Politique de conservation des données
1. Objectif, champ d’application et utilisateurs
Cette politique définit les durées de conservation requises pour certaines catégories de données à caractère personnel et définit les normes minimales à appliquer lors de la destruction de certaines informations au sein de Europlacer Ltd (ci-après, la « société »).
Cette politique s’applique à toutes les unités commerciales, processus et systèmes de tous les pays dans lesquels la société exerce ses activités et entretient des relations d’affaires ou d’autres relations commerciales avec des tiers.
Cette politique s’applique à tous les cadres, directeurs, employés, agents, affiliés, sous-traitants, consultants, conseillers ou prestataires de services susceptibles de collecter, traiter ou avoir accès aux données (y compris des données personnelles et/ou des données personnelles sensibles). Il incombe à toutes les personnes susmentionnées de se familiariser avec cette politique et de veiller à sa bonne application.
Cette politique s’applique à toutes les informations utilisées par la société. Les exemples de tels documents incluent :
• Courriers électroniques
• Documents papier
• Copies électroniques de documents
• Vidéo et audio
• Données générées par les systèmes de contrôle d’accès physique
2. Documents de référence
• RGPD (UE) 2016/679 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/EC)
• Politique de protection des données à caractère personnel
3. Règles de conservation
3.1. Principe général de conservation
La période de conservation requise pour ce document sera réputée être de 3 ans à compter de la date de création du document, le cas échéant, pour toute catégorie de documents non définie ailleurs dans la présente politique (et en particulier dans le calendrier de conservation des données), sauf disposition contraire de la loi applicable.
3.2. Calendrier général de conservation
Le délégué à la protection des données définit la période de conservation des documents et des enregistrements électroniques dans le calendrier de conservation des données.
À titre d’exemption, les périodes de conservation définies dans le calendrier de conservation des données peuvent être prolongées dans les cas suivants :
• Enquêtes en cours des autorités, s’il existe des enregistrements de données à caractère personnel nécessaires à la société pour prouver le respect des exigences légales ; ou
• Lors de l’exercice de droits légaux dans le cas de poursuites judiciaires ou de procédures judiciaires similaires reconnues en vertu du droit local.
3.3. Sauvegarde des données pendant la période de conservation
La possibilité d’usure des supports utilisés pour l’archivage doit être prise en compte. Si le stockage sur des supports électroniques est choisi, toutes les procédures et tous les systèmes garantissant l’accès aux informations pendant la période de conservation (tant en ce qui concerne le support d’informations que la lisibilité des formats) doivent également être stockés afin de protéger les informations contre toute perte éventuelle résultant de futurs changements technologiques.
3.4. Destruction de données
La société et ses employés doivent donc examiner régulièrement toutes les données, qu’elles soient conservées électroniquement sur leur appareil ou sur papier, afin de décider de la destruction ou de la suppression de toute donnée lorsque la finalité pour laquelle ces documents ont été créés n’est plus pertinente.
Une fois la décision prise de les éliminer conformément au calendrier de conservation des données, les données doivent être supprimées, déchiquetées ou autrement détruites à un degré équivalent à leur valeur pour les autres et à leur niveau de confidentialité. La méthode d’élimination varie et dépend de la nature du document. Par exemple, tout document contenant des informations sensibles ou confidentielles (et en particulier des données personnelles sensibles) doit être éliminé en tant que déchet confidentiel et faire l’objet d’une suppression électronique sécurisée ; certains contrats expirés ou remplacés peuvent uniquement requérir un déchiquetage en interne. Le mode d’élimination est défini dans la section « calendrier d’élimination des documents » ci-dessous.
Dans ce contexte, la personne responsable s’acquitte de ces tâches et assume les responsabilités pertinentes quant à la destruction des informations de manière appropriée. La procédure spécifique de suppression ou de destruction peut être menée par un employé ou un prestataire de services interne ou externe que le responsable de la protection des données sous-traite à cette fin. Toutes les dispositions générales applicables en vertu des lois applicables sur la protection des données et de la politique de protection des données à caractère personnel de la société doivent être respectées.
Des contrôles appropriés doivent être mis en place pour empêcher la perte permanente d’informations essentielles de l’entreprise à la suite d’une destruction d’informations malveillante ou involontaire. Ces contrôles sont décrits dans la politique de sécurité informatique de l’entreprise.
Les exigences statutaires applicables en matière de destruction d’informations, en particulier celles prévues par les législations applicables en matière de protection des données, doivent être pleinement respectées.
3.5. Violation, application de la loi et conformité
Les personnes désignées responsables de la protection des données ont la responsabilité de veiller à ce que chacun des bureaux de la société se conforme à cette politique. Il incombe également au groupe de pilotage de la protection des données d’aider tout bureau local à répondre aux demandes de renseignements des autorités locales chargées de la protection des données ou des autorités gouvernementales.
Toute suspicion de violation de la présente politique doit être immédiatement signalée au groupe de pilotage de la protection des données. Tous les cas de violation présumée de la politique feront l’objet d’une enquête et des mesures appropriées seront prises.
Le non-respect de la présente politique peut avoir des conséquences défavorables, y compris mais sans s’y limiter, la perte de confiance, des litiges et la perte d’avantages concurrentiels, la perte financière et l’atteinte à la réputation de la société, des dommages corporels, des préjudices ou des pertes. Le non-respect de la présente politique par des employés permanents, temporaires ou intérimaires, ou des tiers, qui ont été autorisés à accéder aux locaux ou aux données de la société, peut par conséquent entraîner une procédure disciplinaire, un licenciement ou la résiliation de leur contrat de travail. Un tel non-respect peut également conduire à des poursuites judiciaires contre les parties impliquées dans de telles activités.
4. Élimination des documents
4.1. Calendrier régulier d’élimination
Les enregistrements susceptibles d’être détruits de manière régulière, à moins d’être soumis à une enquête juridique ou réglementaire en cours, sont les suivants :
• Annonces et avis de réunions quotidiennes et autres événements, y compris acceptations et excuses ;
• Demandes d’information ordinaires telles que les instructions de voyage ;
• Réservations pour des réunions internes sans frais/coûts externes ;
• Transmission de documents tels que des lettres, des pages de garde de fax, des courriers électroniques, des feuilles de route, des cartes de correspondance et autres pièces similaires qui accompagnent les documents mais n’apportant aucune valeur ;
• Bordereaux ;
• Liste d’adresses remplacées, listes de distribution, etc.;
• Documents dupliqués tels que des copies et documents à faire suivre, des brouillons non modifiés, des impressions d’écran ou des extraits de bases de données et des fichiers du jour ;
• Stock de publications internes qui sont obsolètes ou remplacées ; et
• Magazines professionnels, catalogues de fournisseurs, prospectus et lettres d’information de fournisseurs ou d’autres organisations externes.
Dans tous les cas, l’élimination est soumise aux exigences relatives à la divulgation pouvant exister dans le cadre d’un litige.
4.2. Méthode de destruction
Les documents de niveau I sont ceux qui contiennent des informations hautement sécurisées et confidentielles et qui contiennent des données à caractère personnel. Ces documents doivent être éliminés avec les déchets confidentiels (déchiquetés et incinérés) et doivent être supprimés de manière sécurisée. L’élimination des documents doit inclure une preuve de destruction.
Les documents de niveau II sont des documents exclusifs contenant des informations confidentielles telles que les noms, signatures et adresses des parties, ou pouvant être utilisés par des tiers pour commettre une fraude, mais ne contenant aucune donnée à caractère personnel. Les documents doivent être déchiquetés en coupe croisée, puis placés dans des poubelles verrouillées en vue de leur collecte par une entreprise d’élimination des déchets agréée, et les documents électroniques feront l’objet d’une suppression électronique sécurisée.
Les documents de niveau III sont ceux qui ne contiennent aucune information confidentielle ou donnée à caractère personnel et sont des documents publiés de la société. Ceux-ci doivent être déchiquetés ou éliminés par une entreprise de recyclage et incluent, entre autres, des publicités, des catalogues, des dépliants et des lettres d’information. Ils peuvent être éliminés sans garder de preuve de la destruction.
5. Validité et gestion des documents
Ce document est valable à partir de janvier 2019
Le propriétaire de ce document est le groupe de pilotage de la protection des données qui doit vérifier et mettre à jour le document au moins une fois par an, si nécessaire.
6. Annexes
Annexe – Calendrier de conservation des données
Dossiers financiers
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Registres de paie | 7 ans après l’audit | Finance |
Contrats de fournisseur | 7 ans après la fin du contrat | Finance |
Plans comptables | Permanent | Finance |
Politiques et procédures fiscales | Permanent | Finance |
Audits permanents | Permanent | Finance |
États financiers | Permanent | Finance |
Grand-livre | Permanent | Finance |
Historique des investissements (dépôts, gains, retraits) | 7 ans | Finance |
Factures | 7 ans | Finance |
Chèques annulés | 7 ans | Finance |
Bordereaux de banque | 7 ans | Finance |
Documents de dépenses d’entreprise | 7 ans | Finance |
Registres de contrôle / livres | 7 ans | Finance |
Inventaire des biens / actifs | 7 ans | Finance |
Reçus de cartes de crédit | 3 ans | Finance |
Reçus / documents de petite caisse | 3 ans | Finance |
Enregistrements des faits et événements relatifs à l’entreprise
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Article de constitution pour demander le statut de société | Permanent | Finance |
Politiques du conseil d’administration | Permanent | Finance |
Procès-verbaux des réunions du conseil d’administration | Permanent | Finance |
Numéro d’identification fiscale ou d’employé | Permanent | Finance |
Procès-verbaux des réunions de bureau et d’équipe
Documents corporatifs annuels |
Permanent | Finance |
RH : dossiers des employés
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Dossiers disciplinaires, procès-verbaux, oraux / verbaux, écrits, derniers avertissements, appels | Selon les exigences légales | RH |
Candidatures, notes d’entretien – Panel de recrutement / promotion Internes Si le candidat échoue ou réussit | Supprimé immédiatement
Durée de l’emploi |
RH |
Formulaires de saisie de la paie, fiches de salaire, paiements des heures supplémentaires / primes Feuilles de paie, copies | 7 ans | RH |
Coordonnées bancaires – actuelles | Durée de l’emploi | RH |
Feuilles de paie / salaire | Durée de l’emploi | RH |
Historique du travail, y compris les dossiers personnels des employés : contrat(s), conditions de travail ; dates de service précédentes ; historique de la paie et des retraites, estimation des retraites, lettres de démission / résiliation. | Selon les exigences légales | RH |
Détails de l’adresse de l’employé | Durée de l’emploi | RH |
Demandes de remboursement de frais | Selon les exigences légales | RH |
Registre des congés annuels | Durée de l’emploi | RH |
Livres d’accident Rapports d’accident et correspondance |
Selon les exigences légales | RH |
Certificats et auto-certificats non liés à un accident du travail ; formulaires de paie légale | Selon les exigences légales | RH |
Certification de grossesse / accouchement | Selon les exigences légales | RH |
Congé parental | Durée de l’emploi | RH |
Registres et calculs de congés maternité | Selon les exigences légales | RH |
Détails de la redondance, calculs de paiement, remboursements, notifications | Selon les exigences légales | RH |
Dossiers de formation et de développement | Durée de l’emploi | RH |
Contracts
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Signature | Permanent | Finance |
Modifications de contrat | Permanent | Finance |
Documents de soumission retenus | Permanent | Finance |
Documents de soumission non retenus | Permanent | Finance |
Appel d’offres – besoins des utilisateurs, spécification, critères d’évaluation, invitation | Permanent | Finance |
Rapports des entrepreneurs | Permanent | Finance |
Fonctionnement et surveillance, par ex. plaintes | Permanent | Finance |
Informations client
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Données de la plateforme : comprenant les données vidéo, commentaires, pièces jointes, photo de profil, adresse électronique, prénom et nom. | Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de 9 mois | Client |
Enregistrements d’écran de la session d’assistance | Suppression automatique après 90 jours | Assistance |
Données CRM : comprenant le nom, l’adresse électronique, le numéro de téléphone portable, l’adresse, les courriers électroniques et les résumés d’appels téléphoniques, les informations relatives au DPD | Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de X mois. | Assistance |
Données métriques | Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Une fois qu’une organisation demande la suppression de tous les enregistrements, les données seront anonymisées. | Équipe de développement |
Données non-client
Catégorie d’enregistrement de données à caractère personnel |
Période de conservation obligatoire | Propriétaire de l’enregistrement |
Nom, adresse électronique | Gardé jusqu’à ce que la personne se désabonne / demande à être retirée du système | Marketing et ventes |
Enregistrements d’appels | Suppression automatique après 6 mois | Ventes |
Informatique
Catégorie d’enregistrement de données à caractère personnel | Période de conservation obligatoire | Propriétaire de l’enregistrement |
Corbeilles à papier | Effacé tous les mois | Employé individuel |
Téléchargements | Effacé tous les mois | Employé individuel |
Boîte de réception | Tous les courriers électroniques contenant des IPI en pièces jointes sont supprimés après 3 ans. | Employé individuel |
Courriers électroniques supprimés | Effacé tous les mois | Employé individuel |
Lecteur réseau personnel | Revue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ans | Employé individuel |
Disques et fichiers locaux | Déplacé mensuellement sur le lecteur réseau, puis supprimé du lecteur local | Employé individuel |
Onedrive/Dropbox | Revue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ans | Employé individuel |