Politique générale de protection des données personnelles

DEKRA Personnel s’engage résolument dans une politique de confidentialité ayant pour but la protection des données à caractère personnel traitées dans le cadre de ses métiers et activités.
En vue de partager cette politique avec les différentes parties prenantes, DEKRA Personnel a défini la présente Politique Générale de protection des données, afin que toute personne physique, salarié ou non, ayant ou non recours à l’expertise de DEKRA Personnel dans le cadre de prestations de services puisse, à tout moment, prendre connaissance des engagements pris et des pratiques appliquées par DEKRA Personnel sur ses données à caractère personnel qui lui sont confiées.

DEKRA Personnel s’engage à traiter l’ensemble des données collectées de manière conforme aux textes applicables à la protection des données (Loi n°78-17 du 6 janvier 1978 modifiée et le Règlement Européen Général 2016/679 du 27 avril 2016 sur la protection des données, ces deux textes étant ci-après désignés la „Règlementation“.

La présente politique générale de protection des données s’adresse à la fois :

• Aux Bénéficiaires des services de DEKRA Personnel,
• Aux professionnels, partenaires de DEKRA Personnel,
• Aux personnes physiques clientes ou prospects de DEKRA Personnel,
• Aux salariés de DEKRA Personnel,
• Aux candidats souhaitant rejoindre DEKRA Personnel,
• Aux internautes naviguant sur le site de DEKRA Personnel.

• Un traitement de données à caractère personnel est une opération ou un ensemble d’opération effectué sur des données à caractère personnel (collecte, structuration, conservation, modification, communication…).
• Une donnée à caractère personnel est une information relative à une personne physique susceptible d’être identifiée, directement (nom, prénom …) ou indirectement (numéro de téléphone, son mail…).
• La personne concernée est celle qui peut être identifiée par les données utilisées dans le cadre du traitement de données à caractère personnel.
• Le responsable de traitement est celui qui décide de la manière dont sera mis en œuvre le traitement des données à caractère personnel, notamment en déterminant à quoi vont servir les données et quels outils vont être mis en œuvre pour les traiter.
• Le sous-traitant agit sous l’autorité du responsable du traitement, il a accès à des données à caractère personnel, il ne peut pas traiter ces données, excepté sur instruction du responsable du traitement ou à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.
• Le destinataire est celui qui reçoit la communication autorisée des données à caractère personnel.

DEKRA Personnel est responsable des traitements mis en œuvre dans le cadre de ses métiers et en cette qualité, prend les engagements suivants :

• Les données à caractère personnel sont „uniquement“ utilisées à des fins explicites, légitimes et déterminées en lien avec ses différents métiers telles qu’elles sont à chaque fois mentionnées lors de la collecte de ces dernières et ce conformément à l’article 29 du Règlement européen.
• En application du principe de minimisation, seules les données à caractère personnel qui sont strictement utiles sont collectées et traitées : DEKRA Personnel applique ainsi le concept de privacy by default qui protège les personnes concernées de toute collecte excessive de données.
• Les données ne sont pas conservées au-delà de la durée nécessaire pour les opérations pour lesquelles elles ont été collectées et ce, en tenant compte de la nature des opérations et des exigences de la loi visant les prescriptions légales.
• Nous ne communiquons pas, ni ne cédons les données à caractère personnel à des tiers, mais seulement à des destinataires autorisés dans le cadre strict des finalités définies au préalable et telles que communiquées lors de la collecte des données.
• Nous confions les données à caractère personnel à des prestataires sous-traitants choisis en fonction de garanties techniques et organisationnelles appropriées, afin de garantir la protection des données qui leur sont confiées sous les instructions de DEKRA France.
• Les personnes concernées sont informées préalablement et régulièrement, de manière claire et transparente, notamment sur la finalité d’utilisation de leurs données, le caractère facultatif ou obligatoire de leurs réponses dans les formulaires, des droits dont ils disposent en matière de protection des données et des modalités d’exercice effectif de ces droits, des destinataires.
• Chaque fois que la Règlementation l’impose, un consentement explicite, éclairé, actif et non équivoque de la personne concernée est recueilli au titre du traitement de ses données à caractère personnel.
• Des mesures de sécurité appropriées sur le plan logique, technique, organisationnel et juridique ont été définies sur la base d’une analyse de risques des différentes familles de traitements de données à caractère personnel concernés, et sont mises en œuvre par DEKRA France, ses services support et ses sous-traitants engagés par contrat, pour assurer la protection des données à caractère personnel.
• Chaque fois que les risques présentés par un traitement le nécessitent, DEKRA Personnel réalise une analyse d’impacts sur la vie privée et la protection des données à caractère personnel des personnes concernées, afin d’adopter des mesures adaptées à ces risques.
• DEKRA Personnel et ses sous-traitants se sont engagés à concevoir des outils et systèmes satisfaisant dans la mesure du possible à la Règlementation et la protection de la vie privée des personnes concernées, en intégrant le respect de ces règles au stade de la conception et du développement.
• DEKRA Personnel et ses sous-traitants sont engagés à veiller à toute violation éventuelle et exceptionnelle de données et à prendre toutes les mesures de protection et de correction consécutives à une violation en informant la CNIL et le cas échéant, les personnes concernées.

Chez DEKRA Personnel tous les salariés et intervenants sont sensibilisés ou sont en voie de l’être aux principes de protection des données tels que contenus dans la réglementation par des formations régulières programmées et adaptées à leur activité et à leurs responsabilités.
Les collaborateurs ont accès uniquement aux informations nécessaires à leur activité. Les données sensibles font l’objet d’habilitations et de contrôles spécifiques.

DEKRA Personnel a désigné un délégué à la protection des données afin de veiller au respect de la Réglementation et des règles décrites au sein de la présente Politique Générale de protection des données.
Des Relais „Informatique et Liberté“ sont désignés par principe au sein des filiales. Des DPO peuvent également être désignés dans chaque filiale conformément à l’analyse de risques effectuée.

Le délégué à la protection des données veille notamment à :

• • L’établissement et à la mise à jour d’un registre des traitements de données à caractère personnel mis en œuvre dans l’entreprise et dans chacune des personnes morales composant le groupe en France,
  • S’assurer de la conformité des pratiques avec la réglementation et ses évolutions,
  • Sensibiliser l’ensemble des équipes de DEKRA Personnel aux exigences et bonnes pratiques en matière de protection des données à caractère personnel,
  • L’exercice effectif des droits des personnes concernées.

Le délégué à la protection des données est joignable aux coordonnées suivantes :

• Par mail: info.dekrapersonnel@dekra.com
• Par courrier :
  Délégué à la Protection des Données
  DEKRA Personnel France
  85 Bd Haussmann 75008 Paris

DEKRA Personnel utilise les données à caractère personnel pour les objectifs principaux suivants :

• La gestion de son portefeuille clients et de ses gammes de prospects,
• La fourniture de services en ligne aux professionnels (‘B to B) et au particuliers (B to C) via le site web, via des services accessibles depuis le site web de leurs prestataires ou dans le cadre d’applications mobiles,
• La gestion des ressources humaines et des recrutements,
• La gestion des contacts professionnels externes, comprenant l’information des professionnels et du grand public,
• L’analyse statistique de ses activités,
• La prospection commerciale des professionnels et autres personnes physiques, sous réserve de leur consentement.

Les traitements ci-dessus sont nécessaires à l’exécution d’un contrat passé entre une personne concernée et DEKRA Personnel afin de poursuivre un intérêt légitime tel que par la satisfaction d’une obligation légale ou encore l’information des contacts professionnels sur les activités de DEKRA France, ou dans certains cas, basés sur le consentement explicite de la personne concernée.

Selon les différents traitements décrits ci-dessus, DEKRA Personnel détermine les destinataires des données en fonction de leurs missions et de leurs habilitations à recevoir les données dans le respect des finalités déterminées. Par application du principe de minimisation et dans la mesure du possible, seules les personnes dont il a été déterminé qu’elles avaient un regard sur les informations ont accès aux données.

DEKRA Personnel a déterminé des règles précises concernant la durée de conservation des personnes concernées, afin d’en limiter sa stricte conservation.
Au terme de la durée ainsi fixée et suivant le cas, les données à caractère personnel font l’objet de ces mesures :

• Suppression,
• Anonymisation irréversible,
• Archivage.

La sécurité des données porte sur les mesures prises afin de protéger les données des faits suivants :

• La destruction,
• La perte
• L’altération,
• La divulgation non autorisée,
• Conservées ou traitées,
• L’accès non autorisé

Et ce de manière accidentelle ou illicite.
Afin de garantir la sécurité de ces données, DEKRA Personnel et ses sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques.
En particulier et chaque fois que nécessaire, les mesures suivantes ont été prises :

• La pseudonymisation et le chiffrement des données à caractère personnel ;
• Le déploiement de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des traitements ;
• Le déploiement de moyens permettant de rétablir la disponibilité des données et l’accès à dans des délais appropriés en cas d’incident physique ou technique ;
• La mise en œuvre d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Ainsi, DEKRA Personnel et ses sous-traitants se sont dotés de dispositifs adaptés et conformes aux règles de l’art et aux normes imposées pour garantir la protection de vos données personnelles.
Les sites internet et toutes applications mobiles proposés par DEKRA Personnel sont sécurisés, en particulier pour les sites web par un „protocole de transfert hypertexte sécurisé“ chaque fois que cela est nécessaire.
Les pages où sont collectées vos données personnelles font l’objet d’un dispositif supplémentaire de sécurité renforcée.

Chaque personne concernée dispose des droits suivants :

• D’accéder à vos données (droit d’accès) : la personne concernée peut demander directement à DEKRA Personnel si elle détient des informations sur elle, et demander que lui soit communiquée la liste des données,
• De demander leur rectification (droit de rectification) : la personne concernée peut demander la rectification des informations inexactes la concernant. Le droit de rectification complète le droit d’accès,
• De demander l’effacement de ses données (droit à l’oubli) : la personne concernée peut demander l’effacement des informations la concernant, pour un motif prévu par la Règlementation,
• De demander la limitation du traitement de ses données (droit à la limitation) : la personne concernée peut obtenir la limitation du traitement de ses données, pour un motif prévu par la Règlementation,
• De demander la portabilité de ses données (droit à la portabilité) : la personne concernée peut demander à recevoir les données qu’elle a fourni à DEKRA France, ou demander à DEKRA Personnel qu’elles soient transmises à un autre responsable de traitement pour un motif prévu par la Règlementation,
• De définir des directives anticipées relatives au sort de ses données après son décès.

La personne concernée peut également s’opposer pour des motifs légitimes, à ce que les données la concernant soient traitées, diffusées, transmises, conservées ou hébergées.
Pour plus d’informations sur la signification des droits ; la CNIL a créé une rubrique dédiée à la compréhension des droits : https://www.cnil.fr/fr/comprendre-vos-droits.
Pour exercer ses droits, la personne concernée peut contacter le délégué à la protection des données de DEKRA Personnel :

• Par email:info.dekrapersonnel@dekra.com
• Par courrier :
  Délégué à la Protection des Données DEKRA Personnel
  DEKRA Personnel
  85 Bd Haussmann 75008 Paris

Pour faciliter les démarches et accélérer le délai de traitement, DEKRA Personnel invite chaque personne concernée, lors de l’envoi d’une demande d’exercice des droits, à :

• Indiquer quel(s) droit(s) elle souhaite exercer,
• Mentionner clairement son nom / prénoms / coordonnées auxquels elle souhaite recevoir les réponses,
• Joindre une copie d’une pièce d’identité.

Tous les traitements de données à caractère personnel sont mis en œuvre par DEKRA Personnel dans le respect du consentement des personnes concernées et dans quelques cas prévus par la Règlementation, le consentement explicite, autrement dénommé exprès de la personne est requis.
Chaque fois que le consentement explicite de la personne est requis par la Règlementation, il est recueilli au préalable par DEKRA Personnel et la personne concernée peut à tout moment retirer son consentement, en s’adressant au responsable de traitement DEKRA Personnel ou à son DPO.

Chaque personne concernée dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle de protection des données.
En France, cette autorité est la CNIL dont voici les coordonnées :

• Site internet : www.cnil.fr
• Téléphone : 01 53 73 22 22
• Adresse postale :
  CNIL
  3 Place de Fontenoy
  TSA 80715
  75334 PARIS CEDEX 07

Par principe, DEKRA Personnel n’effectue pas de transferts de données à caractère personnel hors de l’Union Européenne.
Lorsque de tels transferts de données hors UE s’avèrent indispensables pour la qualité des prestations de services vendus par DEKRA, nos conditions Générales de Vente les mentionnent ainsi que les partenaires auxquels ces données dont transférées et leur pays de localisation.
DEKRA s’engage, dans une telle occurrence à avoir fait signer audit partenaire un accord de transfert hors UE conforme aux exigences de la Réglementation.

Les cookies sont des données stockées dans l’équipement terminal d’un Internaute et utilisées par un site Internet pour envoyer des informations au navigateur de l’Internaute et permettant à ce navigateur de renvoyer des informations au site d’origine (par exemple un identifiant de session, le choix d’une langue ou une date). Vous êtes informé que, lors de vos visites sur nos sites internet, des cookies (témoins de connexion) peuvent être installés sur votre logiciel de navigation. Pour en savoir plus sur les cookies, notamment comment les gérer et comment les bloquer, veuillez consulter la rubrique Cookies.

La politique de protection des données est susceptible d’évoluer. En cas d’évolution des éléments mentionnés dans la présente politique DEKRA Personnel s’engage à la modifier et à informer les personnes concernées au préalable avant la mise en œuvre des modifications qui pourraient impacter les données à caractère personnel.
Date de publication de la politique de confidentialité : Février 2019