Politique de confidentialité

1. L'INTRODUCTION

worX Software Limited (" worX. ") s'engage à préserver la confidentialité et l'intégrité de toutes les informations qu'elle détient et traite. Nous nous engageons également à exercer notre activité en conformité avec les exigences de la législation appropriée en matière de protection des données, à savoir la loi britannique sur la protection des données de 1998 et le règlement général sur la protection des données ("RGPD") (ensemble, la "Législation").

Nous reconnaissons l'importance des données personnelles et du respect du droit à la vie privée des individus. La présente politique de protection et de sécurité des données ("politique") définit les principes que nous appliquons au traitement des données à caractère personnel et à l'utilisation des informations confidentielles afin de protéger non seulement l'un de nos actifs les plus précieux, mais aussi ceux qui appartiennent à nos clients et à nos employés. La plupart du temps, nous traitons ces informations dans l'une des deux capacités suivantes : (i) en tant que contrôleur de données pour nos propres opérations commerciales internes, telles que les ressources humaines, l'administration, le marketing, les ventes, etc. ou (ii) en tant que responsable du traitement des données lorsque nous réalisons nos opérations de logiciel-service (ou "SaaS") pour nos clients.

La législation impose des obligations au contrôleur de données et aux processeurs de données, il est donc de la responsabilité de tous les employés de worX d'appliquer les dispositions de cette politique en ce qui concerne tous les traitements de données personnelles et le traitement des informations confidentielles, que worX agisse en tant que contrôleur de données ou processeur de données (ou les deux). worX fournit à ses employés des instructions à ce sujet.

2. DÉFINITIONS

Les mots et expressions clés suivants sont utilisés dans la présente politique :

"Informations confidentielles"

désigne toutes les informations (quelle que soit la manière dont elles sont enregistrées, conservées ou divulguées) divulguées à worX ou à ses représentants, qu'elles portent ou non la mention "confidentiel", y compris, mais sans s'y limiter :

(a) les données personnelles, toute information désignée comme confidentielle ou commercialement sensible ou qui est, par sa nature, clairement confidentielle,
(b) les activités, les affaires, les clients, les fournisseurs, les plans, les développements, les intentions ou les opportunités de marché de la partie divulguant les informations ou du groupe de la partie divulguant les informations ;
(c) les opérations, les processus, les informations sur les produits, le savoir-faire, les conceptions, les secrets commerciaux ou les logiciels de la partie divulgatrice ou du groupe de la partie divulgatrice ; et
(d) toute information ou analyse dérivée des informations confidentielles ;
mais à l'exclusion de toute information qui :
(a) est ou devient généralement accessible au public autrement que par sa divulgation par worX en violation de la présente Politique ;
(b) était disponible pour worX sur une base non-confidentielle avant sa divulgation par la partie divulgatrice ;
(c) est reçue par worX d'un tiers qui l'a légalement acquise ou développée et qui n'est soumis à aucune obligation de confidentialité concernant sa divulgation ;
(d) les parties conviennent par écrit qu'elle n'est pas confidentielle ou qu'elle peut être divulguée ; ou
(e) est développée indépendamment par worX sans l'utilisation des Informations Confidentielles de la partie divulgatrice.

"Données

désigne les informations traitées électroniquement (par exemple par ordinateur), enregistrées manuellement (par exemple sur papier) dans l'intention d'être traitées électroniquement, ou enregistrées dans le cadre de tout système de classement structuré par référence à des personnes ou à des critères les concernant, de telle sorte que les informations spécifiques relatives à une personne donnée soient facilement accessibles ;

"Contrôleur de données

désigne l'organisation qui détermine les finalités et les modalités du traitement des données à caractère personnel ;

"Responsable du traitement des données

désigne l'organisation qui traite les données à caractère personnel pour le compte du contrôleur des données ;

"Personne concernée

désigne une personne vivante et identifiable au sujet de laquelle des données à caractère personnel sont traitées ;

"Données à caractère personnel

désigne les données relatives à une personne vivante qui peut être identifiée à partir de ces données ou de ces données et d'autres informations qui sont en notre possession ou sont susceptibles d'entrer en notre possession en tant que contrôleur des données ou responsable du traitement des données, selon le cas. Les données à caractère personnel comprennent les opinions et toute indication de nos intentions à l'égard d'une personne ;

"Traitement"

comprend l'obtention, l'enregistrement, la détention, la modification, l'extraction, la consultation, l'utilisation, la divulgation, le blocage, l'effacement ou la destruction de données à caractère personnel ;

"Données personnelles sensibles

désigne les informations sur la personne concernée concernant (a) son origine raciale ou ethnique, (b) ses opinions politiques, (c) ses convictions religieuses ou autres convictions de même nature, (d) son appartenance à un syndicat, (e) sa santé ou son état physique ou mental, (f) sa vie sexuelle, (g) la commission ou la prétendue commission d'une infraction, et (h) toute procédure engagée pour une infraction commise ou prétendue commise, l'issue d'une telle procédure ou la sentence prononcée par un tribunal dans le cadre d'une telle procédure.

3. PRINCIPES DE PROTECTION DES DONNÉES

worX s'engage à respecter les principes de protection des données énoncés dans la législation. En vertu de la loi britannique sur la protection des données, ces principes sont énoncés sous la forme de huit principes de protection des données, en vertu desquels les données personnelles doivent :

  1. être traitées de manière équitable et licite ;
  2. être obtenues et traitées uniquement pour une ou plusieurs finalités déterminées et légitimes ;
  3. être adéquats, pertinents et non excessifs par rapport à l'objectif poursuivi ;
  4. être exacts et, le cas échéant, mis à jour ;
  5. sont conservés pour une durée n'excédant pas celle nécessaire à la réalisation de l'objectif ;
  6. être traitées conformément aux droits des personnes concernées en vertu de la législation ;
  7. être conservés en toute sécurité et des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illégal et contre la perte, la destruction ou l'endommagement accidentels ;
  8. ne soient pas transférés vers un pays ou un territoire situé en dehors de l'Espace économique européen, à moins qu'une protection adéquate ne soit mise en place.

worX a notifié à l'Information Commissioner's Office les types d'informations personnelles qu'elle traite et les raisons pour lesquelles elle le fait.

De plus amples détails sur la manière dont worX se conforme à ces principes sont présentés ci-dessous.

PRINCIPE 1 - TRAITEMENT LOYAL ET LICITE

Traitement équitable

La législation exige que les données à caractère personnel soient traitées équitablement. Cela signifie que le responsable du traitement doit assurer la transparence du traitement afin que les personnes concernées sachent qui traite leurs données personnelles et pourquoi. Cette obligation incombe principalement au contrôleur des données qui détermine ce qui est traité et est beaucoup moins pertinente pour un processeur de données qui ne détermine pas ce qui est traité.

Cette obligation affecte worX principalement lorsqu'il agit en tant que contrôleur de données dans le cadre de ses activités internes. Par exemple, les conditions d'emploi de tous les employés contiennent un avis de protection des données qui comprend les informations suivantes :

  • l'identité du responsable du traitement des données (c'est-à-dire worX) ;
  • les finalités du traitement ;
  • toute autre information nécessaire pour rendre le traitement équitable (comme les destinataires des données et leurs objectifs, un rappel du droit d'accès (voir ci-dessous) et de rectification de la personne concernée et le caractère obligatoire ou facultatif des informations demandées) ;

Dans le cas des activités de marketing de worX, par exemple la publicité des produits et services de worX sur notre site web, nous incluons une description des canaux de communication que nous avons l'intention d'utiliser. Si l'un de ces canaux implique une commercialisation par courrier électronique, SMS, fax ou systèmes d'appel automatisés, nous obtiendrons le consentement de la personne concernée au moyen d'une disposition d'acceptation (réversible) appropriée. Lorsque nous obtenons des données à caractère personnel directement de la personne concernée (par exemple, à la suite d'un appel téléphonique ou d'une saisie en ligne), nous en informons la personne concernée au moment où nous obtenons ses données. Lorsque nous obtenons des données à caractère personnel concernant une personne concernée auprès d'une source tierce (par exemple, un agent), nous fournissons l'avis de protection des données dès que cela est raisonnablement possible après avoir commencé à traiter ses données (sauf si cela représente un effort disproportionné).

Par conséquent, lorsque nous agissons en tant que responsable du traitement des données pour nos clients SaaS, l'obligation d'émettre tout avis de protection des données nécessaire incombe à notre client.

Traitement licite

Il s'agit principalement d'une obligation pour les responsables du traitement des données et, dans la plupart des cas, elle n'affecte worX que dans le cadre de ses activités internes. worX ne traitera les données personnelles que lorsque cela est justifié par l'une des conditions suivantes :

  • la personne concernée a donné son consentement au traitement ; ou
  • le traitement est nécessaire :
    • afin de conclure ou d'exécuter un contrat avec la personne concernée ;
    • pour le respect d'une obligation légale qui s'applique à worX (autre qu'une obligation en vertu d'un contrat) ;
    • afin de protéger les intérêts vitaux de la personne concernée (c'est-à-dire une situation de vie ou de mort) ;
    • aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par le tiers auquel les informations sont divulguées, sauf si le traitement est injustifié dans un cas particulier en raison d'un préjudice porté aux droits et libertés ou aux intérêts légitimes de la personne concernée.

Traitement des données personnelles sensibles

En outre, lorsque worX traite des données personnelles sensibles, en raison de la nature sensible et parfois confidentielle de cette catégorie de données personnelles, nous ne traiterons les données personnelles sensibles que lorsque cela est justifié par l'une des conditions supplémentaires suivantes :

  • la personne concernée a donné son consentement explicite au traitement ; ou
  • le traitement est nécessaire :
    • worX pour se conformer au droit du travail ;
    • la protection des intérêts vitaux de la personne concernée ou d'une autre personne, lorsque le consentement de la personne concernée ne peut être donné ou a été refusé de manière déraisonnable, ou lorsque le contrôleur des données ne peut raisonnablement s'attendre à obtenir le consentement ;
    • aux fins d'une procédure judiciaire ou pour obtenir des conseils juridiques, ou encore pour la constatation, l'exercice ou la défense de droits en justice ;
    • à des fins médicales et est effectuée par un professionnel de la santé ou une personne soumise à un devoir de confidentialité équivalent ;
    • le contrôle de l'égalité des chances et est effectué avec des garanties appropriées pour les droits des personnes concernées.
    • la prévention ou la détection de tout acte illicite, et doit nécessairement être effectuée sans que le consentement explicite de la personne concernée ne soit demandé afin de ne pas porter atteinte à ces finalités ;
    • à des fins de recherche dans un intérêt public important et n'étayent pas des mesures ou des décisions concernant une personne concernée en particulier et ne causent pas, ou ne sont pas susceptibles de causer, un dommage ou une détresse importants à la personne concernée ou à toute autre personne.

PRINCIPE 2 - COLLECTE ET TRAITEMENT POUR DES FINALITÉS DÉTERMINÉES ET LICITES

La législation exige que les données personnelles ne soient obtenues par les responsables du traitement que pour une ou plusieurs finalités déterminées et licites et qu'elles ne soient pas traitées ultérieurement d'une manière incompatible avec ces finalités.
En conséquence, les finalités pour lesquelles worX traitera les données personnelles en tant que responsable du traitement des données sont indiquées ci-dessous :

  • Administration du personnel
  • Publicité, marketing et relations publiques
  • Publicité, marketing et relations publiques pour le compte des clients
  • Comptes et registres
  • Services de consultation et de conseil
  • Administration de l'information et des banques de données.

worX ne traitera pas les données personnelles à d'autres fins à moins que la personne concernée ne donne son consentement. Lorsque worX agit en tant que responsable du traitement des données pour un client SaaS, la responsabilité d'obtenir un tel consentement incombe au client SaaS concerné.

Fournisseurs de services de marketing numérique

Nous désignons périodiquement des agents de marketing numérique pour mener des activités de marketing en notre nom, et ces activités peuvent donner lieu à un traitement conforme des données à caractère personnel. Des informations sur les responsables du traitement des données que nous avons désignés peuvent être communiquées sur demande.

PRINCIPE 3 - ADÉQUAT, PERTINENT ET NON EXCESSIF

La législation exige que les données à caractère personnel soient adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont traitées et qu'elles soient tenues à jour.

Pour satisfaire à l'exigence d'adéquation, de pertinence et de non-excès des données personnelles, worX s'assure que, lorsqu'il agit en tant que contrôleur de données :

  • nous identifions les données à caractère personnel nécessaires à une fin particulière et nous collectons le minimum requis pour atteindre cette fin ;
  • nous ne conservons pas de données personnelles "au cas où" ou parce que nous pensons qu'elles pourraient être utiles à l'avenir, sauf si la personne concernée y consent, par exemple si un employé potentiel accepte que nous conservions ses données personnelles au cas où un poste vacant approprié se présenterait ;
  • nous tenons les données à jour ; et
  • nous ne conservons pas les données trop longtemps.

PRINCIPE 4 - EXACTITUDE ET MISE À JOUR

Lors de l'entrée des données dans notre système en notre qualité de contrôleur des données, worX prend des mesures raisonnables pour s'assurer que les données sont exactes et peut contacter les personnes concernées pour obtenir des éclaircissements si nous ne sommes pas sûrs de l'exactitude de certaines informations. worX ne sera pas en violation de ce principe, même si nous détenons des données inexactes si :

  • nous avons enregistré avec précision ces données lorsque nous les avons reçues de la personne concernée ou d'un tiers ;
  • nous avons pris des mesures raisonnables pour garantir l'exactitude de ces données ; et
  • si la personne concernée nous a notifié que les données sont inexactes, nous avons pris des mesures pour indiquer ce fait.

worX prend des mesures raisonnables pour maintenir les données à jour dans la mesure nécessaire.

PRINCIPE 5 - CONSERVATION POUR UNE DURÉE N'EXCÉDANT PAS CELLE NÉCESSAIRE

La législation exige que les données à caractère personnel traitées à quelque fin que ce soit ne soient pas conservées plus longtemps qu'il n'est nécessaire à cette fin.

worX examine régulièrement les données personnelles qu'il détient et, le cas échéant, supprime en toute sécurité toutes les données qui ne sont plus nécessaires aux fins pour lesquelles elles ont été obtenues à l'origine. La suppression sécurisée signifie que les documents imprimés sont déchiquetés de manière appropriée ou que les enregistrements relatifs à la personne concernée sont supprimés des supports électroniques, de manière à ce que les documents ne soient pas normalement récupérables.

Lorsque worX agit en tant que processeur de données et détient des données sur ses serveurs au nom de ses clients que le client a saisi directement dans le système de worX, le client sera responsable de la maintenance de ces données et de la suppression de toutes les données qui ne sont plus nécessaires. worX retournera ou détruira toutes les données détenues au nom d'un client SaaS conformément aux termes du contrat pertinent avec ce client.

PRINCIPE 6 - TRAITEMENT DANS LE RESPECT DES DROITS DES PERSONNES CONCERNÉES

Les personnes concernées ont certains droits en vertu de la législation pour accéder à leurs données et pour empêcher le traitement dans certaines circonstances. La plupart des demandes émaneront de nos employés lorsque worX est un contrôleur de données, bien que worX doive également répondre aux demandes d'accès des clients de nos clients SaaS.

Droit d'accès au sujet

Si worX reçoit une demande écrite d'une personne concernée pour accéder à ses données personnelles, nous répondrons dans un délai de 40 jours à compter de la réception de la demande et fournirons une description :

  • les données à caractère personnel concernant cette personne ;
  • les finalités pour lesquelles les données sont traitées ;
  • les destinataires des données ;
  • les informations constituant les données à caractère personnel ; et
  • la source de ces données (si elle est disponible).

worX se réserve le droit de facturer à la personne concernée des frais pour la fourniture de ces informations, conformément à la législation. Lorsque les Données sont détenues au nom d'un client SaaS, worX notifiera ce client d'une telle demande d'accès et donnera au client SaaS la possibilité de traiter lui-même la demande.

Droit d'empêcher un traitement susceptible de causer un dommage ou une détresse

Les personnes concernées ont le droit de nous demander de ne pas traiter leurs données à caractère personnel si le traitement des données d'une certaine manière ou pour une finalité particulière cause, ou est susceptible de causer, un dommage ou un préjudice à la personne concernée ou à une autre personne, et que ce dommage ou ce préjudice est, ou serait, injustifié.

Si nous recevons une demande écrite d'une personne exerçant ce droit, nous répondrons dans les 21 jours suivant la réception de la demande et confirmerons que nous nous sommes conformés ou que nous avons l'intention de nous conformer à la demande, ou nous indiquerons les raisons pour lesquelles nous ne nous y conformons pas. Lorsque cela se produit dans le cas où worX agit en tant que responsable du traitement des données pour un client SaaS, la demande doit être transmise au client SaaS concerné et la personne concernée doit être informée si worX a l'autorité de cesser le traitement des données personnelles.

Droit d'empêcher le traitement à des fins de marketing direct

Si nous recevons une demande d'une personne concernée nous demandant de cesser de traiter ses données à caractère personnel à des fins de marketing direct, nous prendrons les mesures appropriées pour veiller à ce que les coordonnées de la personne soient supprimées de notre base de données de marketing et que la personne ne soit plus contactée par nous à des fins de marketing.

Droit de s'opposer à la prise de décision automatisée

Les personnes concernées ont le droit de s'opposer à ce que des décisions automatisées soient prises à leur sujet pour des questions importantes les concernant de manière significative (telles que l'évaluation des performances professionnelles, de la solvabilité, de la fiabilité ou de la conduite).

Si nous recevons une demande écrite d'une personne exerçant ce droit, nous répondrons dans les 21 jours suivant la réception de la demande et informerons la personne des mesures que nous avons l'intention de prendre pour nous conformer à la demande. Si cela affecte les services fournis à un client SaaS, worX en informera le client SaaS concerné avant de répondre à la personne concernée.

PRINCIPE 7 - SÉCURITÉ, MESURES TECHNIQUES ET ORGANISATIONNELLES

La législation exige que worX prenne les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre un traitement non autorisé ou illégal, une perte accidentelle, une destruction ou un dommage.

worX a mis en place un certain nombre de mesures et de procédures techniques et organisationnelles que nous appliquons non seulement aux données personnelles, mais aussi à toutes les informations que nous détenons, y compris les informations confidentielles et les informations de toute autre nature utilisées au sein de l'entreprise.

Les détails de nos mesures techniques et organisationnelles sont disponibles sur demande.

Lorsque worX fait appel à des tiers pour traiter les données personnelles en notre nom, ils agissent en tant que sous-traitants et nous veillons à ce que :

  • mettre en place un contrat écrit avec chacun de nos responsables du traitement des données, en vertu duquel ils acceptent de n'agir que sur instruction de notre part ;
  • nous avons conclu avec nos sous-traitants des contrats qui font référence au respect des exigences en matière de protection des données ; et
  • s'assurer que le responsable du traitement des données accepte de se conformer à des obligations équivalentes à celles énoncées dans la présente politique.

PRINCIPE 8 - TRANSFERTS À L'ÉTRANGER

La législation exige que les données à caractère personnel ne soient pas transférées vers un pays ou un territoire situé en dehors de l'Espace économique européen (c'est-à-dire les États membres de l'UE plus l'Islande, le Liechtenstein et la Norvège), à moins que ce pays ou territoire n'assure un niveau de protection adéquat des droits et libertés des personnes concernées en ce qui concerne le traitement des données à caractère personnel.

worX s'assurera que toutes les données personnelles transférées en dehors de l'EEE sont protégées de manière adéquate et que les lois locales sur la protection de la vie privée sont respectées.

4. INFORMATIONS CONFIDENTIELLES

worX gardera confidentielles les informations confidentielles (qui s'étendent bien sûr au-delà des données personnelles) qu'elle reçoit et, sauf accord écrit préalable de la partie qui les divulgue, s'engage à :

  • ne pas utiliser ou exploiter les informations confidentielles de quelque manière que ce soit, sauf aux fins pour lesquelles elles ont été divulguées ;
  • ne pas divulguer ou mettre à disposition les informations confidentielles, en tout ou en partie, à un tiers, sauf autorisation expresse de la partie qui les a divulguées ;
  • ne pas copier, confirmer par écrit ou enregistrer de toute autre manière les informations confidentielles, sauf si cela est strictement nécessaire aux fins pour lesquelles elles ont été divulguées, et ces copies, confirmations ou enregistrements resteront la propriété de la partie qui les a divulgués ; et
  • appliquer aux informations confidentielles les mesures techniques et organisationnelles annexées à la présente politique.

worX ne peut divulguer les informations confidentielles qu'à ses employés qui ont besoin de les connaître aux fins pour lesquelles elles ont été divulguées, à condition que :

  • nous informons ces employés de la nature confidentielle des informations confidentielles avant leur divulgation ;
  • à tout moment, nous sommes responsables du respect par ces employés des obligations énoncées dans la présente politique et des mesures techniques et organisationnelles ; et
  • les employés reçoivent la formation requise dans le cadre des mesures techniques et organisationnelles avant une telle divulgation.

worX peut divulguer des informations confidentielles dans la mesure où ces informations confidentielles doivent être divulguées par la loi, par toute autorité gouvernementale ou autre autorité de régulation, ou par un tribunal ou une autre autorité compétente, à condition que, dans la mesure où nous sommes légalement autorisés à le faire, nous donnions à l'autre partie un préavis aussi long que possible de cette divulgation.

worX peut, à condition d'avoir des motifs raisonnables de croire que la partie divulgatrice est impliquée dans une activité susceptible de constituer une infraction pénale en vertu du Bribery Act 2010, divulguer des informations confidentielles au Serious Fraud Office (bureau des fraudes graves) sans en informer au préalable la partie divulgatrice.

À la demande de la partie divulgatrice, worX :

  • détruire ou, à la discrétion de worX, renvoyer à la partie divulgatrice tous les documents et matériels (et toutes les copies) contenant, reflétant, incorporant ou basés sur les informations confidentielles de la partie divulgatrice ;
  • effacer toutes les Informations Confidentielles de la partie divulgatrice de ses systèmes informatiques ou qui sont stockées sous forme électronique (dans la mesure du possible) ; et certifier par écrit à la partie divulgatrice qu'il s'est conformé aux exigences de cette clause, à condition que worX puisse conserver les documents et matériels contenant, reflétant, incorporant ou basés sur les Informations Confidentielles dans la mesure requise par la loi ou toute autorité gouvernementale ou réglementaire applicable et dans la mesure raisonnable pour permettre à worX de conserver la preuve qu'il a exécuté ses obligations en vertu de tout accord avec la partie divulgatrice.

Date d'émission : Juin 2020

© 2024. worX Software Ltd. | Nous contacter | Politique de confidentialité

En contactant worX Software, vous acceptez notre politique de confidentialité.

Site Internet de Herringbone