POLITIQUE DE CONFIDENTIALITÉ & DE PROTECTION DES DONNÉES PERSONNELLES (RGPD)
Date de mise à jour: 2 Janvier 2021
Préambule
Depuis toujours, BPA est extrêmement sensible aux problématiques de sécurité, d’intrusion, de protection des données clients, que ce soit d’un point de vue technique ou d’un point de vue humain. Le Règlement Général sur la Protection des Données renforce les engagements de BPA en la matière.
Le Règlement Général sur la Protection des Données (RGPD) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, nouvelle réglementation européenne relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en vigueur le 25 mai 2018, renforce cet engagement.
Ce nouveau Règlement abroge, la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La présente politique de protection des données à caractère personnel vise à informer les Clients et utilisateurs des typologies de données à caractère personnel, des moyens de traitement de ces données, des finalités de traitement par BPA ; des droits et options relatives à l’utilisation de ces données et des personnes destinataires. Elle précise la durée pendant laquelle BPA conserve ces informations.
QUI SOMMES-NOUS ?
BPA regroupe 2 activités différentes mais complémentaires, qui interviennent sur les mêmes thématiques (Gouvernance, Risques et Compliance) :
- L’activité de conseil aux entreprises,
- L’activité d’organisme de formation continue
Notre hub digital consolide toutes nos activités et permet de souscrire à différents services et de bénéficier des ressources et prestations associées: https://www.globalBPA.com.
Définitions
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction
«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre
BPA agit en qualité de responsable de traitement au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (cf paragraphe ci-dessus)
«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
Typologie des données à caractère personnel COLLECTEES
BPA est amené à collecter des données à caractère personnel lors du parcours des utilisateurs de son hub digital.
- Inscription à une newsletter
- Inscription à un cours ou à un service
- Commentaires à nos publications
- Connexion à l’espace client
- Progression du cours ou conditions d’utilisation du service
- Reporting associé à l’action de formation ou de la performance du service
Ces données à caractère personnel peuvent être référencées selon la classification énoncée ci-après :
- Les données d’identification (nom, prénom, numéro de téléphone, adresse postale, adresse email, le cas échéant, raison sociale, numéro RCS, numéro de TVA intracommunautaire, etc.) ;
- Les données de géolocalisation (adresse IP de l’ordinateur se connectant aux sites de BPA ou toute autre application utilisée par BPA, par exemple la plateforme CISCO/WebEx ou ZOOM pour les classes virtuelles ou les web conférences) ;
- Les données de navigation sur les sites du domaine globaBPA.com (adresse IP, date et l’heure de la visite, pages visitées, type de navigateur, système d’exploitation, comportement de navigation, cookies, Google Analytics, assistance utilisateur-module de discussion en ligne) ;
- Les données et informations financières (notamment les coordonnées bancaires nécessaires à l’achat et au règlement des cours ou des services en ligne).
Précisions relatives aux commentaires
Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables.
Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici (https://automattic.com/privacy/). Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.
Précisions relatives aux médias
Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de notre site web pourraient télécharger et extraire des données de localisation depuis ces images.
Précisions relatives aux cookies
Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an.
Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur.
Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé.
En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.
Précisions relatives au contenu embarqué depuis d’autres sites
Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site.
Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.
Finalités du traitement de données à caractère personnel
Les données à caractère personnel recueillies dans le cadre des différents moyens de collecte permettent à BPA de poursuivre différentes finalités :
- La gestion des comptes et relations Clients ;
- La gestion des plateformes et du support Clients ;
- Le pilotage des cours et actions de formation ;
- Le pilotage des services offerts ;
- La gestion de la facturation ;
- L’assistance en ligne (module de discussion) ;
- La gestion des demandes de droit d’accès, de rectification et d’opposition au traitement des données personnelles des personnes concernées ;
- Les recherches et analyses de statistiques, de reporting et d’indicateurs ;
- L’amélioration et la personnalisation de la navigation du site ;
- L’analyse marketing interne ;
- La gestion de l’inscription et désinscription à la newsletter et/ou aux cours ;
- La prospection et l’actualité commerciale (information relative aux offres et informations commerciales BPA notamment par les newsletters et campagnes publicitaires).
- La lutte contre la fraude et la sécurité du site.
Précisions relatives aux statistiques et les mesures d’audience
BPA utilise les services de Google Analytics pour suivre la fréquentation du site. Vous pouvez consulter la Politique de confidentialité de Google
Destinataires des données à caractère personnel
Les données personnelles collectées par BPA sont exploitées pour son propre compte par les personnes habilitées au sein de la Direction des Systèmes d’Information, de la Direction marketing, de la Direction Juridique ainsi que par les équipes support et techniques.
Toujours conformément à la règlementation, nous ne confierons pas de données à un sous-traitant sans l’accord exprès de nos clients.
Aucune donnée à caractère personnel ne fera l’objet d’un contrat de vente ou de location à des tiers.
Localisation et transmission des données à caractère personnel
Les données personnelles traitées par BPA sont stockées en France ou dans un pays en adéquation avec la règlementation RGPD, sachant que le prestataire s’oblige à être conforme au RGPD à l’aide de BCR (Binding Corporate Rules).
Dans ce contexte, BPA a retenu les prestataires suivants :
- SalesForce
- Google Analytics
- OVH
- Online (groupe Iliad)
- CISCO/WebEX
- ZOOM
Sécurité des données à caractère personnel
Conformément au Règlement Général sur la Protection des Données, BPA met en œuvre toutes les mesures techniques et organisationnelles afin de garantir la sécurité des informations et données à caractère personnel.
BPA a mis en place les mesures suivantes pour protéger les données de ses utilisateurs :
- Nos serveurs sont sauvegardés avec une règle de redondance et de séparation des noeuds et des arcs.
- Le système d’exploitation est maintenu à jour pour tenir compte des failles de sécurité découvertes.
- Les modules applicatifs utilisés font l’objet d’audit de validation de l’installation et de la configuration de la part des développeurs des modules sensibles utilisés.
- Génération automatique de mots de passe complexes, conservés de façon cryptée par le système (CMS), inaccessible en clair aux administrateurs du système.
- Suppression des profils inactifs depuis plus d’un an.
- Suivi des connexions et requêtes par un firewall intelligent
Procédures mise en oeuvre en cas de fuite de données
Pour qu’il y ait violation de données à caractère personnel, 2 conditions doivent être réunies :
- Un traitement de données personnelles existe.
- Ces données ont fait l’objet d’une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).
En cas de violation, BPA documente en interne l’incident en déterminant :
- La nature de la violation
- Si possible, les catégories et le nombre approximatif de personnes concernées par la violation
les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; - La description des conséquences probables de la violation de données ;
- La description des mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Le document récapitulatif de votre notification à la CNIL permet de répondre à l’obligation de documentation interne.
Si l’incident constitue un risque au regard de la vie privée des personnes concernées, BPA, via son DPO, notifie l’incident à la CNIL.
Une notification initiale est transmise dans les meilleurs délais à la suite de la constatation de la violation ; Puis, une notification complémentaire dans le délai de 72 heures si possible après la notification initiale. Si le délai de 72 heures est dépassé, il conviendra d’expliquer, lors de votre notification, les motifs du retard.
En cas de risque élevé, BPA notifiera les personnes concernées.
Les services tiers qui nous transmettent des données
Le site web de BPA prend en compte deux modèles de d’acquisition de données personnelles
- Dans ce modèle, les clients de BPA transmettent les données personnelles de leurs collaborateurs. L’échange des données personnelles et contractualisé et fait l’objet d’une liste exhaustive des données personnelles requises pour la mise en place du service demandé.
- Dans ce modèle, l’utilisateur du site transmet à BPA ses propres données personnelles
conservation des données personnelles
Les données à caractère personnel seront strictement conservées pour toute la durée nécessaire aux finalités précédemment exposées et conformément aux prescriptions légales règlementaires.
Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération.
Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site, nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.
Les droits que vous avez sur vos données
Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.
Informations et droits des titulaires
Conformément au Règlement Général sur la Protection des Données, toute personne, Client ou utilisateur, concernée par le traitement dispose, à tout moment, d’un droit d’interrogation, d’accès, de rectification, de suppression, ainsi que d’un droit de limitation et d’opposition au traitement et à la portabilité de ses données personnelles.
L’exercice de ces droits s’effectue par courrier électronique à l’adresse : dpo@globalBPA.com, (désignation N° DPO-23176)
Modifications et mises à jour de la politique de confidentialité
Afin de garantir sa conformité aux principes de protection des données à caractère personnel, la présente politique de protection des données à caractère personnel pourra, à tout moment, faire l’objet de modification ou mise à jour.
Réclamation relative à protection des données personnelles et la conformité au RGPD
Pour toute réclamation, nous vous recommandons d’utiliser le formulaire « Formulaire de réclamation relative à la protection des données personnelles » dédié à cet effet.
Notre délégué à la protection des données personnelles reste à votre disposition par mail à l’adresse dpo[at]globalBPA.com