Politique sur la protection des données

POLITIQUE SUR LA PROTECTION DES DONNEES

1. Définitions

1.1 Consentement – Toute indication librement donnée, spécifique, éclairée et non ambiguë de la

volonté de la personne concernée, par laquelle celle-ci, au moyen d’une déclaration ou d’une

action affirmative claire, signifie qu’elle consent au traitement des Données à caractère

personnel.

1.2 Responsable du contrôle des données – La personne physique ou morale, l’autorité publique,

l’agence ou tout autre organisme qui, seul(e) ou conjointement avec d’autres, détermine les

finalités et les moyens du traitement des Données à caractère personnel ; lorsque les finalités et

les moyens dudit traitement sont déterminés par le droit de l’Union européenne ou des États

membres, le Responsable du contrôle des données ou les critères spécifiques de sa désignation

peuvent être prévus par le droit de l’Union ou de l’État membre.

1.3 Personne concernée – Toute personne physique dont les Données à caractère personnel sont

détenues par un tiers.

1.4 Données à caractère personnel – Toute information concernant une personne physique

identifiée ou identifiable. Une personne physique identifiable est une personne physique qui peut

être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un

nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou

plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale,

économique, culturelle ou sociale de cette personne physique.

1.5 Violation des Données à caractère personnel – Toute violation de la sécurité entraînant la

destruction accidentelle ou illégale, la perte, l’altération, la divulgation ou l’accès non autorisé

aux Données à caractère personnel transmises, stockées ou traitées d’une autre manière. Le

Responsable du contrôle des Données à caractère personnel est tenu de signaler les violations

desdites données à l’autorité de contrôle et lorsque la violation est susceptible de porter atteinte

auxdites données ou à la vie privée de la personne concernée.

1.6 Traitement – Toute opération ou ensemble d’opérations effectuées sur des Données à caractère

personnel ou sur des ensembles de Données à caractère personnel, que ce soit ou non par des

moyens automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le

stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la

divulgation par transmission, diffusion ou autre mise à disposition, le rapprochement ou la

combinaison, la restriction, l’effacement ou la destruction.

1.7 Responsable du traitement des données – Personne physique ou morale, autorité publique,

agence ou autre organisme qui traite des Données à caractère personnel pour le compte du

Responsable du contrôle des données.

1.8 Profilage – Toute forme de traitement automatisé de Données à caractère personnel destiné à

évaluer certains aspects de la personnalité d’une personne physique, ou à analyser ou prédire

les performances professionnelles de cette personne, sa situation économique, son

emplacement, son état de santé, ses préférences personnelles, sa fiabilité ou son

comportement. Cette définition est liée au droit de la personne concernée de s’opposer au

profilage et d’être informée de l’existence d’une telle démarche, de mesures qu’il sous-tend et

de ses conséquences éventuelles sur l’individu.

1.9 Catégories spéciales de Données à caractère personnel – Les Données à caractère

personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions

religieuses ou philosophiques, l’appartenance syndicale, le traitement de données génétiques,

de données biométriques en vue de l’identification unique d’une personne physique, de données

relatives à la santé ou de données concernant la vie sexuelle ou l’orientation sexuelle d’une

personne physique. Ces données sont également appelées « données sensibles ».

1.10 Tiers – Une personne physique ou morale, une autorité publique, une agence ou un

organisme autre que la personne concernée, le Responsable du contrôle des données, le soustraitant

et les personnes qui, sous l’autorité directe du Responsable du contrôle ou du traitement

des données, sont autorisées à traiter des Données à caractère personnel.

2. Objectif

2.1 SEMAPHORES s’engage à mener ses activités conformément à toutes les lois et

réglementations applicables en matière de Protection des données et dans le respect des

normes éthiques les plus élevées. SEMAPHORES est le Responsable du contrôle des données

en vertu des lois sur la Protection des données, ce qui signifie qu’elle détermine à quelles fins

les informations à caractère personnel détenues seront utilisées.

2.2 Cette politique énonce les comportements souhaités de tous les employés de SEMAPHORES

et des tiers dans le cadre de la collecte, l’utilisation, la conservation, le transfert, la divulgation et

la destruction de toute Donnée à caractère personnel appartenant à une Personne concernée.

2.3 Les Données à caractère personnel désignent toute information (y compris les opinions et les

intentions) se rapportant à une Personne physique identifiée ou identifiable. Les Données à

caractère personnel sont soumises à certaines garanties légales et autres réglementations, qui

imposent des restrictions sur la manière dont les organisations peuvent les traiter. Une

organisation qui traite les Données à caractère personnel et prend des décisions quant à leur

utilisation est désignée sous le nom de Responsable du contrôle des données. SEMAPHORES,

en tant que Responsable du contrôle des données, est responsable de la conformité aux

exigences de Protection des Données décrites dans la présente politique.

2.4 La direction de SEMAPHORES s’engage pleinement à assurer la mise en oeuvre continue et

efficace de cette politique et compte sur la participation de tous ses employés et des Tiers à cet

engagement. Tout manquement à cette politique sera pris au sérieux et peut entraîner des

mesures disciplinaires ou des sanctions professionnelles.

3. Champ d’application

3.1 La présente politique s’applique, le cas échéant, à toutes les sociétés dans lesquelles

SEMAPHORES détient une participation et qui traitent des Données à caractère personnel.

3.2 La présente politique s’applique à tout Traitement de Données à caractère personnel sous format

électronique ou conservées dans des fichiers manuels structurés de manière à contenir des

informations sur les personnes.

4. Principes élémentaires

4.1 SEMAPHORES a adopté les principes suivants pour régir la collecte, l’utilisation, la conservation,

le transfert, la divulgation et la destruction des Données à caractère personnel :

• Légalité, équité et transparence : Les données à caractère personnel sont traitées de

manière légale, équitable et transparente à l’égard de la personne concernée.

• Limitation de l’objectif : Toute Donnée à caractère personnel collectée doit avoir un but

précis, explicite et légitime.

• Minimisation des données : Toute Donnée à caractère personnel collectée doit être

adéquate, pertinente et limitée au strict nécessaire au regard des finalités pour lesquelles

elle est traitée.

• Exactitude : Toute Donnée à caractère personnel collectée doit être exacte et, le cas

échéant, maintenue à jour.

• Limitation de la conservation des Données à caractère personnel : Les Données à

caractère personnel ne seront pas conservées plus longtemps que la durée nécessaire

aux fins pour lesquelles elles sont traitées.

• Intégrité et confidentialité : Les Données à caractère personnel doivent être traitées de

manière à en garantir la sécurité, y compris la protection contre tout traitement non

autorisé ou illégal et contre la perte, la destruction ou l’endommagement accidentel, en

recourant à des mesures techniques ou organisationnelles appropriées.

• Responsabilité : SEMAPHORES sera responsable de la conformité aux principes

susmentionnés et sera en mesure de le démontrer. La présente politique constitue le

fondement du respect de cette responsabilité.

5. Légalité du traitement des données

5.1 SEMAPHORES traitera les Données à caractère personnel conformément à toutes les lois et

obligations contractuelles applicables.

5.2 SEMAPHORES ne traitera pas les Données à caractère personnel, sauf si un des fondements

disponibles pour le traitement est applicable. Voici quelques exemples non exhaustifs de ces

motifs valables :

• La Personne concernée a exprimé un consentement valable,

• Le traitement est nécessaire à l’exécution d’un contrat auquel la Personne concernée

est partie ou afin de prendre des mesures à la demande de la Personne concernée avant

la conclusion d’un contrat,

• Le traitement des données est nécessaire au respect d’une obligation légale à laquelle

le Responsable du contrôle des données est soumis.

5.3 Dans la mesure où SEMAPHORES traite des Catégories spéciales de données (également

appelées données sensibles), ces processus doivent faire l’objet d’une attention particulière dans

la gouvernance des données à caractère personnel. Ce traitement n’aura lieu, en particulier, que

si les exigences les plus strictes en matière de traitement des catégories spéciales de données

sont satisfaites. Voici quelques exemples non exhaustifs de ces motifs valables :

• La Personne concernée a exprimé un consentement valable,

• Le Traitement porte sur des Données à caractère personnel déjà rendues publiques par

la Personne concernée,

• Le Traitement est nécessaire à l’établissement, à l’exercice ou à la défense de droits

légaux,

• Le Traitement est expressément autorisé ou requis par la loi.

6. Information pour les Personnes concernées

6.1 SEMAPHORES fournira, si la loi applicable le requiert, un contrat, ou si elle considère qu’une telle

démarche est raisonnablement appropriée, des informations sur la finalité du traitement de leurs

Données à caractère personnel.

6.2 Lorsque des Données à caractère personnel sont collectées, toutes les divulgations appropriées

seront faites, de manière à attirer l’attention, à moins que l’une des dispositions suivantes ne

s’applique :

• La Personne concernée dispose déjà de l’information,

• Une exemption légale s’applique aux exigences en matière de divulgation et/ou

de consentement.

6.3 À titre d’exemple non exhaustif, SEMAPHORES a mis en oeuvre les méthodes standard suivantes,

afin de communiquer des informations aux Personnes concernées :

• Toutes les Données à caractère personnel traitées sur le site de SEMAPHORES sont

décrites dans une Politique de confidentialité mise à la disposition de tous les utilisateurs

dudit site,

• Toutes les Données à caractère personnel sur les employés de SEMAPHORES sont

décrites dans les contrats de chaque collaborateur.

7. Respect continu des principes de base

7.1 Les principes de base du Traitement légal décrits à l’article 4 s’appliquent également lorsque les

mêmes Données à caractère personnel sont stockées, utilisées et/ou partagées ultérieurement.

7.2 Tout changement dans la finalité du Traitement des données à caractère personnel est examiné par

le Responsable de la Protection des données et mis en oeuvre uniquement une fois que la conformité

systématique en est assurée.

7.3 Il est également essentiel que toutes les Données à caractère personnel stockées soient toujours

exactes et à jour.

7.4 En vue d’atteindre ce double objectif, SEMAPHORES a mis en place les procédures suivantes :

• Corriger les Données à caractère personnel jugées incorrectes, inexactes, incomplètes,

ambiguës, fallacieuses ou obsolètes, même si la Personne concernée ne demande

aucune rectification,

• Ne conserver les Données à caractère personnel que pendant la période nécessaire au

respect des utilisations autorisées ou de la période de conservation légale applicable,

• Restriction, plutôt que suppression de Données à caractère personnel, dans la mesure

où :

o Une loi interdit l’effacement,

o L’effacement porterait atteinte aux intérêts légitimes de la Personne concernée,

o La Personne concernée réfute l’exactitude de ses Données à caractère personnel

et il est impossible de déterminer clairement si ces informations sont correctes

ou incorrectes.

8. Transferts au sein du groupe de sociétés

8.1 Si SEMAPHORES devait mener à bien ses activités au sein de différentes entités dans lesquelles

elle détient une participation, et qu’elle soit dans ce cadre dans l’obligation de transférer des Données à caractère personnel d’une entité à une autre, ou de permettre l’accès auxdites données depuis un site à l’étranger, SEMAPHORES enverrait les Données à caractère personnel auxdites entités en restant responsable de leur protection.

9. Transferts à des Tiers

9.1 SEMAPHORES ne transférera les Données à caractère personnel à des Tiers ou n’en autorisera

l’accès que si elle a la certitude que ces informations seront traitées légitimement et seront dûment

protégées par le destinataire. En cas de traitement par un Tiers, SEMAPHORES déterminera d’abord si,

en vertu de la loi applicable, le Tiers est considéré comme un Responsable du Contrôle ou du Traitement

des Données à caractère personnel transférées.

9.2 Si le Tiers est considéré comme un Responsable des Données, SEMAPHORES conclura un accord

approprié avec celui-ci afin de clarifier les responsabilités de chaque partie en ce qui concerne les

Données à caractère personnel transférées.

9.3 Si le Tiers est considéré comme un Responsable du Traitement des Données, SEMAPHORES

conclura un accord avec le Responsable du Traitement des Données.

10. Recours à des sous-traitants responsables du Traitement des données

10.1 SEMAPHORES conclura un contrat avec tous ses sous-traitants Responsables du Traitement des

Données.

10.2 Le contrat doit exiger que le Responsable du Traitement des Données à caractère personnel les

protège contre toute divulgation ultérieure et qu’il ne traite lesdites Données à caractère personnel qu’en conformité avec les instructions de SEMAPHORES. En outre, le contrat exigera du sous-traitant responsable du Traitement des données qu’il mette en oeuvre des mesures techniques et organisationnelles appropriées visant à protéger les Données à caractère personnel, ainsi que des procédures de notification en cas de violation desdites données.

10.3 Lorsque SEMAPHORES sous-traite des services à un Tiers (y compris des services de Cloud

Computing), elle détermine si ce dernier va traiter les Données à caractère personnel pour son compte

et si la sous-traitance va entraîner des transferts de Données à caractère personnel vers un Pays Tiers.

En tout état de cause, elle veillera à prévoir des dispositions adéquates dans le contrat de sous-traitance

pour ce type de Traitement et les transferts vers des pays tiers.

11. Transfert de Données à caractère personnel en dehors de l’UE

11.1 SEMAPHORES ne transférera les Données à caractère personnel qu’à des destinataires internes

à l’Union européenne ou des tiers menant des activités dans un pays extérieur à l’Union où les conditions d’un tel transfert sont remplies.

12. Sécurité

12.1 SEMAPHORES adoptera des mesures concrètes, techniques et organisationnelles visant à assurer

la sécurité des Données à caractère personnel. Ces mesures comprennent la prévention des pertes ou

préjudices, l’altération non autorisée, l’accès ou le traitement, ainsi que d’autres risques susceptibles

d’être encourus dans le cadre d’une action humaine ou de l’environnement physique ou naturel.

12.2 L’ensemble des mesures de sécurité adopté par SEMAPHORES est décrit dans la Politique de

sécurité de l’information. Un résumé des mesures de sécurité relatives aux Données à caractère

personnel est présenté ci-dessous :

• Empêcher toute personne non autorisée d’accéder aux systèmes de traitement des

données qui hébergent des Données à caractère personnel,

• Empêcher toute personne habilitée à utiliser un système de traitement de données

d’accéder à des Données à caractère personnel au-delà de ses besoins et autorisations,

• S’assurer que les Données à caractère personnel, au cours de la transmission

électronique pendant le transfert, ne peuvent être lues, copiées, modifiées ou

supprimées sans autorisation,

• S’assurer que des registres d’accès sont en place afin d’établir si, et le cas échéant, par

qui, les Données à caractère personnel ont été saisies, modifiées ou supprimées d’un

système de traitement des données,

• Si le Traitement est effectué par un sous-traitant, s’assurer que les données ne soient

traitées que conformément aux instructions du Responsable du Traitement des données.

• Veiller à ce que les Données à caractère personnel soient protégées contre la destruction

ou la perte non désirée,

• S’assurer que les Données à caractère personnel collectées à des fins différentes

puissent et soient traitées séparément,

• Veiller à ce que les Données à caractère personnel ne soient pas conservées plus

longtemps que nécessaire.

13. Signalement d’un manquement

13.1 Toute personne suspectant une violation des Données à caractère personnel, résultant du vol ou

de l’exposition desdites Données, doit immédiatement en informer le Responsable de la Protection des

Données à caractère personnel, Madame Geneviève MC KINNON, en lui décrivant les faits. L’incident

peut être signalé par courriel électronique à l’adresse suivante : contact@semaphores.eu, ou en

composant le numéro de téléphone suivant : +33 1 1 40 27 87 37.

13.2 La personne chargée de la Protection des données enquêtera sur tous les incidents signalés afin

de confirmer s’il y a eu ou non violation des Données à caractère personnel. Une fois la violation des

Données à caractère personnel confirmée, la personne chargée de la Protection des données suivra la

procédure autorisée pertinente selon la gravité et la quantité des Données à caractère personnel

concernées, lesquelles seront évaluées par le biais d’une Évaluation de l’impact de la Protection des

Données à caractère personnel.

14. Délai de rétention

14.1 Pour garantir un traitement équitable, SEMAPHORES ne conservera pas les Données à caractère

personnel plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées à l’origine ou

pour lesquelles elles ont été traitées ultérieurement.

14.2 La durée pendant laquelle SEMAPHORES doit conserver les Données à caractère personnel est

définie dans la Politique en matière de confidentialité. Ceci tient compte des exigences légales et

contractuelles, minimales et maximales, qui influencent les périodes de rétention prévues dans le

programme. Toutes les Données à caractère personnel doivent être supprimées ou détruites dans les

meilleurs délais si leur conservation n’est plus nécessaire.

15. Notification adressée au Responsable de la Protection des données

15.1 Toutes les demandes d’accès ou de rectification de Données à caractère personnel doivent être

adressées au Responsable de la Protection des Données, qui enregistrera chaque demande dès

réception.

15.2 Le Responsable de la Protection des données veillera à ce que toutes les demandes des Personnes

concernées soient traitées conformément à la section 18 ci-après.

16. Procédure de traitement des demandes émanant de la Personne concernée

16.1 Le Responsable de la Protection des Données a mis en place un système visant à permettre et à

faciliter l’exercice des droits de la Personne concernée en ce qui concerne les éléments suivants :

• Accès aux informations,

• Opposition au Traitement,

• Opposition à l’automatisation de la prise de décision et du profilage,

• Restriction du Traitement,

• Transférabilité des données,

• Rectification des données,

• Effacement des données.

16.2 Si une personne soumet une demande relative à l’un des droits énumérés ci-avant, SEMAPHORES examinera chacune de ces demandes conformément aux lois et réglementations applicables en matière de Protection des données. Aucuns frais administratifs ne seront facturés pour l’examen ou l’exécution d’une telle demande initiale, à moins que la demande ne soit jugée inutile ou excessive par nature, suite à la récurrence des demandes.

17. Accès aux informations

17.1 Les Personnes concernées ont le droit d’obtenir, sur demande écrite adressée au Responsable de

la Protection des Données à caractère personnel et après vérification concluante de leur identité, les

informations suivantes sur leurs propres Données à caractère personnel :

• Les finalités de la collecte, du traitement, de l’utilisation et du stockage de leurs Données

à caractère personnel,

• La ou les sources des Données à caractère personnel, si elles n’ont pas été obtenues

auprès de la Personne concernée,

• Les catégories de Données à caractère personnel stockées pour la Personne concernée,

• Les destinataires ou les catégories de destinataires auxquels les Données à caractère

personnel ont été ou peuvent être transmises, ainsi que l’emplacement de ces

destinataires,

• La période de stockage envisagée pour les Données à caractère personnel ou la

justification de la détermination de la période de stockage,

• L’utilisation de tout processus décisionnel automatisé, y compris le Profilage.

18. Délai de réponse

18.1 Une réponse à chaque demande sera communiquée dans les trente (30) jours suivant la réception

de la demande écrite de la Personne concernée. Une vérification appropriée doit confirmer que le

demandeur est la Personne concernée ou son représentant légal autorisé. Les Personnes concernées

ont le droit d’exiger la correction ou la rectification de Données à caractère personnel erronées,

fallacieuses, obsolètes ou incomplètes. Si SEMAPHORES ne peut satisfaire pleinement à la demande

dans un délai de trente (30) jours, le Responsable de la Protection des Données à caractère personnel

communiquera néanmoins les informations suivantes à la Personne concernée, ou à son représentant

légal autorisé, dans le délai imparti :

• Un accusé de réception de la demande,

• Les détails portant sur les informations ou les modifications demandées qui ne seront

pas transmises à la Personne concernée, le(s) motif(s) du refus et les procédures

disponibles pour faire appel de la décision,

• Une estimation de la date à laquelle les réponses en suspens seront fournies,

• Une estimation des frais éventuels à charge de la Personne concernée (par exemple,

lorsque la demande est excessive),

• Le nom et les coordonnées du responsable de SEMAPHORES que la Personne

concernée doit contacter pour le suivi.

19. Responsable de la Protection des données

19.1 Afin de démontrer son engagement en matière de Protection des Données et de renforcer l’efficacité de ses efforts en termes de conformité, SEMAPHORES a confié à son représentant légal le rôle de superviseur principal de la conformité aux règlements sur la Protection des Données.

19.2 Les fonctions du Responsable de la Protection des données sont les suivantes :

• Informer et conseiller les employés de SEMAPHORES qui traitent des Données

conformément à la réglementation en matière de Protection des données, à la législation

nationale ou aux dispositions de l’Union européenne en la matière,

• Veiller à l’alignement de cette politique sur les réglementations relatives à la Protection

des données, la législation nationale ou les dispositions de l’Union européenne en

matière de Protection des données,

• Dispenser des conseils sur la réalisation d’évaluations d’impact sur la Protection des

Données,

• Agir en tant que point de contact et coopérer avec les autorités responsables de la

Protection des données,

• Déterminer le besoin de communiquer des informations à une ou plusieurs autorités de

Protection des Données à caractère personnel à la suite d’activités de traitement en

cours ou prévues par SEMAPHORES,

• Rédiger et conserver les notifications actuelles adressées à une ou plusieurs autorités

responsables de la Protection des données, à la suite d’activités de traitement en cours

ou prévues par SEMAPHORES,

• Mettre en place et assurer le fonctionnement d’un système fournissant des réponses

rapides et appropriées aux demandes des Personnes concernées,

• Informer les principaux partenaires de SEMAPHORES de toutes les sanctions pénales et

civiles éventuelles qui pourraient être imposées à SEMAPHORES et/ou à ses employés

en cas de violation des lois applicables en matière de Protection des Données,

• S’assurer de l’établissement de procédures et de dispositions contractuelles normalisées

visant à assurer le respect de la présente politique par tout Tiers qui :

o Fournit des Données à caractère personnel à SEMAPHORES,

o Reçoit des Données à caractère personnel de SEMAPHORES,

o A accès à des Données à caractère personnel collectées ou traitées par SEMAPHORES.

20. Sensibilisation

20.1 L’équipe de direction de SEMAPHORES veillera à ce que tous ses employés traitant des Données

à caractère personnel soient informés du contenu de la présente politique et s’y conforment.

20.2 Tous les Employés de SEMAPHORES ayant accès aux Données à caractère personnel se verront confier leurs responsabilités en vertu de cette politique dans le cadre d’une formation initiale. En outre, chaque société au sein de laquelle SEMAPHORES détient, le cas échéant, une participation, organisera régulièrement des formations sur la Protection des données et conseillera son personnel sur les procédures à suivre.

20.3 La formation et les consignes de procédure énoncées comprendront, au minimum, les éléments

suivants :

• Les principes de Protection des données énoncés dans la section 4 ci-avant,

• Le devoir de chaque employé d’utiliser et de permettre l’utilisation des Données à

caractère personnel uniquement par des Personnes autorisées et à des fins dûment

approuvées,

• La nécessité et l’utilisation appropriée des formulaires et des procédures adoptés pour

mettre en oeuvre cette politique,

• L’utilisation correcte des mots de passe, des codes de sécurité et autres mécanismes

d’accès,

• L’importance de limiter l’accès aux Données à caractère personnel, par exemple en

utilisant des économiseurs d’écran protégés par mot de passe et en se déconnectant

lorsque les systèmes ne sont pas surveillés par une personne autorisée,

• Le stockage sécurisé des fichiers manuels, des imprimés et des supports de stockage

électroniques,

• La nécessité d’obtenir l’autorisation appropriée et de recourir à des garanties

appropriées pour tous les transferts de Données à caractère personnel en dehors du

réseau interne et des locaux physiques de SEMAPHORES,

• L’élimination appropriée des Données à caractère personnel par le biais de dispositifs

de déchiquetage sécurisés,

• Tout risque particulier associé à des activités ou à des tâches spécifiques.

21. Gouvernance de tiers et de sous-traitants responsables du Traitement des données

21.1 En outre, SEMAPHORES veillera à ce que tous les Tiers mandatés par elle pour traiter des Données à caractère personnel (c’est-à-dire, ses sous-traitants responsables du traitement des données) soient informés du contenu de la présente politique et s’y conforment.

21.2 Cette conformité doit être garantie par tous les Tiers, qu’il s’agisse d’entreprises ou de particuliers, avant de leur donner accès aux Données à caractère personnel contrôlées par SEMAPHORES.

22. Évaluations d’impact sur la Protection des données

22.1 Le Responsable de la Protection des données veillera à ce qu’une évaluation de l’impact de la

Protection des données soit menée pour tous les systèmes ou processus nouveaux et/ou révisés dont il

est responsable. Dans le cadre de tout processus de révision de la conception du système informatique

et des applications, il évaluera l’impact de toute nouvelle utilisation technologique sur la sécurité des

Données à caractère personnel.

23. Contrôle de la conformité

23.1 Pour confirmer que SEMAPHORES respecte un niveau de conformité adéquat dans le cadre de la

présente politique, le Responsable de la Protection des Données procédera à un audit régulier de

conformité de la Protection des Données. Chaque audit évaluera :

• La conformité à la Politique en matière de Protection des Données à caractère personnel,

y compris l’attribution des responsabilités, la sensibilisation et la formation des

employés,

• L’efficacité des pratiques opérationnelles liées à la Protection des données,

• Le niveau de compréhension des Politiques en matière de Confidentialité et sur la

Protection des Données,

• L’exactitude des Données à caractère personnel stockées,

• La conformité des activités du Responsable du Traitement des Données,

• L’adéquation des procédures visant à remédier à la non-conformité et aux atteintes à la

protection des Données à caractère personnel.

23.2 Le Responsable de la Protection des données élaborera un plan assorti d’un calendrier visant à

corriger toute lacune identifiée, dans un délai défini et raisonnable.