Charte de protection des données personnelles

Comité Social et Economique de l’UES Banque Palatine

Le Comité Social et Economique de l’UES Banque Palatine (CSE) a la volonté de protéger l’ensemble de vos données personnelles ainsi que celles de vos ayants droit, dont elle dispose.

Cette Charte de protection des données personnelles a pour objet de vous communiquer, de manière transparente, l’ensemble des informations utiles concernant le cycle de vie de la donnée, lors des traitements que nous sommes susceptibles de mettre en œuvre tout au long de notre relation.

    • Quelles données personnelles sont collectées
    • Qui est le responsable de traitement de vos données personnelles et de celles de vos ayants droit
    • Comment sont obtenues vos données personnelles et celles de vos ayants droit
    • Pourquoi vos données personnelles et celles de vos ayants droit sont collectées
    • Combien de temps sont conservées vos données personnelles et celles de vos ayants droit
    • Comment sont assurées la sécurité et la confidentialité de vos données personnelles et celles de vos ayants droit
    • Qui a accès à vos données personnelles et celles de vos ayants droit
    • Où sont stockées vos données personnelles et celles de vos ayants droit
    • Quels sont vos droits et ceux de vos ayants droit

  • Quelles données personnelles sont collectées 
    • Définition

Une donnée personnelle est constituée de toute information se rapportant à une personne physique et qui permet de l’identifier directement ou indirectement : nom, identifiant en ligne, numéro de client, email, adresse postale, ou adresse IP, etc…

    • Les données collectées

Le CSE a besoin d’un certain nombre de données, strictement obligatoires ou nécessaires :

  • Données d’identité, avec une copie d’une pièce d’identité.
  • Données de contact, professionnelles et/ou personnelles qui sont attitrées.
  • Données relatives à la vie personnelle : situation familiale, nombre d’enfants à charge.
  • Données financières : données fiscales.
  • Données bancaires : IBAN.
  • Données des ressources humaines : date de recrutement et lieu d’affectation.

  • Qui est le responsable de traitement de vos données personnelles et celles de vos ayants droit

Le responsable de traitement est le CSE de l’UES Banque Palatine, dont le siège social de la Banque est situé : 42 rue d’Anjou 75382 Paris Cedex 08. Tél : 01 55 27 94 94. Immatriculée au RCS de Paris n° 542 104 245.

  • Comment sont obtenues vos données personnelles et celles de vos ayants droit

Les données d’identité, de contact professionnel et de ressources humaines sont collectées au moment de l’embauche pour activer vos droits d’accès au CSE.

Les autres données sont enrichies tout au long de la relation de travail par le salarié.

  • Pourquoi vos données personnelles et celles de vos ayants droit sont collectées

Vos données personnelles et celles de vos ayants droit sont collectées :

- Dans le cadre de la gestion des activités du CSE :

Vacances et voyages : voyages, locations, chèques vacances
Sport et culture : activités sportives, allocation sport, billetterie, remboursement, allocation culture, médiathèque
Social : prime pour évènements familiaux, allocations annuelles, bons cadeaux, subventions, club 25, actions de solidarité

- Pour répondre à une obligation légale ou réglementaire dans le cadre des obligations URSSAF

- Dans le cadre de la remise temporaire d’un badge d’accès au parking

  • Combien de temps sont conservées vos données personnelles et celles de vos ayants droit

Les données d’identité et de contact personnel et professionnel sont conservées 5 ans à l’issue du contrat de travail.

Les données comptables sont conservées 10 ans suivant l’article L123-22 du Code de commerce.

Les données collectées dans le cadre de la remise de badge d’accès au parking sont conservées pendant 3 mois.

Ces délais peuvent être plus longs dans certaines situations spécifiques, lorsque la réglementation l’exige. Ils peuvent également être plus longs en cas de recours en justice. Dans ce cas, les données sont conservées jusqu’au terme de la procédure judiciaire, puis archivées selon les durées légales de prescription applicables.

Lorsqu’une donnée personnelle est collectée pour plusieurs finalités, elle est conservée jusqu’à épuisement du délai de conservation ou d’archivage le plus long.

  • Comment sont assurées la sécurité et la confidentialité de vos données personnelles et celles de vos ayants droit

Le CSE met tout en œuvre pour assurer la sécurité, l’intégrité, et la confidentialité de vos données et celles de vos ayants droit.

Nous prenons, au regard de la nature des données personnelles et des risques présentés par le traitement, les mesures techniques et organisationnelles nécessaires pour préserver la sécurité de vos données et celles de vos ayants droit et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès ou prévenir toute utilisation impropre.

Ainsi, nous nous engageons à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

  • Préserver la sécurité des données à caractère personnel contre tout accès non autorisé, modification, déformation, divulgation, ou destruction,
  • Protéger nos activités.

Sous la supervision du Responsable de la Sécurité du Système d’Information, différentes mesures sont mises en place, notamment :

  • L’accès à chaque donnée est soumis à accréditation,
  • Chacun des postes de travail est sécurisé,
  • Les données sont protégées par des pare-feu, et les anti-virus sont maintenus à jour au plus haut niveau,
  • Les données sont hébergées au sein de data center hautement protégés, dont l’emplacement est tenu secret,
  • La sécurité des données est revue chaque année, par des contrôles et audits menés par des experts.

  • Qui a accès à vos données personnelles et celles de vos ayants droit

Le CSE, en tant que Responsable du traitement des données, a accès à vos données et à celles de vos ayants droit.

Par ailleurs, dans le cadre de son activité, le CSE fait appel à des sous-traitants, auxquels sont transmis vos données et celles de vos ayants droit, au sein d’un cadre contractuel, pour la réalisation des missions qui leurs sont confiées. Le CSE reste responsable du traitement réalisé sur les données, et s’assure que les données sont traitées conformément aux finalités, ainsi que des normes de sécurité mises en place.

Nous nous engageons à choisir des sous-traitants répondant aux critères de qualité et de sécurité, et présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles y compris en matière de sécurité des traitements.

Nous imposons aux sous-traitants un certain nombre de mesures à mettre en place. Il s’agit notamment de :

  • Chiffrer les données lors de leur transport et de leur stockage,
  • Cloisonner les données et les séparer dans des bases de données et serveurs dédiés au CSE,
  • Héberger les données dans des serveurs au sein de data centers dédiés à cet usage, situés en France ou au sein de l’Union européenne, et ne transférer sous aucun prétexte les données en dehors de l’Union européenne,
  • Permettre aux seuls membres du personnel du sous-traitant concernés, formés et habilités d’accéder aux données, et mettre en place un moyen de suivre les accès aux données afin de recueillir la preuve d’un tel accès,
  • Mettre en place des équipements de rupture au sein des trois couches de l’application,
  • Mettre en place des processus d’effacement de la donnée sur l’ensemble de l’application,
  • Avoir des dispositifs antiviraux sur l’ensemble de l’application,
  • Permettre la suppression de sauvegardes et archives à la demande du CSE.

De plus, le CSE se réserve la possibilité, contractuellement, de se rendre sur place et d’auditer chacun des sous-traitants, à tout moment, afin de vérifier le bon traitement des données.

A regard de l’activité du CSE, les données peuvent également être communiquées à l’URSSAF en cas de contrôle.

Il est rappelé que nous ne procédons en aucun cas à la vente des données personnelles. Les seuls destinataires externes sont des sous-traitants liés contractuellement, et pour le traitement conformément aux finalités pour lesquelles les données ont été collectées. Ainsi que les autorités, pour répondre aux obligations légales et réglementaires.

  • Où sont stockées vos données personnelles et celles de vos ayants droit ?

Vos données à caractère personnel et celles de vos ayants droit sont stockées dans notre système d’information ou dans celui de nos sous-traitants.

Les données personnelles ne font pas l’objet de transfert en dehors de l’Union Européenne.

  • Vos droits et ceux de vos ayants droit

  • Droit d’accès

Le droit pour toute personne physique de demander toute information concernant la collecte et le traitement des données, ainsi qu’une copie des données traitées.

  • Droit de rectification

Le droit de faire modifier les données qui seraient inexactes ou incomplètes.

  • Droit d'opposition

Le droit de s’opposer au traitement de ses données, dans le cadre d’un traitement fondé sur une mission de service public ou sur l’intérêt légitime du responsable de traitement, et pour des raisons tenant à sa situation particulière.
A l’exception de traitements de prospection, pour lesquels le droit d’opposition est absolu.

Dans le cas d’exercice du droit d’opposition, le titulaire des données ne pourra plus bénéficier des activités nécessitant le traitement des données opposées.

  • Droit d’effacement

Le droit de voir ses données effacées, dans le cas où :

  • Les données ne sont plus nécessaires,
  • Les données sont inexactes,
  • Si la personne retire son consentement,
  • Si la personne concernée était mineure au moment de la collecte,
  • Si la personne s’oppose au traitement,
  • Si le traitement est illicite.

Le responsable de traitement peut refuser cette demande, dans le cas où les données sont traitées pour respecter une obligation légale ou réglementaire.

Dans le cas d’exercice du droit d’effacement, le titulaire des données ne pourra plus bénéficier des activités nécessitant le traitement de ces données.

  • Droit à la portabilité

Le droit d’obtenir l’ensemble de ses données dans un format permettant de les transmettre à une autre entreprise. A la double condition que le traitement repose sur l’exécution d’un contrat ou le consentement de la personne, et qu’il soit automatisé.

  • Droit à la limitation

Le droit de suspendre le traitement sur les données concernées de manière temporaire :

  • Le temps de vérifier l’exactitude des données, ou l’intérêt légitime du responsable de traitement,
  • Si le traitement est illicite mais que la personne refuse leur effacement,
  • Si les données sont nécessaires à l’exercice de droits en justice.

Dans le cas d’exercice du droit à la limitation, le titulaire des données ne pourra plus bénéficier temporairement des activités nécessitant le traitement de ces données.

  • Exercice des droits

Vous pouvez exercer ces droits par email accompagné d’une copie de tout document d’identité, au DPO à l’adresse email dédiée : dpo-palatine@palatine.fr

Une réponse vous sera apportée dans le délai légal d’un mois maximum.

Par ailleurs, toute personne concernée par un traitement a le droit d’introduire une réclamation auprès de la CNIL, si elle estime que le traitement la concernant constitue une violation des règles légales en vigueur. Par courrier : 3 place de Fontenoy TSA 80715 75334 Paris Cedex 07, tél : 01 53 73 22 22 ou https://www.cnil.fr/fr/vous-souhaitez-contacter-la-cnil