Politique de conservation des données

1. Objectif, champ d’application et utilisateurs

Cette politique définit les durées de conservation requises pour certaines catégories de données à caractère personnel et définit les normes minimales à appliquer lors de la destruction de certaines informations au sein de Europlacer Ltd (ci-après, la « société »).
Cette politique s’applique à toutes les unités commerciales, processus et systèmes de tous les pays dans lesquels la société exerce ses activités et entretient des relations d’affaires ou d’autres relations commerciales avec des tiers.
Cette politique s’applique à tous les cadres, directeurs, employés, agents, affiliés, sous-traitants, consultants, conseillers ou prestataires de services susceptibles de collecter, traiter ou avoir accès aux données (y compris des données personnelles et/ou des données personnelles sensibles). Il incombe à toutes les personnes susmentionnées de se familiariser avec cette politique et de veiller à sa bonne application.
Cette politique s’applique à toutes les informations utilisées par la société. Les exemples de tels documents incluent :

• Courriers électroniques
• Documents papier
• Copies électroniques de documents
• Vidéo et audio
• Données générées par les systèmes de contrôle d’accès physique

2. Documents de référence

• RGPD (UE) 2016/679 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/EC)
• Politique de protection des données à caractère personnel

3. Règles de conservation

3.1. Principe général de conservation

La période de conservation requise pour ce document sera réputée être de 3 ans à compter de la date de création du document, le cas échéant, pour toute catégorie de documents non définie ailleurs dans la présente politique (et en particulier dans le calendrier de conservation des données), sauf disposition contraire de la loi applicable.

3.2. Calendrier général de conservation

Le délégué à la protection des données définit la période de conservation des documents et des enregistrements électroniques dans le calendrier de conservation des données.
À titre d’exemption, les périodes de conservation définies dans le calendrier de conservation des données peuvent être prolongées dans les cas suivants :

• Enquêtes en cours des autorités, s’il existe des enregistrements de données à caractère personnel nécessaires à la société pour prouver le respect des exigences légales ; ou
• Lors de l’exercice de droits légaux dans le cas de poursuites judiciaires ou de procédures judiciaires similaires reconnues en vertu du droit local.

3.3. Sauvegarde des données pendant la période de conservation

La possibilité d’usure des supports utilisés pour l’archivage doit être prise en compte. Si le stockage sur des supports électroniques est choisi, toutes les procédures et tous les systèmes garantissant l’accès aux informations pendant la période de conservation (tant en ce qui concerne le support d’informations que la lisibilité des formats) doivent également être stockés afin de protéger les informations contre toute perte éventuelle résultant de futurs changements technologiques.

3.4. Destruction de données

La société et ses employés doivent donc examiner régulièrement toutes les données, qu’elles soient conservées électroniquement sur leur appareil ou sur papier, afin de décider de la destruction ou de la suppression de toute donnée lorsque la finalité pour laquelle ces documents ont été créés n’est plus pertinente.
Une fois la décision prise de les éliminer conformément au calendrier de conservation des données, les données doivent être supprimées, déchiquetées ou autrement détruites à un degré équivalent à leur valeur pour les autres et à leur niveau de confidentialité. La méthode d’élimination varie et dépend de la nature du document. Par exemple, tout document contenant des informations sensibles ou confidentielles (et en particulier des données personnelles sensibles) doit être éliminé en tant que déchet confidentiel et faire l’objet d’une suppression électronique sécurisée ; certains contrats expirés ou remplacés peuvent uniquement requérir un déchiquetage en interne. Le mode d’élimination est défini dans la section « calendrier d’élimination des documents » ci-dessous.
Dans ce contexte, la personne responsable s’acquitte de ces tâches et assume les responsabilités pertinentes quant à la destruction des informations de manière appropriée. La procédure spécifique de suppression ou de destruction peut être menée par un employé ou un prestataire de services interne ou externe que le responsable de la protection des données sous-traite à cette fin. Toutes les dispositions générales applicables en vertu des lois applicables sur la protection des données et de la politique de protection des données à caractère personnel de la société doivent être respectées.
Des contrôles appropriés doivent être mis en place pour empêcher la perte permanente d’informations essentielles de l’entreprise à la suite d’une destruction d’informations malveillante ou involontaire. Ces contrôles sont décrits dans la politique de sécurité informatique de l’entreprise.
Les exigences statutaires applicables en matière de destruction d’informations, en particulier celles prévues par les législations applicables en matière de protection des données, doivent être pleinement respectées.

3.5. Violation, application de la loi et conformité

Les personnes désignées responsables de la protection des données ont la responsabilité de veiller à ce que chacun des bureaux de la société se conforme à cette politique. Il incombe également au groupe de pilotage de la protection des données d’aider tout bureau local à répondre aux demandes de renseignements des autorités locales chargées de la protection des données ou des autorités gouvernementales.
Toute suspicion de violation de la présente politique doit être immédiatement signalée au groupe de pilotage de la protection des données. Tous les cas de violation présumée de la politique feront l’objet d’une enquête et des mesures appropriées seront prises.
Le non-respect de la présente politique peut avoir des conséquences défavorables, y compris mais sans s’y limiter, la perte de confiance, des litiges et la perte d’avantages concurrentiels, la perte financière et l’atteinte à la réputation de la société, des dommages corporels, des préjudices ou des pertes. Le non-respect de la présente politique par des employés permanents, temporaires ou intérimaires, ou des tiers, qui ont été autorisés à accéder aux locaux ou aux données de la société, peut par conséquent entraîner une procédure disciplinaire, un licenciement ou la résiliation de leur contrat de travail. Un tel non-respect peut également conduire à des poursuites judiciaires contre les parties impliquées dans de telles activités.

4. Élimination des documents

4.1. Calendrier régulier d’élimination

Les enregistrements susceptibles d’être détruits de manière régulière, à moins d’être soumis à une enquête juridique ou réglementaire en cours, sont les suivants :
• Annonces et avis de réunions quotidiennes et autres événements, y compris acceptations et excuses ;
• Demandes d’information ordinaires telles que les instructions de voyage ;
• Réservations pour des réunions internes sans frais/coûts externes ;
• Transmission de documents tels que des lettres, des pages de garde de fax, des courriers électroniques, des feuilles de route, des cartes de correspondance et autres pièces similaires qui accompagnent les documents mais n’apportant aucune valeur ;
• Bordereaux ;
• Liste d’adresses remplacées, listes de distribution, etc.;
• Documents dupliqués tels que des copies et documents à faire suivre, des brouillons non modifiés, des impressions d’écran ou des extraits de bases de données et des fichiers du jour ;
• Stock de publications internes qui sont obsolètes ou remplacées ; et
• Magazines professionnels, catalogues de fournisseurs, prospectus et lettres d’information de fournisseurs ou d’autres organisations externes.
Dans tous les cas, l’élimination est soumise aux exigences relatives à la divulgation pouvant exister dans le cadre d’un litige.

4.2. Méthode de destruction

Les documents de niveau I sont ceux qui contiennent des informations hautement sécurisées et confidentielles et qui contiennent des données à caractère personnel. Ces documents doivent être éliminés avec les déchets confidentiels (déchiquetés et incinérés) et doivent être supprimés de manière sécurisée. L’élimination des documents doit inclure une preuve de destruction.
Les documents de niveau II sont des documents exclusifs contenant des informations confidentielles telles que les noms, signatures et adresses des parties, ou pouvant être utilisés par des tiers pour commettre une fraude, mais ne contenant aucune donnée à caractère personnel. Les documents doivent être déchiquetés en coupe croisée, puis placés dans des poubelles verrouillées en vue de leur collecte par une entreprise d’élimination des déchets agréée, et les documents électroniques feront l’objet d’une suppression électronique sécurisée.
Les documents de niveau III sont ceux qui ne contiennent aucune information confidentielle ou donnée à caractère personnel et sont des documents publiés de la société. Ceux-ci doivent être déchiquetés ou éliminés par une entreprise de recyclage et incluent, entre autres, des publicités, des catalogues, des dépliants et des lettres d’information. Ils peuvent être éliminés sans garder de preuve de la destruction.

5. Validité et gestion des documents

Ce document est valable à partir de janvier 2019
Le propriétaire de ce document est le groupe de pilotage de la protection des données qui doit vérifier et mettre à jour le document au moins une fois par an, si nécessaire.

6. Annexes

Annexe – Calendrier de conservation des données

Dossiers financiers

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Registres de paie 7 ans après l’audit Finance
Contrats de fournisseur 7 ans après la fin du contrat Finance
Plans comptables Permanent Finance
Politiques et procédures fiscales Permanent Finance
Audits permanents Permanent Finance
États financiers Permanent Finance
Grand-livre Permanent Finance
Historique des investissements (dépôts, gains, retraits) 7 ans Finance
Factures 7 ans Finance
Chèques annulés 7 ans Finance
Bordereaux de banque 7 ans Finance
Documents de dépenses d’entreprise 7 ans Finance
Registres de contrôle / livres 7 ans Finance
Inventaire des biens / actifs 7 ans Finance
Reçus de cartes de crédit 3 ans Finance
Reçus / documents de petite caisse 3 ans Finance

Enregistrements des faits et événements relatifs à l’entreprise

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Article de constitution pour demander le statut de société Permanent Finance
Politiques du conseil d’administration Permanent Finance
Procès-verbaux des réunions du conseil d’administration Permanent Finance
Numéro d’identification fiscale ou d’employé Permanent Finance
Procès-verbaux des réunions de bureau et d’équipe

Documents corporatifs annuels

Permanent Finance


RH : dossiers des employés

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Dossiers disciplinaires, procès-verbaux, oraux / verbaux, écrits, derniers avertissements, appels Selon les exigences légales RH
Candidatures, notes d’entretien – Panel de recrutement / promotion Internes Si le candidat échoue ou réussit Supprimé immédiatement

Durée de l’emploi

RH
Formulaires de saisie de la paie, fiches de salaire, paiements des heures supplémentaires / primes Feuilles de paie, copies 7 ans RH
Coordonnées bancaires – actuelles Durée de l’emploi RH
Feuilles de paie / salaire Durée de l’emploi RH
Historique du travail, y compris les dossiers personnels des employés : contrat(s), conditions de travail ; dates de service précédentes ; historique de la paie et des retraites, estimation des retraites, lettres de démission / résiliation. Selon les exigences légales RH
Détails de l’adresse de l’employé Durée de l’emploi RH
Demandes de remboursement de frais Selon les exigences légales RH
Registre des congés annuels Durée de l’emploi RH
Livres d’accident
Rapports d’accident et correspondance
Selon les exigences légales RH
Certificats et auto-certificats non liés à un accident du travail ; formulaires de paie légale Selon les exigences légales RH
Certification de grossesse / accouchement Selon les exigences légales RH
Congé parental Durée de l’emploi RH
Registres et calculs de congés maternité Selon les exigences légales RH
Détails de la redondance, calculs de paiement, remboursements, notifications Selon les exigences légales RH
Dossiers de formation et de développement Durée de l’emploi RH

Contracts

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Signature Permanent Finance
Modifications de contrat Permanent Finance
Documents de soumission retenus Permanent Finance
Documents de soumission non retenus Permanent Finance
Appel d’offres – besoins des utilisateurs, spécification, critères d’évaluation, invitation Permanent Finance
Rapports des entrepreneurs Permanent Finance
Fonctionnement et surveillance, par ex. plaintes Permanent Finance

Informations client

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Données de la plateforme : comprenant les données vidéo, commentaires, pièces jointes, photo de profil, adresse électronique, prénom et nom. Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de 9 mois Client
Enregistrements d’écran de la session d’assistance Suppression automatique après 90 jours Assistance
Données CRM : comprenant le nom, l’adresse électronique, le numéro de téléphone portable, l’adresse, les courriers électroniques et les résumés d’appels téléphoniques, les informations relatives au DPD Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de X mois. Assistance
Données métriques Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Une fois qu’une organisation demande la suppression de tous les enregistrements, les données seront anonymisées. Équipe de développement

Données non-client

Catégorie d’enregistrement de données à caractère personnel
Période de conservation obligatoire Propriétaire de l’enregistrement
Nom, adresse électronique Gardé jusqu’à ce que la personne se désabonne / demande à être retirée du système Marketing et ventes
Enregistrements d’appels Suppression automatique après 6 mois Ventes

Informatique

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoire Propriétaire de l’enregistrement
Corbeilles à papier Effacé tous les mois Employé individuel
Téléchargements Effacé tous les mois Employé individuel
Boîte de réception Tous les courriers électroniques contenant des IPI en pièces jointes sont supprimés après 3 ans. Employé individuel
Courriers électroniques supprimés Effacé tous les mois Employé individuel
Lecteur réseau personnel Revue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ans Employé individuel
Disques et fichiers locaux Déplacé mensuellement sur le lecteur réseau, puis supprimé du lecteur local Employé individuel
Onedrive/Dropbox Revue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ans Employé individuel