POLITIQUE DE CONFIDENTIALITÉ ET DE PROTECTION

DES DONNÉES PERSONNELLES

SITE INTERNET ALKERN Version 0.1 du 01/01/2024

 

La présente politique de protection des données à caractère personnel (RGPD) (« Politique ») décrit quels types de données à caractère personnel ALKERN peut être amenée à collecter au moyen du site https ://www.alkern.fr (ci-après le « Site ») ainsi que la manière dont les données peuvent être utilisées. 

Toutes les opérations sur vos données à caractère personnel sont réalisées dans le respect de la réglementation en vigueur et notamment de la loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978. Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toutes évolutions législatives, réglementaires, jurisprudentielles ou techniques. Vous devez vous référer avant toute navigation à la dernière version de la présente Politique de confidentialité. 

 Notre objectif est de vous communiquer notre Politique et de vous faire part régulièrement sur cette page des modifications éventuelles apportées à cette Politique, afin que vous soyez toujours pleinement informé des catégories d’informations que nous recueillons, de la manière dont nous les utilisons. La Politique fait partie intégrante des conditions générales d’utilisation du Site dont l’internaute déclare avoir pris connaissance. 

 

1. Qui collecte les Données à Caractère Personnel ?

 Le responsable des traitements réalisés à partir du Site est : 

ALKERN France (ci-après dénommée ALKERN) 
SAS au capital de 7 886 112,00 euros 
Immatriculée au RCS de Arras sous le numéro 896 850 286 
Dont le siège social est situé : 
Parc de la Motte au bois 
Rue André Bigotte 
62440 Harnes 

 

2. Utilisation et finalités de traitement des Données à Caractère Personnel

La notion de « Données à Caractère Personnel » désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par un ou plusieurs éléments qui lui sont propres. 

 Les Données à caractère Personnel sont les informations vous concernant qui permettent de vous identifier tels que le prénom, nom, adresse postale, email, téléphone, société et toute autre Donnée à caractère Personnel utile dans le cadre des finalités définies ci-après. 

 

Finalité de traitement mise en œuvre par ALKERN 

Base légale 
  • Gestion des demandes via les formulaires de contact ; 
  • Intérêt légitime de ALKERN 
  • Envoi d’offres commerciales ciblées par email, SMS, ou courrier postal 

 
  • Consentement de l’internaute 
  • Intérêt légitime pour les envois de prospection 
  • Mesure de fréquentation du Site et fonctionnalité de partager sur les réseaux sociaux 
  • Consentement de l’internaute 
  • Fourniture d’accès aux outils Calcul de PSI et Calepinage  
  • Exécution du contrat passé entre un Utilisateur et ALKERN 
  • Intérêt légitime  
  • Gestion des demandes via le configurateur de besoin AMEX 
  • Consentement de l’internaute 
  • Intérêt légitime ALKERN 

 

 Les données sont uniquement exploitées dans le cadre des finalités ci-dessus. En aucun cas, les données personnelles complétées ne seront transmises, louées ou commercialisées à des tiers. 

 

 3. Durée de conservation des Données à Caractère Personnel

 4. Droits des personnes

 En application des articles 15 à 22 du règlement 2016/679 du 27 avril 2016, toute personne physique dont les données ont été collectées a la faculté d’exercer les droits suivants : 

 L’internaute peut également formuler des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès conformément à l’article 40-1 de la loi 78-17 du 6 janvier 1978. Ces directives peuvent être générales ou particulières. 

 Enfin, il a la faculté de retirer son consentement à tout moment. 

 Ces droits peuvent être exercés auprès de ALKERN en adressant une demande à l’adresse : protectiondesdonnees@alkern.fr ou par courrier postal à l’adresse :   ALKERN – Parc de la Motte aux bois Rue André Bigotte- 62440 Harnes 

 Après vérification de votre identité, ALKERN adresse une réponse dans un délai d’1 mois après l’exercice du droit. Dans certains cas, liés à la complexité de la demande ou au nombre de demandes, ce délai peut être prolongé de 2 mois. 

 Ces droits peuvent, dans certains cas prévus par la règlementation, être soumis à exceptions. 

 Sans réponse ou en cas de réponse non satisfaisante, l’internaute a la faculté de saisir l’autorité de contrôle sur la protection des données (la CNIL : www.cnil.fr). 

 

 6. Destinataires des données

 Vos données sont susceptibles d’être transmises à des partenaires de ALKERN qui peuvent traiter les données pour leur compte (ce sont des destinataires) ou uniquement pour le compte et selon les instructions de ALKERN (ce sont des sous-traitants). 

 Les sous-traitants de ALKERN sont utilisés pour les opérations suivantes : 

 7. Sécurité et confidentialité

 Notre société prend toutes les mesures de protection utiles pour assurer la confidentialité et la sécurité des Données à Caractère Personnel concernant les utilisateurs et empêcher que les dites données ne soient endommagées, effacées ou que des tiers non autorisés y aient accès. L’accès aux Données à Caractère Personnel est strictement limité aux personnes habilitées en raison de leurs fonctions et qui sont tenues par une obligation de confidentialité. Cependant, aucune transmission ou stockage de données personnelles n’est jamais totalement sécurisée. En conséquence, nous ne pouvons pas garantir la sécurité infaillible de l’information transmise ou stockée sur le serveur d’hébergement ou notre infrastructure informatique. 

 

 8. Protocole de cryptage (HTTPS / SSL)

 HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l’intégrité ainsi que la confidentialité des données lors du transfert d’informations entre l’ordinateur de l’internaute et le Site. Le protocole HTTPS est présent sur notre Site afin de permettre aux internautes de le consulter en toute sécurité, quel que soit son contenu. Cela évite que les données personnelles saisies et envoyées via le formulaire soit facilement lues par des tiers lors de leur transit. 

 

 9. Hébergement du Site – Transferts hors de l’Union européenne

 Le serveur d’hébergement du Site est situé en France, au sein de l’Union Européenne. Notre société s’engage à procéder à aucun transfert de Données à Caractère Personnel à destination d’un État non membre de la Communauté Européenne. 

 

 10. Fichiers journaux (Logs serveur) & politique de sécurité

 Les journaux d’évènements sont des fichiers textes enregistrant de manière chronologique les évènements exécutés lors de l’accès au Site. L’analyse des journaux peut permettre de comprendre le cheminement d’une attaque et d’évaluer son impact. Notre Site utilise les journaux d’évènements car ils s’intègrent à notre politique de sécurité afin de prévenir les risques, d’identifier des incidents de sécurité et de réduire les vulnérabilités. Ils ne sont pas utilisés à d’autres fins. Les journaux d’évènements sont conservés pendant un an. 

 

11. Cookies

 Un cookie est un petit fichier texte qui peut être placé sur votre terminal à l’occasion de la consultation d’un Site Web. Un fichier cookie permet à son émetteur d’identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d’enregistrement dudit cookie. Certains cookies sont indispensables à l’utilisation du Site, d’autres permettent d’optimiser et de personnaliser les contenus affichés et d’assurer une expérience utilisateur optimale et adaptée aux préférences personnelles. 

 Notre société demande à toutes ces sociétés externes de respecter la loi « Informatique et Libertés » du 6 janvier 1978. Nous vous informons de l’objet des cookies tiers dont nous avons connaissance et des moyens dont vous disposez pour effectuer des choix à l’égard de ces cookies. 

 Le Site utilise plusieurs catégories de cookies dont les finalités sont décrites ci-après : 

 Vous disposez de différents moyens pour gérer vos cookies. Vous pouvez à tout moment choisir de désactiver ces cookies au sein du Site grâce au gestionnaire de consentement implémenté par ALKERN. Vous pouvez les accepter ou les refuser au cas par cas ou bien les refuser systématiquement. Nous vous rappelons que le paramétrage est susceptible de modifier vos conditions d’accès à nos services nécessitant l’utilisation de cookies. 

 Selon le type de cookies que vous souhaitez désactiver, vous pouvez également paramétrer vos choix au sein de votre navigateur. 

 La plupart des navigateurs acceptent les cookies par défaut. Cependant, vous pouvez décider de bloquer ces cookies ou demander à votre navigateur de vous avertir lorsqu’un Site Web tente d’implémenter un cookie sur votre terminal. 

 Pour changer la gestion des cookies de votre navigateur, vous pouvez modifier les réglages dans l’onglet confidentialité. Attention, certaines fonctionnalités du Site peuvent ne plus fonctionner. 

 La configuration de chaque navigateur est différente. Elle est décrite dans le menu d’aide de votre navigateur, qui vous permettra de savoir de quelle manière modifier vos souhaits en matière de cookies. 

 

Pour Chrome : https://support.google.com/chrome/answer/95647?hl=fr&hlrm=en 

Pour Internet Explorer : http://windows.microsoft.com/fr-FR/windows-vista/Block-or-allow-Cookies 

 Pour Microsoft Edge : https://support.microsoft.com/en-us/microsoft-edge/delete-cookies-in-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09 

 Pour FireFox : http://support.mozilla.org/fr/kb/cookies-informations-sites-enregistrent?redirectlocale=fr&redirectslug=G%C3%A9rer+les+cookies 

 Pour Opéra : http://help.opera.com/Windows/10.20/fr/cookies.html 

 

GESTION DES DROITS DES PERSONNES SUR LES

DONNÉES À CARACTÈRE PERSONNEL 

ALKERN – PROCESS INTERNE

 Version 1.0 du 01/01/2024

 1. Synthèse des droits existants

. Droit d’accès

La personne souhaite obtenir communication des données personnelles que l’entreprise détient sur elle.

. Droit de rectification

La personne souhaite que les données inexactes soient rectifiées ou complétées.

. Droit à l’effacement

La personne souhaite que ses données personnelles soient effacées

. Droit à la limitation du traitement

La personne souhaite temporairement que les traitement opérés par l’entreprise sur ses données soient limités.

. Droit à la portabilité des données

La personne souhaite récupérer ses données personnelles dans un format exploitable pour les transmettre à une autre société ou souhaite que l’entreprise transmette directement les données à une autre entreprise.

. Droit d’opposition au traitement de données

La personne s’oppose à recevoir des prospections commerciales. 

 

 2. Synthèse de la procédure de gestion des droits

 La gestion d’un droit exercé par un individu doit suivre le parcours suivant :  

  1. Envoi d’une demande par une personne physique à l’adresse de contact dédiée créée par l’entreprise.
  2. Réception de la demande de l’individu et vérification de son identité. En cas de doutes, un justificatif d’identité peut être demandé.
  3. Instruction de la demande. Sollicitation des personnes concernées en interne (DPO, DSSI…)
  4. Réponse à la personne concernée. En cas de transmission de données (accès ou portabilité), un moyen sécurisé doit être utilisé.
  5. Archivage du dossier pendant 5 ans.

DÉLAI DE TRAITEMENT DE 1 MOIS (prolongeable de 2 mois en cas de difficultés justifiées)

 

 3. Gestion interne des demandes de droit

 

 3.1 Tableau de suivi des demandes

 Le tableau suivant doit être complété pour chaque demande d’exercice de droit afin de pouvoir opérer un suivi des demandes. 

Numéro de demande  Date de la demande  Identité de la personne  Adresse de contact  Type de demande  Pièce d’identité  Commentaire  Statut 
               

3.2 Adresse de contact dédié à l’exercice des droits

L’adresse d’exercice des droits dédiée pour l’Entreprise est : protectiondesdonnees@alkern.fr 

 

4. Gestion des demandes de droit : éléments communs à tous les droits

4.1 Identité du demandeur

Le responsable du traitement doit répondre à une demande après s’être assuré de l’identité du demandeur sous peine de communiquer des informations à un tiers non autorisé.  

En cas de doute sur l’identité de la personne, un justificatif peut être demandé à l’individu. 

Les modalités de cette vérification d’identité sont au choix du responsable de traitement, qui doit l’adapter à la sensibilité du traitement et des données personnelles, mais il ne saurait être question de chercher à gêner l’exercice du droit d’accès en formulant des exigences trop élevées. 

Concernant les pièces d’identité acceptées, il est possible de s’inspirer de la liste définie par le code électoral. L’arrêté du 12 décembre 2013 pris en application des articles R. 5 et R. 60 du code électoral liste treize pièces pour les ressortissants français et celles que doivent produire les ressortissants de l’Union européenne. 

Pour les mineurs, il faut demander une copie du livret de famille en plus de la justification d’identité. 

Le droit d’accès est, certes, personnel, mais le titulaire peut tout à fait donner mandat à un tiers. 

 4.2 Délai de réponse à un droit

 L’Entreprise doit répondre dans un délai d’1 mois.  

 Elle a la possibilité de prolonger le délai de réponse de deux mois (total : 3 mois) dans le cas où la demande est complexe et qu’en parallèle vous faites face à un grand nombre de demandes.  

 Toutefois, l’Entreprise est tenue d’informer la personne concernée de ce report dans un délai d’un mois à compter de la réception de la demande complète (soit le délai initial) et de fournir les motifs qui justifient le retard. 

 Il est prudent de conserver pendant un temps raisonnable une copie des éléments communiqués au demandeur (en sus du courrier de réponse), pour prouver la bonne diligence, pour traiter un éventuel droit de suite (correction, opposition, suppression), voire même un éventuel litige. 

 

 4.3 Demande abusive 

 L’Entreprise n’est pas tenue de répondre (de fournir les données demandées) à une demande manifestement abusive.  

 Le caractère manifestement abusif, se caractérise par le nombre, le caractère répétitif ou systématique de la demande.  

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.  

 Le RGPD laisse le choix au responsable du traitement confronté à une demande manifestement infondée ou excessive, soit d’exiger le paiement de frais raisonnables liés aux coûts administratifs que cela suppose, soit de refuser de donner suite à une telle demande (Article 12 5°). 

 L’Entreprise s’appuie sur son DPO quant à l’analyse du caractère abusif de la demande.  

 Le raisonnement suivi par le DPO est à documenter, pour conserver trace de sa propre doctrine et rester cohérent lors des analyses du même type à venir. 

 

 5. Spécificités du droit d’accès

 

 5.1 Catégories de données visées par le droit d’accès

 L’article 15 du RGPD prévoit de communiquer une copie des données faisant l’objet du traitement. Toute donnée traitée par l’entreprise doit donc être communiquée à l’individu. 

 (Exemple pour un client : factures / date d’envoi des newsletters / historique de navigation / historique d’achat / historique lié au SAV. Exemple pour un salarié : Historique des congés ou absences / fiches de paie / Planning / données d’un système de badge / données d’un outil de géolocalisation…) 

 Dans sa délibération°2007-046 du 15 mars 2007, la CNIL indique que : « les informations enregistrées dans les zones dites bloc-notes, zones libres ou commentaires sont des données à caractère personnel au même titre que les données relatives au contrat client ». En conséquence, elles doivent également être communiquées. 

 Par ailleurs, en transmettant les données, il convient également de fournir à l’individu une liste étoffée d’informations : 

– La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement (article 15.1) ; 

– Les données à caractère personnel qui la concernent (article 15.1) ; 

– Les finalités du traitement (article 15.1.a) ; 

– Les catégories de données concernées (article 15.1.b) ; 

– Les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier ceux qui sont établis dans des pays tiers ou les organisations internationales (article 15.1.c) ; 

– La durée de conservation des données envisagée, ou si ce n’est pas possible, les critères utilisés pour déterminer cette durée (article 15.1.d) ; 

– La possibilité d’exercer auprès du responsable du traitement les droits de rectification des données, d’effacement des données, d’opposition au traitement, et à la limitation du traitement (article 15.1.e); 

– Le droit d’introduire une réclamation auprès d’une autorité de contrôle (article 15.1.f) ; 

– Toute information disponible quant à la source des données la concernant lorsqu’elles ne sont pas collectées directement auprès d’elle (article 15.1.g) ;  

– L’existence d’une prise de décision automatisée, y compris un profilage, ou du moins des informations utiles concernant aussi bien la logique sous-jacente que l’importance et les conséquences prévues de ce traitement pour elle (article 15.1.h) ; 

– Les garanties appropriées en cas de transfert des données la concernant vers un pays tiers ou à une organisation internationale (article 15.2).  

Avant que la réponse soit adressée, le DPO / PERSONNE HABILITÉE EN INTERNE veillera à sa complétude. 

 L’article 15.1.h) du RGPD indique que la personne concernée a le droit d’obtenir « des informations utiles » à propos de la logique sous-jacente du traitement de données qui entraîne une prise de décision automatisée. Précisant que la personne concernée a également le droit de se voir communiquer l’importance et les conséquences issues de ce traitement. 

 5.2 Recherches

 À moins de précision de la part du demandeur, la recherche doit porter en priorité sur les applications majeures ALKERN et celles dont la personne concernée a naturellement connaissance (gestion de ses commandes, dossier du personnel, etc.). 

 Dans certains cas particuliers à identifier (dont le service Ressources humaines), les informations peuvent également être cherchées dans les dossiers papier. 

 La réponse doit être rédigée de manière claire et lisible. Pour se faire, les codes et abréviations qui figureraient sur les documents communiqués au demandeur doivent être explicités.  

 Le DPO / PERSONNE HABILITÉE EN INTERNE y veille (en essayant de se mettre « à la place » du demandeur) et formule ses conseils. 

 5.3 Limites

 Le RGPD limite le droit d’accès en fonction du droit des tiers. Il indique dans son considérant 63 que ce droit doit s’exercer sans porter atteinte aux droits et libertés d’autrui, ni au secret des affaires ou à la propriété intellectuelle, « notamment au droit d’auteur protégeant le logiciel ». 

 5.4 Salariés

 Un salarié doit pouvoir accéder à l’ensemble des données de gestion des ressources humaines qui ont servi à prendre une décision à son égard (quel qu’en soit le support – le dossier papier, sur lequel des notes manuscrites peuvent avoir été portées, doit également pouvoir être accédé), mais le salarié (ou l’ancien salarié) n’a pas le droit d’accéder aux données concernant la situation personnelle d’un tiers, notamment d’un autre salarié, et aux données prévisionnelles de carrière (potentiel de carrière, classement), sauf si ces données ont été prises en compte pour décider de son augmentation de salaire, de sa promotion, de son affectation, etc. 

 

 6. Spécificités du droit de rectification

 

 Lorsqu’une personne demande que ses données soient rectifiées, il convient de vérifier si les données ont été transmises par l’entreprise à un destinataire. 

 Dans ce cas, si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit de rectification.  

 

7. Spécificités du droit à l’effacement (droit à l’oubli)

 

 Une personne a le droit d’obtenir l’effacement des données lorsque : 

 Le droit à l’effacement sera limité dans les cas suivants : 

Si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit à l’effacement. 

 

 8. Spécificités du droit à la limitation du traitement

 

 Le droit à la limitation du traitement est un droit temporaire.  

Pendant la limitation du traitement, les données peuvent être conservées par le responsable de traitement à l’exclusion de tout autre traitement. 

Il s’applique dans les cas suivants :  

Si l’Entreprise donne droit à la demande, elle doit également demander aux destinataires de tenir compte de ce droit à la limitation. 

 

 9. Spécificités du droit à la portabilité des données

 

9.1 Étendue du droit à la portabilité

 Le droit à la portabilité des données ne concerne que les données qui ont été fournies par l’individu à l’entreprise. 

Cela ne concerne donc pas les données générées par l’entreprise (données enrichies et données nouvelles) sur cet individu et qui n’auraient pas été collectées directement auprès de cet individu. 

Ex : Un client fournit son nom, prénom et adresse email. L’entreprise catégorise ce client comme un « client gold ». 

Dans ce cas, le droit à la portabilité des données ne portera que sur le nom, prénom et l’adresse email. 

A noter que le droit à la portabilité ne porte pas atteinte aux droits et libertés de tiers à cette demande. 

 9.2 Bases juridiques pour lesquelles le droit à la portabilité s’applique

À noter que le droit à la portabilité ne s’applique que pour les traitements qui se basent sur le consentement de l’individu ou sur l’exécution d’un contrat à l’exclusion de toute autre base juridique. 

 9.3 Méthode de mise à disposition des données

 Pour le droit à la portabilité, il y a deux hypothèses : 

 En l’absence de précisions de l’individu, les données doivent lui être remises dans un format générique exploitable et interopérable (ex : doc .csv .rtf…). 

 10. Spécificités du droit d’opposition au traitement de données : hypothèses de droit d’opposition

 

Le droit d’opposition est de deux ordres : 

 Le premier droit d’opposition s’applique lorsque la personne concernée justifie de raisons propres à sa demande et que l’entreprise ne peut démontrer aucun motif légitime et impérieux de conserver les données. 

Le droit d’opposition spécifique à la prospection commerciale et au profilage à des fins de prospection s’applique sans motif. Dès lors, l’Entreprise doit y donner droit dans tous les cas. 

Exemples de droit d’opposition à la prospection commerciale : Désabonnement email / désabonnement SMS / Désabonnement prospection par courrier.