RGPD

Mon espace Juridique

Service Compliance et RGPD

La compliance (ou "conformité" en français") regroupe l’ensemble des processus destinés à assurer qu’une entreprise, ses dirigeants et ses salariés respectent les normes juridiques et éthiques qui leur sont applicables.

La personne en charge de la compliance veille ainsi à préserver son entreprise des risques financiers, juridiques et réputationnels qu’encourt l’organisation lorsqu’elle ne respecte pas les lois, la règlementation, des conventions, ou tout simplement une certaine éthique ou déontologie. En effet, lorsqu’une entreprise est mise en cause, les conséquences sont tout à la fois financières, commerciales et humaines : la société en question va forcément pâtir de la réputation qui lui est faite, puisqu’une image ternie va rendre plus difficile un accès aux financements.

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018.

Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs :

  • renforcer les droits des personnes

  • responsabiliser les acteurs traitant des données

  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. 

Le délégué à la protection des données, aussi appelé DPO pour « Data Protection Officer », est la personne en charge de la protection des données à caractère personnel au sein de l'entreprise et de la conformité au RGPD. Il doit s’assurer que l'organisme respecte la réglementation applicable dans le cadre de la protection des données personnelles et de la vie privée.

Le DPO accompagne son organisme dans sa mise en conformité, et dans le maintien de celle-ci dans le temps aussi, cette mission est confier au Responsable Compliance au sein d'Evel&Quadral.

Les bons réflexes lors d'un rendez-vous avec un client ou un tiers

Aucune donnée à caractère personnel ne doit être accessible aux tiers.

Aucun dossier visible, comportant des données personnelles (ex : nom du client sur un dossier)

Ne pas laisser les tiers, seuls dans les locaux, et les accompagner à l'entrée et à la sortie des bureaux.

Pour les nouveaux clients ou prospects : Faire signer les formulaires de consentement de recueil de leurs données personnelles.

Pensez à fermer vos armoires.

Verrouillez votre ordinateur quand cela est nécessaire.

La protection des données à caractère personnel UES Evel & Quadral

Cette information relative à la protection des données des collaborateurs concerne et s'applique aux données personnelles des employés actuels et anciens, traitées par la société ainsi qu’aux membres du CSE de l’UES EVEL & QUADRAL. Le traitement comprend la collecte, le stockage, la récupération, la modification, la divulgation ou la destruction de données personnelles.
Lorsque cela est requis par les lois locales, et dans certains cas très exceptionnels, la société ou le CSE peuvent détenir des catégories particulières de données personnelles (également connues sous le nom de données sensibles) à votre sujet.

Concernant l’UES Evel & QUADRAL, ce type de données peut inclure des informations sur votre santé (arrêt de travail et visite médicale), ou votre casier judiciaire lorsque la production de celui-ci est nécessaire au poste occupé. Si collectées, ces catégories particulières de données personnelles seront traitées pour répondre aux responsabilités légales de la société ou, le cas échéant, pour la gestion et l'administration du personnel, par exemple, correspondance et aptitude à l'emploi, assurance, maladie et congés de maladie, absences, maternité et congé parental, et droits et environnement de travail sécurisé.

Concernant le CSE, Ce type de données peut inclure des informations sur votre santé (arrêt de travail uniquement les accidents de travail notamment dans le cas d’un envoi à domicile d’une « œuvre sociale » quand cela est nécessaire),
La société peut, dans certaines circonstances, vous demander votre consentement explicite pour tout traitement, sauf si ce traitement est lié à une obligation légale ou lorsque la loi le permet. Lorsque la société est légalement tenue d'obtenir un consentement explicite, elle ne traitera que des catégories particulières de données personnelles soumises à votre consentement libre et sans ambiguïté.
Les données collectées par l’UES Evel & QUADRAL sont :
  • Les données personnelles : nom du collaborateur, adresse personnelle, adresse électronique, numéro de téléphone (y compris le numéro de portable personnel) et autres coordonnées, numéro d'identité nationale/registre/assurance/sécurité sociale, images, date de naissance, citoyenneté et nationalité, sexe, les détails des compétences linguistiques et, si applicable selon la loi, les détails concernant le service militaire,
  • La famille et les relations sociales : la composition de la famille (y compris l'état matrimonial ou le partenariat, le nom du conjoint et/ou des personnes à charge), les bénéficiaires désignés et les coordonnées d'urgence,
  • L’éducation et la formation : la formation scolaire et professionnelle (y compris les qualifications, les notes, la fréquentation des établissements d'enseignement et la formation reçue), statut d'étudiant et maîtrise de la langue parlée/écrite/lue,
  • Les détails de l'emploi : le statut de l'emploi, dossiers et prévisions d'emploi, notes de formations, évaluations, vacances ou congés annuels, conditions du contrat de travail, détails des mesures disciplinaires, données sur l’aptitude à occuper le poste et la sécurité, détails sur la participation aux avantages, autorisation de travail/éligibilité/permis/obligation de visa/statut, numéro d'employé, numéro d'identification de l'entreprise, titre/unité/département/emplacement, fonctions et description du travail, modalités de travail (temps plein/temps partiel), lieu(x) de travail, données d'ancienneté, âge de la retraite, durée du contrat, date/réembauche/de licenciement, hiérarchie du superviseur, détails de gestion hiérarchique, autorisation de sécurité, antécédents professionnels et expérience, détails sur la mobilité/volonté de déménager, informations sur les accidents du travail, informations sur la santé au travail.
L’accès aux données est strictement limité aux salariés de l’entreprise disposant d’une habilitation attribuée pour traiter lesdites données en raison de leurs fonctions autant pour l’UES Evel & QUADRAL que pour le CSE.

Concernant l’UES Evel & QUADRAL, il s’agira principalement du personnel gérant les Ressources Humaines, de la Direction Générale, et des services comptables et financiers pour les éventuels flux monétaires vous liant à la société. L’ensemble de ces personnes étant soumis aux règles de confidentialité.

Concernant le CSE, l’accès aux données est strictement limité aux membres du CSE disposant d’une 
habilitation attribuée pour traiter lesdites données en raison de leurs fonctions. Il s’agira principalement du secrétariat général et de la trésorerie du CSE.

A noter que le Service Informatique de l’UES Evel & QUADRAL peut également avoir accès aux logs de connexion en cas de dysfonctionnement ou de contrôle manuel (voir charte informatique) mais uniquement en raison d’une demande ou d’une autorisation effectuée par un membre de la Direction ou un Manager (voir Charte “Utilisateurs” des ressources informatiques, des outils numériques et de communication électronique de l'Unité Économique et Sociale (UES) EVEL & QUADRAL pour plus de précisions). 
Concernant l’UES Evel & QUADRAL, le fondement juridique du traitement est l’exécution d’un contrat de travail entre l’employeur et le salarié ainsi que l’intérêt légitime du Groupe et les obligations légales auxquelles peut être soumis le Groupe au regard des législations actuelles et futures.

Concernant le CSE, le fondement juridique du traitement de vos données personnelles se fait sur la base d’une obligation légale et sur le consentement selon ses activités.
Concernant l’UES Evel & QUADRAL, les données personnelles traitées proviennent de la fiche de renseignements que vous avez remplie lors de votre entrée dans le Groupe ou lors des informations transmises ponctuellement par vos soins aux différents services de Quadral SAS.

Concernant le CSE, les données personnelles traitées par le CSE viennent de la fiche de renseignement CSE que vous avez remplie lors de votre entrée dans l’une des sociétés du Groupe ou des informations transmises ponctuellement par vous aux services du CSE. Ainsi, c’est le service Ressources Humaines de Quadral SAS qui collecte lesdites données et qui les transmet au service du CSE mais sans en faire aucun traitement.
Concernant l’UES Evel & QUADRAL, pendant toute la durée de votre contrat de travail et même après la cessation de ce dernier quand cela est nécessaire, l’UES Evel & QUADRAL peut être amenée à traiter vos données personnelles à des fins liées à l’exercice de votre emploi, au recrutement, à l’évaluation, à la promotion, à la formation, à la rémunération, à la pension de retraite, à l’assurance et autres avantages, à l’impôt, aux autres retenues sur salaire, à la santé et à la sécurité, à la discipline, à la cessation de votre emploi.

La société peut également traiter des données personnelles si le but est de s'assurer du respect des exigences légales et réglementaires et des politiques de la société ainsi que de se conformer aux obligations contractuelles en matière d'administration, de rapport et de gestion et de planification des ressources.

Concernant le CSE, pendant toute la durée de votre contrat de travail et même après la cessation de ce dernier quand cela est nécessaire, le Conseil Social et Economique peut être amené à traiter vos données personnelles à des fins liées aux œuvres sociales qu’il met en place, aux sorties et voyages proposés et aux différentes réunions organisées toute l’année par le CSE.
Le Conseil Social et Economique peut également traiter des données personnelles si le but est de s'assurer du respect des exigences légales et réglementaires.
Vos données personnelles peuvent être partagées au travers de l’UES Evel & QUADRAL, si nécessaire, pour se conformer aux exigences légales applicables et dans son intérêt légitime.
La société peut également partager vos données personnelles, non sensibles, avec certains tiers et fournisseurs de services (par exemple, assureurs, mutuelles, conseillers juridiques et autres professionnels, fournisseurs de cartes de crédit d'entreprise, administrateurs de régimes de retraite, banque (RIB des employés) qu'elle a retenu pour fournir des services en son nom, pour fournir des avantages relatifs à l'emploi, ou à des fins légales/réglementaires. La société interdit à ces tiers d'utiliser ou de divulguer vos données personnelles, sauf si cela est nécessaire pour se conformer aux exigences légales.
La société peut divulguer vos données personnelles sans vous offrir la possibilité de refuser une telle divulgation dans les trois cas principaux :
  • Tel que permis par la loi ou requis par une procédure légale ;
  • Aux autorités chargées de l'application de la loi ou à d'autres représentants du gouvernement ;
  • Lorsque la société croit que la divulgation est nécessaire ou appropriée pour prévenir un préjudice physique ou une perte financière ou dans le cadre d'une enquête sur une activité illégale soupçonnée ou réelle.
La société se réserve le droit de transférer toute donnée personnelle vous concernant dans le cas où cette dernière vendrait ou cèderait tout ou partie de son activité ou de ses actifs, sans vous offrir la possibilité de vous retirer de ce transfert (sauf si exigé par les autorités locales).
Que cela concerne l’UES Evel & QUADRAL ou le CSE la conservation est effective pendant toute la durée de l’exécution du contrat de travail et après celle-ci, 5 ans à compter du départ du salarié ou du versement de la dernière paie, dans le cadre de la gestion du personnel et de la gestion de la paie.
Concernant la période de recrutement :
  • En cas d’issue favorable, le paragraphe précédent s’applique ;
  • En cas d’issue défavorable au candidat, le recruteur devra informer ce dernier de sa volonté de conserver son dossier, si ce dernier ne s’y oppose pas son dossier pourra être conservé pendant une durée de 2 ans après le dernier contact, sauf accord du candidat prolongeant cette durée.
Après cela vos données ne sont pas conservées, exception faite des obligations légales de l’employeur telle que la conservation des bulletins de paie 5 ans après le départ du salarié par exemple.
La société a pris toutes les dispositions nécessaires pour s'assurer que des mesures de sécurité appropriées soient en place pour protéger vos données personnelles.
Pour déterminer la sécurité appropriée, la société tient compte des développements technologiques et évalue les mesures en place contre le risque de préjudice pouvant découler d'une atteinte à la sécurité, en empêchant toute divulgation non autorisée, toute perte, toute destruction ou tout endommagement de vos données personnelles.
Les mesures relatives à la protection et à la conservation sont notamment :
  • La protection et sécurisation des locaux et bureaux (alarme anti-intrusion, accès sécurisé des salles informatiques par badge et fermeture sous clé des bureaux pouvant contenir des données personnelles,
  • La sécurisation des serveurs (sauvegarde périodique des données enregistrées sur les serveurs et stockage des sauvegardes sur un site extérieur),
  • Protection du réseau informatique interne (gestion sécurisée des réseaux),
  • Sécurisation des postes de travail (mot de passe robuste personnel (12 caractères) renouvelé tous les deux mois, suppression de façon sécurisée des données présentes sur un poste de travail préalablement à sa réaffectation, accord préalable de l’utilisateur pour la prise de contrôle à distance de son poste de travail)
Pour des raisons règlementaires ou organisationnelles, notre façon de conserver ou d’utiliser vos données à caractère personnel peut être amenée à évoluer.
Ainsi, nous nous réservons le droit de modifier les présentes dispositions et vous en serez informés le cas échéant.
Comme le prévoit le Règlement 2016-679 dit RGPD, les personnes physiques qui voient leurs données collectées par l’UES Evel & QUADRAL en vue d’un traitement se voient consacrer des droits. Ces droits sont les suivants :
  • Droit d’accès impliquant la possibilité d’obtenir la confirmation que ses données à caractère personnel sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que certaines informations ;
  • Droit de rectification impliquant la possibilité d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes et le cas-échéant que les données à caractère personnel incomplètes soient complétées ;
  • Droit à l’effacement impliquant l'effacement par le responsable de traitement, dans les meilleurs délais, de données à caractère personnel la concernant sous réserve que l'un des motifs prévus par le RGPD s'applique (par exemple les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées) ;
  • Droit à la limitation du traitement, dans la mesure où l’un des motifs du RGPD s’applique, ce qui implique que ces données ne peuvent, à l'exception de la conservation, être traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre ;
  • Droit à la portabilité des données impliquant la possibilité pour les personnes concernées de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et la possibilité de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ;
  • Droit d’opposition impliquant pour une personne, dans certaines conditions prévues par le RGPD, de pouvoir s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement ;
  • Le droit à la mort numérique qui a pour but de vous permettre d’organiser les modalités de conservation et de communication de vos données personnelles.
  • Droit d’introduire une réclamation auprès de l’Autorité française de contrôle de données personnelles (la CNIL), sans préjudice d’éventuels recours juridictionnels.
Des questions ?
Si vous avez des questions concernant le traitement de vos données personnelles tel que décrit dans le présent document, veuillez contacter votre Délégué à la Protection des données : à l’intention de Frédérique CARSIGNOL :
dpo@quadral.fr ou par courrier a Quadral SAS au 3 Place du Roi George – 57000 METZ

Les règles à respecter en matière de collecte de données personnelles

Ne collectez que les données strictement nécessaires à la réalisation de vos obligations professionnelles.

Pour les nouveaux clients ou prospects : Faire signer les formulaires de consentement de recueil de leurs données personnelles.

Lorsque vous êtes amenés à connaître des données personnelles sensibles (religion, santé, orientation sexuelle, prétendue origine raciale ou ethnique…), traitez ces données d’une manière plus sécurisée et discrète que les autres données (Cf. fiche des données sensibles).

Contactez le Délégué à la Protection des Donnée, Frédérique CARSIGNOL, pour toutes plaintes ou demandes de renseignements sur le traitement de leurs données personnelles.

Ne partagez jamais vos mots de passe, même entre collègues. Si vous avez besoin d’un accès temporaire à un fichier ou à un logiciel, application, demandez un accès temporaire au service informatique ou à l’éditeur de logiciel, application.

Pour les données personnelles envoyées par mail, pensez à supprimer le mail après les avoir enregistrées sur le serveur dédié.

Veillez à détruire les documents comportant des données personnelles par le biais d’un destructeur de documents.

Evitez, autant que possible, de collecter des informations relatives au genre (masculin ou féminin).

La sécurisation des données dans nos locaux

Ne pas connecter de clés USB ou de disque dur personnel à son ordinateur professionnel.

Verrouiller son ordinateur et outils mobiles dès que vous vous absentez.

Ne pas enregistrer de données personnelles sur les serveurs du Groupe conformément à la charte informatique (une tolérance vous est accordée et vous permet d’enregistrer, sous votre responsabilité, vos données personnelles sur le disque C de votre ordinateur).

Avoir un code "sécurisé" de verrouillage des appareils électroniques.

Veiller à la sécurité des appareils (ex : ne pas les laisser dans une voiture sans surveillance)

Déclarer rapidement au service informatique et au Délégué à la Protection des Données Groupe : Frédérique CARSIGNOL : le vol ou la perte de tout appareil électroniques professionnels.

Dispositif d'alerte éthique

Procédure d'alerte éthique

Les sociétés de l'UES EVEL & QUADRAL  veillent au respect des principes d’intégrité et d’éthique dans la conduite de l’ensemble de leurs activités, et encouragent les collaborateurs à agir pour assurer leur application effective à tous les niveaux. 

Afin de soutenir cet engagement, un dispositif commun d’alerte éthique a été mis en œuvre pour permettre de signaler, confidentiellement et sans crainte de représailles, toute situation préoccupante ou comportement inapproprié. 

Tous les collaborateurs sont tenus de connaître cette procédure et doivent veiller au respect de ses principes.

L’ensemble des collaborateurs des sociétés de l'UES EVEL & QUADRAL, quelles que soient leur position ou leurs fonctions (salariés à temps plein/partiel, intérimaires, stagiaires, dirigeants et membres des conseils d’administration).

Pour bénéficier de la protection associée au statut de « lanceur d’alerte », l’auteur d’un signalement doit :

  • Être une personne physique ;

  • Agir de manière désintéressée ;

  • Agir de bonne foi ;

  • Avoir eu personnellement connaissance des faits signalés lorsque les informations n’ont pas été obtenues dans le cadre de ses activités professionnelles.

Le dispositif d’alerte éthique permet de porter à la connaissance de la direction de l’UES toute information relative à :

  • Un crime ou un délit ;

  • Une menace ou un préjudice grave pour l’intérêt général ;

  • Une violation grave et manifeste d’un engagement international, d’une loi ou d’un règlement ;

  • Ou plus largement, tout manquement, situation ou comportement contraire au Code de conduite éthique.

Le signalement peut décrire une situation non-conforme ayant notamment trait aux domaines suivants :

  • Conduite ou situation contraires au code de conduite éthique ;

  • Acte ou tentative de corruption ;

  • Pratique frauduleuse ;

  • Harcèlement (moral et/ou sexuel), Discrimination, Agression ;

  • Atteinte à l’intérêt général ;

  • Toutes situations contraires à la réglementation.

Le dispositif d’alerte éthique permet de signaler, à tout moment et de manière confidentielle, une situation préoccupante ou un comportement inapproprié entrant dans son champ d’application.

Trois canaux de signalement sont disponibles :

  1. En contactant directement son manager ou responsable des ressources humaines ;

  2. En ligne sur une plateforme simple et sécurisée : https://evelquadralslci.integrityline.com

  3. En contactant le service Compliance.

Le signalement doit être aussi complet que possible pour permettre la vérification efficace des faits décrits. L’auteur doit notamment communiquer les informations suivantes :

  • L’identité, la fonction et les coordonnées de la/les personne(s) visée(s) par le signalement,

  • Une description des faits et des circonstances faisant l’objet du signalement, ainsi que tous documents, quels que soient leur forme ou leur support (courrier, rapport, document comptable, etc.), susceptibles d’étayer utilement cette description ;

  • Son identité, sa fonction et ses coordonnées (à moins qu’il ne souhaite conserver l’anonymat).

Toutes les alertes recueillies, notamment par un manager ou un responsable des ressources humaines, doivent être transmises sans délai au service Compliance.

Si aucune suite n’est donnée, les éléments du dossier de l’alerte sont détruits ou archivés après avoir été anonymisés, dans les deux mois suivant la clôture de l’enquête.

Les principes fondamentaux suivants sont respectés tout au long de l’enquête :

  • Confidentialité : L'identité de l’auteur du signalement et des personnes visées par l’alerte ainsi que les informations recueillies sont traitées de façon strictement confidentielle. Toutes les précautions sont prises afin de préserver la sécurité de ces informations. De plus, le nombre de personnes contribuant à l’enquête sera limité au strict minimum et les personnes impliquées dans l’enquête ne recevront que les informations nécessaires au traitement de l’alerte, selon leurs attributions respectives.

  • Objectivité et probité : Les faits remontés doivent être appréciés et analysés de manière objective. Toutes les personnes impliquées dans l’enquête sont tenues d’agir avec probité et rigueur dans le cadre de leurs fonctions.

  • Indépendance : L’indépendance des personnes participant à l’enquête est essentielle. En cas de conflit d’intérêts réel ou potentiel, les mesures nécessaires seront prises pour assurer le bon déroulé de l’enquête, le cas échéant en écartant des opérations d’instruction toute personne en situation de conflit d’intérêts.

  • Information des personnes mises en cause : Les personnes visées par une alerte seront informées dans les meilleurs délais des faits qui leur sont reprochés. Si toutefois des mesures de précaution sont nécessaires, afin notamment de prévenir la destruction de preuves relatives à l’alerte, l’information des personnes visées pourra intervenir après l’adoption de ces mesures et/ou à l’issue de l’enquête.

  • Protection de la confidentialité (stricte confidentialité de l’identité de l’auteur du signalement, de l’identité des personnes mises en cause par le signalement et de toutes les informations transmises dans le cadre de l’alerte) ;

  • Protection contre les mesures de représailles : L’auteur d’un signalement bénéficiant du statut de « lanceur d’alerte » sera protégé de toute mesure de représailles à son encontre et sous toutes ses formes ;

  • Toute personne utilisant le dispositif de manière abusive ou dénonçant des faits de mauvaise foi, avec l'intention de nuire ou avec la connaissance de leur caractère mensonger, pourra s’exposer à des sanctions disciplinaires, ainsi qu’à des poursuites judiciaires ;

  • Protection des données à caractère personnel.