Sécurité des données (art. 32 du RGPD)

Nous avons pris des mesures générales afin de garantir la protection de vos données à caractère personnel.


Mesures techniques et organisationnelles

Vous pouvez obtenir ici un aperçu des mesures techniques et organisationnelles que nous avons prises en vue de la protection de vos données.

1. Confidentialité

a) Contrôle des entrées

L’accès aux dispositifs de traitement des données avec lesquels des données à caractère personnel sont traitées ou exploitées doit être refusé aux personnes non autorisées.

  • Il s’ensuit un contrôle permanent de l’accès aux bâtiments de bureau par les collègues se trouvant à l’accueil. Tous les locaux sont soumis à un contrôle de l’accès effectué par les collègues se trouvant dans le bâtiment.
  • Une réglementation différenciée de l’accès autorise les collaborateurs à accéder uniquement à certains locaux de l’entreprise.
  • L’accès aux personnes non autorisées, et en particulier aux personnes externes, doit être systématiquement refusé. L’accès est uniquement permis sur autorisation expresse d’un collaborateur avec notification du motif.
  • Des serrures de sécurité et des règles de sécurité concernant les clés sont mises en place.
  • Les serveurs se trouvent dans des locaux verrouillés.
  • Les sauvegardes sur supports mobiles (par ex. CD/DVD, bandes) sont conservées dans les locaux dont l’accès est protégé.
  • Les bâtiments et le site de l’entreprise sont protégés par des systèmes d’alarme, de vidéosurveillance, d’éclairage et par des capteurs de mouvements.

INFORMATIONS RELATIVES AUX DROITS DES PERSONNES CONCERNÉES PAR LA VIDÉOSURVEILLANCE

Toute personne concernée est en droit de demander au responsable de confirmer le traitement ou non de données à caractère personnel la concernant ; si tel est le cas, elle dispose du droit d’être informée desdites données à caractère personnel et de recevoir les informations détaillées dans l’art. 15 du RGPD.

La personne concernée est en droit de demander au responsable une correction immédiate de toutes les données à caractère personnel erronée la concernant et, le cas échéant, de compléter lesdites données lorsqu’elles sont incomplètes (art. 16 du RGDP).

La personne concernée est en droit de demander au responsable de supprimer immédiatement les données à caractère personnel la concernant au cas où elles relèvent d’un motif mentionné dans l’article 17 du RGPD, par ex. lorsque les données ne sont plus utilisées pour les finalités visées (droit de suppression).

La personne concernée est en droit de demander au responsable une limitation du traitement desdites données si une des conditions mentionnées dans l’article 18 du RGPD s’applique, par ex. lorsque la personne concernée s’est opposée au traitement desdites données pendant la durée de la vérification par le responsable.

La personne concernée est à tout moment en droit de s’opposer au traitement des données à caractère personnel la concernant pour des raisons découlant de sa situation particulière. Dès lors, le responsable ne traitera plus les données à caractère personnel à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou qui servent la constatation, l’exercice ou la défense de droits en justice (art. 21 du RGPD).

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD (art. 77 du RGPD). La personne concernée peut exercer ce droit auprès d’une autorité de contrôle dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou dans le lieu où la violation supposée aurait été commise.

Les données de contact avec l’autorité de contrôle compétente sont les suivantes :

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Frau Bettina Gayk
Postfach 20 04 44
40213 Duesseldorf
Germany

E-mail: poststelle@ldi.nrw.de

b) Contrôle de la connexion aux données

L’accès et donc l’usage des systèmes de traitement des données est refusé aux personnes non autorisées.

  • L’exploitation du système requiert des données de connexion individuelles comme un identifiant et un mot de passe.
  • Une directive relative aux mots de passe a été définie.
  • Les autorisations d’accès qui ne sont plus nécessaires sont immédiatement retirées.
  • Un journal de bord des connexions utilisateurs est établi.
  • Les ordinateurs des postes de travail sont protégés par des logiciels antivirus.
  • Le personnel de nettoyage est choisi scrupuleusement et tenu à la protection des données par l’employeur.

c) Contrôle de l’accès

Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données peuvent exclusivement accéder aux données concernés par leur autorisation d’accès, et que les données à caractère personnel ne puissent être ni lues, ni copiées, ni modifiées ni effacées sans autorisation lors de leur traitement ou leur exploitation ou après leur enregistrement.

  • Seules les personnes familiarisées avec la collecte, l’exploitation et le traitement des données dans le cadre de l’exécution convenue des ordres sont autorisées à lire, copier, modifier ou effacer les données. Dans ce contexte, des réglementations claires ont été mises en place concernant l’octroi des autorisations d’accès, tenant compte d’un accès différencié (lecture, modification, effacement) et réglementant l’accès aux différents niveaux.
  • Lorsque personne n’occupe le poste de travail, des armoires ou des tiroirs verrouillables offrent la possibilité de protéger les documents papier de prises de connaissance ou d’accès non autorisés.
  • Un pare-feu protège vos données d’un accès à partir de réseaux non fiables (par ex. Internet).
  • L’efficacité des dispositifs techniques de sécurité fait l’objet de contrôles réguliers.
  • Les documents papier et les enregistreurs mobiles de données sont conservés dans les meubles verrouillables (principe du bureau bien rangé).

d) Contrôle de la séparation

Mesures garantissant que des données collectées à des fins différentes puissent être traitées de manière séparée.

  • Une séparation logique des données (principe du mandant) est appliquée pour les données à caractère personnel de différents mandants.

2. Intégrité

a) Contrôle de la transmission

Mesures garantissant que les données à caractère personnel ne puissent être ni lues ni copiées ni modifiées ni effacées sans autorisation lors de leur transfert électronique ou de leur transport, ou lors de l’enregistrement sur des supports de données, et qu’elles puissent être contrôlées pour identifier à quel endroit une transmission des données à caractère personnel est prévue par des dispositifs de transfert des données.

  • L’utilisation de supports de données externes (clés USB, disques durs externes, CD, DVD) est interdite en dehors de l’environnement protégé de l’entreprise.
  • La destruction des données est garantie selon les exigences de la protection des données. Les documents papier sont détruits par un broyeur à un niveau de protection prescrit. Les supports de données (par ex. disques durs défectueux) sont détruits physiquement.

b) Contrôle des saisies

Mesures garantissant que l’on peut vérifier et identifier ultérieurement si des données ont été saisies, modifiées ou effacées dans les systèmes de traitement des données, et par qui elles l’ont été.

  • Un enregistrement ad hoc dans un procès-verbal permet de garantir que l’on est en mesure a posteriori de vérifier si des données à caractère personnel ont été saisies, modifiées ou effacées dans les systèmes de traitement des données, par qui et quand elles l’ont été.
  • Les tâches administratives sont elles aussi enregistrées dans des procès-verbaux.
  • La protection contre l’écriture empêche l’écrasement des données.

3. Disponibilité et capacité

a) Contrôle de la disponibilité

Mesures garantissant que les données à caractère personnel sont protégées contre la destruction ou la perte accidentelles.

  • Pour peu que cela soit convenu contractuellement, les données sont protégées d’une destruction ou d’une perte accidentelles.
  • Un principe de sauvegarde et de restauration a été mis en place.
  • Une vérification régulière permet de savoir si les sauvegardes peuvent être restaurées sans problème.
  • Des exercices ont lieu à intervalles réguliers dans lesquels des situations d’urgence (par ex. un incendie) sont simulées et la restauration des données testée.

b) Capacité de restauration immédiate

Mesures garantissant que des données à caractère personnel peuvent être restaurées immédiatement en cas d’incident physique ou technique.

  • Un concept de restauration de l’activité de l’entreprise après un cas d’urgence a été établi.

4. Procédures en vue du contrôle, de l’analyse et de l’évaluation à intervalles réguliers

a) Gestion de la protection des données

  • Un concept de protection des données et de sécurité est établi et régulièrement contrôlé.
  • Le concept de protection des données et de sécurité est adapté à l’évolution des conditions.

b) Contrôle des ordres

Mesures garantissant que les données à caractère personnel traités dans le cadre d’un ordre ne puissent être traitées que selon les instructions du mandant.

  • La nature, la portée et l’objectif du traitement des données doivent être clairement établis par la description de la prestation convenue comme base de l’exécution de l’ordre entre le mandataire et le mandant.
  • Les collaborateurs concernés par l’exécution de l’ordre doivent être informés de la portée de la prestation.
  • Des solutions de cloud peuvent éventuellement être mise en œuvre pour le traitement de l’ordre convenu. Les centres de calcul utilisés se trouvent dans l’Union européenne. La communication des données par le cloud est chiffrée.
  • Le mandataire désigne un(e) délégué(e) à la protection des données.

Chiffrage des données à caractère personnel

Toutes les données que vous transmettez avec votre déclaration de consentement à DR-WALTER GmbH (DR-WALTER) via les fonctions d’assistance et formulaires à des fins de collecte, de traitement et d’utilisation, sont intégrées via Internet dans notre ordinateur, sauvegardées et sécurisées à travers une connexion sécurisée, sous forme cryptée. Le procédé de sécurité que nous utilisons pour cela correspond au niveau actuel de la technique (SSL ou bien Secure Socket Layer). Ce procédé permet un cryptage de l’ensemble des flux de données entre votre navigateur et les serveurs auxquels accède DR-WALTER. Ainsi, vos données sont protégées des manipulations et de l’interception non autorisée par des tiers sur l’itinéraire de transmission.  

Exception: vous utilisez votre programme e-mail.  

Si vous nous envoyez des e-mails via votre programme e-mails, ces derniers ne sont pas cryptés. Des personnes disposant de l’expertise technique nécessaire peuvent intercepter et lire des e-mails d’autres personnes. Pour éviter l’insécurité de cette forme de communication, vous pouvez tout simplement utiliser nos formulaires de contact ou contactez-nous par téléphone.

Les e-mails que nous envoyons peuvent également faire l’objet d’une interception.

Pour cette raison, nous vous envoyons les informations particulièrement importantes non par e-mail mais par la poste ou alors, vous contactons par téléphone.  

Conformément à l’art. 28 par. 3 du RGPD, DR-WALTER garantit que les collaborateurs autorisés à traiter les données à caractère personnel s’engagent à respecter la confidentialité.

Veuillez adresser vos questions et indications directement à notre responsable de la protection des données:

Bianca Mahlberg
DR-WALTER
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
Germany

E-mail : datenschutz@dr-walter.com
T : +49 2247 9194-822
F : +49 2247 9194-40

Bianca Mahlberg