantir que les données incorrectes des clients soient supprimées ou alors rectifiées sans attendre.
Le principe de limitation des traitements : nous conservons l’ensemble des données employés sous une forme permettant l’identification des personnes concernées uniquement pour la durée nécessaire afin d’atteindre les objectifs pour lesquels les données sont traitées.
Le principe de sécurité : nous traitons les données de sorte à garantir leur confidentialité, leur intégrité et leur disponibilité de façon à ce que la sécurité de celles-ci soit respectée. La protection contre tout traitement non autorisé ou enfreignant la loi, perte accidentelle, destruction ou endommagement, en utilisant toutes les mesures techniques et organisationnelles possibles.
Le principe d’accountability de la traçabilité : nous serons responsables à tout moment et capables de faire preuve de conformité avec les principes de protection des données susmentionnées, aussi bien vis-à-vis des autorités compétentes que vis-à-vis des personnes concernées.
CFC Croisières s’engage à mettre en œuvre les principes du RGPD de manière concrète, à travers des mesures techniques, organisationnelles et humaines. La présente section expose les pratiques internes visant à garantir un traitement conforme, sécurisé et respectueux des droits des personnes concernées.
2.1 Licéité, transparence et conformité des traitements
CFC Croisières garantit que les données sont collectées et traitées de façon juste et conforme au regard du réglement européen sur la protection des données (RGPD) avec la loi. Nous prenons toutes les mesures nécessaires afin de tenir les données à jour et exactes et les conserverons uniquement pour une durée définie au préalable. CFC Croisières garantit que les données ne seront utilisées que sur la base décrite ci-après, en conformité avec la loi, et en fonction de la catégorie à laquelle la personne concernée appartient.
2.1.1. Données relatives aux employés et aux clients
Le terme « Données concernant les employés et les clients » signifie toute donnée traitée par CFC Croisières. Toutes les données concernant les clients sont collectées par CFC Croisières sur la/les plateforme de réservation CFC qui permet d’assurer la gestion et l’administration de CFC Croisières, ou dans des fichiers utilisés uniquement par le siège de CFC Croisières. CFC Croisières est considéré comme étant le contrôleur des données, ce qui signifie que CFC Croisières détermine les objectifs et les mesures de traitement de ces données.
La grande majorité des activités de traitement est justifiée par la nécessité de la gestion de CFC Croisières et sa bonne organisation. Quelques-unes de ces données sont justifiées par un intérêt légitime. Les autres données doivent couvrir des objectifs spécifiques de l’opération de traitement prévue, et doivent être établis en respectant les paramètres de la loi sur la Protection des données.
Chaque employé de CFC Croisières peut, dans pratiquement tous les cas, s’appuyer sur les intérêts légitimes du traitement des données, puisque celui-ci est nécessaire à son bon fonctionnement. Dans un nombre limité de cas, les opérations de traitement pourront être justifiées par un consentement exprès donné par le client ou l’employé. Enfin pour toutes les données qui ne respectent pas le principe de minimisation CFC Croisières prend à ce jour les mesures nécessaires pour limiter l’utilisation de ces données.
Extrait des mesures mises en œuvre
|
Principe |
Mesures |
Supports |
|
Minimisati |
Nous rendons possible uniquement la collecte des données utiles dans le cadre de notre mission. Nous travaillons avec nos sous-traitant pour masquer les champs de collecte inutiles. Nous sensibilisons l’ensemble du personnel aux bonnes pratiques du RGPD. |
X |
|
Exactitude |
Le bureau de CFC Croisières contrôle que les données rentrées soient exactes. |
X |
|
Durées de conservation |
Nous supprimons le profil du client dès lors qu’il quitte la société. Nous ne gardons aucune information personnelle sur les passagers dont les réservations sont terminées. |
|
|
Sécurité |
Nos matériels informatiques sont sécurisés par des profils utilisateurs uniques, et disposés dans un bureau dédié fermé à clef, dont seul le siège de CFC Croisières a accès. Les matériels informatiques sont à jour et protégés par des antivirus et pare-feu à jour. |
|
|
Traitement des données sensibles |
CFC Croisières traite certaines données sensibles afin de répondre aux besoins spécifiques de ses clients. La collecte de ces données est nécessaire pour fournir des services personnalisés et efficaces. CFC Croisières met en place des mesures de sécurité strictes pour garantir la protection des données sensibles. CFC Croisières collecte des données pour améliorer ses services de croisière et services en analysant les tendances d'utilisation, pour répondre aux demandes des utilisateurs et fournir des informations importantes, pour réaliser des analyses d'expérience passager anonymisées démontrant l'efficacité de leurs services de croisière, pour mesurer l'efficacité de leurs campagnes marketing grâce à des technologies de suivi, et pour assurer la sécurité des systèmes et la conformité aux exigences légales et réglementaires. CFC Croisières travaille de manière proactive pour protéger les données sensibles contre tout accès non autorisé. |
X |
2.1.2. Données relatives aux tiers
CFC Croisières traite également des données concernant d'autres catégories de personnes : passagers, prestataires portuaires, fournisseurs, partenaires commerciaux.
Ces données peuvent inclure des informations personnelles et des données de préférences de voyage ou données personnelles. Lorsque CFC Croisières collecte ces données directement auprès de la personne concernée, elle agit en tant que Contrôleur des Données. En raison de la nature de ses activités, CFC Croisières peut également être amenée à collecter des données de préférences de voyage ou données personnelles à partir d'autres sources. Dans ce cas, CFC Croisières agit comme « Processeur des Données » et non comme Contrôleur des Données, sauf en cas d'accord contraire. Les adresses email et numéros de téléphone sont toujours traités comme des données personnelles, et CFC Croisières s'engage à protéger la confidentialité et la sécurité de toutes les données collectées.
Une vue d’ensemble détaillée du traitement des données des tiers se trouve dans le registre de traitement.
D’une manière générale, les mêmes principes que ceux décrits dans le paragraphe
2.2 Pour le traitement des données des clients, s’appliqueront.
Lorsque CFC Croisières collecte directement les données, elle agit en tant que responsable de traitement.
Lorsqu’elle les traite pour le compte d’un tiers (ex. opérateur), elle agit comme sous-traitant.
Un soin particulier est accordé à la transparence via des mentions d’information et une politique de confidentialité accessible.
Lorsqu’un suivi comportemental (tracking) est mis en œuvre, celui-ci respecte les exigences légales : information claire, consentement si nécessaire, respect de la vie privée.
2.3 Gestion du consentement
Dans la mesure où CFC Croisières s’appuie sur le principe du consentement comme base de traitement en conformité avec la loi, les conditions suivantes seront applicables :
Les déclarations de consentement seront soumises librement, par écrit et en conformité avec les règles locales.
Tout consentement qui ne respecte pas ces conditions est considéré comme étant “nul”.
La déclaration de consentement doit être obtenue par écrit ou par voie électronique, afin de pouvoir être documentée.
Avant de donner son consentement, la personne concernée sera informée de la nature des opérations de traitement. La personne concernée peut retirer son consentement à n’importe quel moment et ce même consentement sera sollicité de nouveau tous les 13 mois.
Concernant les données sensibles des employés, un consentement écrit des personnes concernées est nécessaire, sauf s’il existe une base légale alternative.
Dans la plupart des cas, le consentement pour le traitement des données employés et sensibles est obtenu par CFC Croisières en utilisant des documents standards, dans le cadre des clients le consentement est demandé via le site et la minimisation des données collectées est en cours.
2.4 Conservation et suppression de données
Les données ne sont conservées que pendant une durée strictement nécessaire aux finalités poursuivies.
Chaque service dispose d’un plan de conservation basé sur les recommandations de la CNIL et les obligations légales.
Un guide interne des durées de conservation a été établi.
Des procédures de suppression ou d’anonymisation sont prévues en fin de cycle de vie des données.
Ces règles s’appliquent aussi bien aux données des employés qu’à celles des clients ou partenaires.
2.5 Sensibilisation et formation des employés
CFC Croisières s’engage à informer l’ensemble de ses employés ayant accès aux données des clients, de leurs responsabilités relatives à cette politique, et ceci comme partie intégrante de la formation d’intégration.
En complément, CFC Croisières permet à ses employés d’avoir accès à des formations sur la Protection des Données ainsi qu’un accompagnement régulier concernant le respect des politiques. Le format de ces formations peut varier en fonction du type d’audience, le nombre d’employés à former, des objectifs de la formation et d’autres facteurs.
2.6 Registre des activités de traitement
Conformément à l’article 30 du RGPD, CFC Croisières tient à jour un registre des traitements des données à caractère personnel qu’elle met en œuvre. Ce registre constitue un outil essentiel de documentation de la conformité et reflète l’ensemble des traitements réalisés par l’entreprise. Ce registre permet notamment de :
Conserver des registres de toutes les opérations de traitement ;
Conserver des registres de tous les accords conclus avec les sous-traitants et partenaires ;
Conserver des registres de toutes les violations de données, y compris les notifications de violations faites aux autorités de surveillance compétentes et les personnes concernées ;
Conserver toutes les demandes d’exercice des droits, en gardant l’anonymat du demandeur.
Le contenu du registre peut varier selon les services ou les types de traitements, mais inclut à minima les éléments suivants :
Les finalités du traitement ;
Les catégories de données traitées et de personnes concernées ;
Les destinataires éventuels des données ;
Les durées de conservation ;
Les mesures de sécurité techniques et organisationnelles mises en œuvre ;
Les coordonnées du responsable de traitement, ou du représentant RGPD s’il y a lieu.
Ce registre est mis à jour régulièrement et tenu à disposition de la direction, du DPO, et des autorités compétentes en cas de contrôle.
3.1 Évaluation de l’impact de la Protection des Données (AIPD)
Conformément à l’article 35 du RGPD, CFC Croisières s’assure qu’une analyse d’impact relative à la protection des données (AIPD) est réalisée avant la mise en œuvre de tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Cette AIPD est conduite en collaboration avec le DPO, et, si nécessaire, avec le service informatique, notamment lors de l’introduction de nouvelles technologies, de politiques internes ou de modifications significatives des systèmes existants.
3.2 Délégué à la protection des données (DPO)
Le Délégué à la Protection des Données (DPO) est désigné en fonction de ses compétences professionnelles, de sa connaissance du droit et de la pratique en matière de protection des données. Il peut s’agir d’un intervenant interne ou d’un prestataire externe. Ses missions sont notamment les suivantes :
Apporter du conseil au Management de CFC Croisières sur tous les sujets de la politique et les aviser de tout risque majeur de la protection des données, des sujets et problèmes, au fur et à mesure que ceux-ci se posent ;
Établir et garantir un système de protection des données de haute qualité, au sein de CFC Croisières ;
Gérer la communication, les stratégies de formation et d’accompagnement, et prendre toutes les initiatives afin d’assurer le support de l’ensemble des employés de CFC Croisières ;
Coopérer avec les autorités de surveillance au sein de l’UE, avec le Responsable de la Protection des Données et les Responsables Locaux des Données (si nommés) ;
Être l’interlocuteur pour les autorités de surveillance sur les sujets relatifs au traitement des données et leurs éventuelles violations ;
Contrôler et analyser les changements dans les textes de la loi Européenne et les remonter au Responsable de la Protection des Données de CFC Croisières.
3.2.1 Engagements du DPO
Le DPO, en lien avec les responsables de traitement, s’engage à :
Garantir que toutes les politiques sont mises en place dans CFC Croisières afin de garder les données exactes et actualisées en prenant en considération le volume des données collectées, la rapidité avec laquelle le volume pourrait évoluer et d’autres facteurs pertinents ;
Organiser des formations continues à destination des collaborateurs
Informer et aviser CFC Croisières et les employés qui traitent les données de leurs responsabilités dans le cadre de cette politique ;
Contrôler la conformité avec cette politique et réaliser des audits ;
Apporter du conseil sur demande au sujet de l’évaluation de l’impact de la Protection des Données, contrôler sa performance ;
Contrôler et analyser les éventuels changements dans les textes de loi applicables ;
Réviser les délais de conservation de l’ensemble des Données employés traitées par CFC Croisières et identifier toutes les données qui ne seront plus nécessaires pour la finalité enregistrée ;
Prendre les dispositions nécessaires au cas où une information inexacte ou obsolète aurait été passée à un tiers, de les informer que l’information est inexacte et/ou obsolète et qu’elle ne doit pas être utilisée pour prendre des décisions sur les individus concernés et transmettre toutes les modifications nécessaires au tiers.
Évaluer l’importance des dommages ou des pertes qui pourraient être causées aux individus (employés ou tiers) si une violation de la sécurité devait avoir lieu ; les conséquences d’une telle violation de sécurité sur CFC Croisières lui-même et les dommages qui pourraient s’en suivre en termes de perte d’image, y compris une éventuelle perte de confiance de la part des clients.
3.3 Responsabilités générales et conformité
CFC Croisières est responsable de la conformité, ses obligations légales et le traitement approprié des données.
La conformité avec les exigences de la politique est obligatoire pour tous les employés impliqués dans ces processus. S’il y a la moindre raison de croire que les obligations légales sont en contradiction avec les obligations énoncées dans cette Procédure de Protection des Données, CFC Croisières doit en informer le Responsable nommé de la protection des données.
En cas de contradiction entre la présente politique et une disposition légale nationale ou européenne, le DPO est consulté afin de proposer une solution conforme et proportionnée. Toute adaptation locale doit être validée par le DPO.
3.4 Obligation de confidentialité et exceptions
CFC Croisières garantit que la mise en œuvre de la présente politique, ainsi que le signalement de toute violation avérée ou potentielle de données personnelles, ne saurait porter préjudice aux collaborateurs ou aux personnes concernées. Aucune sanction ne sera prononcée à l’encontre d’un employé ayant agi de bonne foi pour alerter d’un incident ou d’un manquement.
En contrepartie, l’entreprise n’acceptera aucun comportement ou traitement contraire à cette politique. Chaque collaborateur a l’obligation de signaler, sans délai, tout incident ou suspicion de violation via les canaux mis à disposition, notamment l’adresse email dédiée ou le contact du Délégué à la Protection des Données (DPO). Ces consignes sont disponibles dans l’espace conformité du portail interne.
CFC Croisières se réserve le droit de :
Contrôler périodiquement le niveau de sensibilisation de ses collaborateurs à la protection des données,
Réaliser des audits internes,
Évaluer l’efficacité globale des mesures mises en œuvre.
En principe, toute donnée à caractère personnel traitée au sein de l’entreprise est soumise à un strict devoir de confidentialité. Toutefois, des dérogations encadrées peuvent s’appliquer, sans information préalable de la personne concernée, dans les cas suivants :
Prévention ou détection d’une infraction ;
Action judiciaire ou enquête pénale ;
Évaluation ou recouvrement de droits fiscaux ou douaniers ;
Exécution d’une décision de justice ou d’une obligation légale.
Dans ces situations, tout collaborateur recevant une demande officielle d’une autorité doit immédiatement en informer le DPO, qui apportera l’analyse juridique et les instructions nécessaires.
3.5 Suivi, contrôle et révision de la politique
Cette politique doit être révisée régulièrement par le Responsable de la Protection des Données ; au moins une fois par an afin de garantir que la politique est actualisée et toujours conforme avec toutes les règles applicables et avec la législation.
Pour toute précision supplémentaire, nous vous invitons à consulter notre Politique de confidentialité et Politique en matière de cookies. Vous pouvez également joindre notre Délégué à la Protection des Données à l'adresse : dpo@cfc-croisieres.fr