Politique de protection et de sécurité des données à caractère personnel

Dernière mise à jour : 28/03/2024

Politique de protection et de sécurité des données à caractère personnel

Le traitement de données personnelles est au cœur de l’activité de OHME (ONE HEART CHANNEL COMMUNICATION) ou de celle de nos clients. 

Par conséquent, la protection de ces données tient une place prépondérante au sein de nos engagements quotidiens vis-à-vis de nos partenaires commerciaux, mais également vis-à-vis des personnes concernées In Fine.

Ainsi, le présent document témoigne de l’engagement pris, de mettre en œuvre les mesures techniques et organisationnelles appropriées, lors de la collecte et/ou de l’utilisation des données des personnes concernées In Fine, dans le cadre de l’activité de OHME ou des prestations que nous effectuons pour le compte de nos clients.

Réglementation applicable

OHME s’engage à se conformer aux dispositions légales et/ou règlementaires en vigueur, applicables pour ses traitements de données à caractère personnel, et notamment le règlement européen sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 Avril 2016 applicable à compter du 25 Mai 2018, et la loi n°78-17 du 6 janvier 1978, modifiée, relative à l’informatique, aux fichiers et aux libertés. 

Par ailleurs, OHME suit les recommandations de l’autorité de contrôle française, à savoir la CNIL, en matière de protection des données

Définitions

Traitement de données : Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Données personnelles : Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

CNIL : Commission Nationale de l’Informatique et des Libertés

Responsable de traitement : la personne physique ou morale, publique ou privée, ou le service, qui détermine, seul ou avec d’autres, les finalités et les moyens du traitement.

Sous-traitant : la personne physique ou morale, publique ou privée, ou le service qui traite des données personnelles pour le compte du responsable de traitement.

Délégué à la protection des données

Afin de se conformer à la nouvelle réglementation européenne sur la protection des données (RGPD), OHME s’est fait accompagnée par une société spécialisée dans la mise en conformité RGPD. 

Dans cette continuité, pour répondre à l’exigence d’Accountability, OHME a désigné un Délégué à la Protection des données. 

Celui-ci a pour mission d’informer et de conseiller OHME, de veiller au respect de la réglementation applicable et notamment de veiller au respect des droits des personnes. Il est aussi l’interlocuteur privilégié de la CNIL.

Pour toutes questions relatives à la protection des données

Ecrire à DPO EXTERNE OHME _ ONE HEART CHANNEL COMMUNICATION _ 47 rue de Paradis 75010 PARIS

ou dpo@oneheart.fr   

Les données traitées

Les données personnelles que OHME traite sont de deux sortes:

• Les données liées au fonctionnement interne de notre société, à savoir les données de nos salariés, de nos clients ou prospects, de nos fournisseurs, que nous traitons en tant que responsable de traitement
• Les données relatives aux membres, donateurs ou prospects de nos clients, responsables de traitement, que nous traitons en tant que sous-traitant.

Ces données sont strictement nécessaires à notre fonctionnement interne ou à notre activité pour nous permettre d’accomplir notre mission.

Ainsi, nous sommes amenés à traiter :

Pour les membres/adhérents/donateurs et prospects de nos clients:

• Des données relatives à l’identité telles que nom, prénom, date et lieu de naissance..
• Des données relatives aux coordonnées telles que adresse postale, adresse email, numéros de téléphone fixe ou mobile
• Des données relatives aux statuts/ comportements et/ou centres d’intérêt des personnes concernées  permettant de définir un profil et de leur proposer une offre adaptée
• Des données relatives aux dons effectués (montant, date, etc..)
• Des données relatives aux échanges entre nos clients et leurs membres/adhérents/donateurs
• Des données relatives aux paiements
• Des données recueillies grâce aux cookies

Pour les clients et/ou prospects, les visiteurs internautes, les fournisseurs ou partenaires de OHME  :

• Des données relatives à l’identité telles que nom, prénom, fonction dans l’entreprise
• Des données relatives aux coordonnées telles que adresse email, numéros de téléphone fixe ou mobile
• Des échanges commerciaux
• Des données recueillies grâce aux cookies 

Pour les salariés :

• Des données relatives à l’identité telles que nom, prénom, date et lieu de naissance..
• Des données relatives aux coordonnées telles que adresse postale, adresse email, numéros de téléphone fixe ou mobile
• Des données relatives à l’image : photographie, vidéo
• des données relatives à la situation familiale, à  la situation professionnelle, des données bancaires, le NIR, le taux d’imposition, CV et lettre de motivation

Les finalités des traitements

Les traitements mis en œuvre par OHME répondent à des finalités déterminées, explicites et légitimes.

Vos données peuvent notamment être traitées pour le compte de OHME _ ONE HEART CHANNEL COMMUNICATION pour:

• La gestion de nos relations commerciales
• La gestion de notre personnel
• Répondre aux obligations légales ou contractuelles 
• Effectuer le recouvrement de nos créances
• Répondre à vos demandes de contact ou d’informations
• Fournir des produits et services adaptés aux besoins
• Communiquer des informations relatives à nos produits et services
• Faire de la prospection, des études statistiques
• Répondre aux demandes d’exercice des droits des personnes concernées par l’usage de leurs données personnelles
• la gestion de nos newsletters

Vos données peuvent également être traitées pour le compte de nos clients, responsables de traitement pour:

• Optimiser la gestion de ses relations avec ses membres/adhérents/donateurs
• optimiser la gestion comptable 
• optimiser la gestion des transactions et faciliter les paiements
• permettre au responsable de traitement de répondre à ses obligations légales
• Répondre à vos demandes de contact ou d’informations
• Réaliser des études statistiques

Les fondements juridiques des traitements

Nous veillons à ce que chacun de nos traitements s’opère dans le respect de son fondement juridique qu’il s’agisse :

• De l’exécution d’une relation contractuelle 
• Du recueil de consentement 
• De la réponse à nos intérêts légitimes
• De la loi

Les destinataires des données personnelles traitées

Vos données personnelles ne sont communiquées par OHME qu’à des destinataires habilités et déterminés.

Ces destinataires peuvent avoir accès à vos données dans les limites nécessaires à l’accomplissement des finalités décrites ci-dessus.

Peuvent être destinataires :

• OHME _ ONE HEART CHANNEL COMMUNICATION et son personnel habilité et formé à la protection des données personnelles
• le GROUPE HOPENING auquel appartient ONE HEART CHANNEL COMMUNICATION
• Les prestataires et sous-traitants réalisant des prestations pour le compte de ONE HEART CHANNEL COMMUNICATION

La conservation des données personnelles

Concernant nos interlocuteurs commerciaux chez nos clients et prospects : 

• leurs données de contact sont conservées indéfiniment sauf si la personne concernée a fait valoir son droit d’opposition au traitement de ses données ou si les données ont été supprimées car obsolètes;
• les pièces comptables sont conservées 10 ans
• les contrats sont conservés 5 ans.

Les données relatives aux cookies sont conservées 13 mois.

Les données de nos abonnés à la newsletter sont conservées le temps de l’abonnement.

Les données des salariés sont principalement conservées le temps de la période d’emploi + 5 ans. De nombreuses particularités existent. Pour de plus amples informations, ces derniers  peuvent consulter le registre des traitements des Ressources Humaines de OHME _ ONE HEART CHANNEL COMMUNICATION afin d’obtenir le détail.

Les données personnelles relatives aux traitements effectués par OHME pour le compte de ses clients sont conservées le temps de la relation commerciale.

La politique de conservation/archivage et destruction des données vient compléter l’information sur ce point. 

Le transfert des données personnelles en dehors de l’Union Européenne

OHME peut parfois être amenée à transférer des données personnelles vers un pays situé hors de l’Union Européenne. Dans cette hypothèse, OHME s’engage à ce que le pays en question ait fait l’objet d’une décision de la commission européenne constatant qu’il assure un niveau de protection adéquat. En l’absence d’une telle décision, OHME s’engage à prévoir des garanties appropriées telles que la signature de clauses contractuelles types adoptées par la Commission européenne, des règles d’entreprises contraignantes, un code de conduite ou un mécanisme de certification approuvé conformément à l’article 46 du règlement sur la protection des données.

Le traitement des cookies 

En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs.

En l’espèce, le site internet de OHME plusieurs types de cookies :

• Des cookies techniques nécessaires à la navigation sur notre site, ainsi qu’à l’accès aux différents produits et services. Ils permettent en particulier notamment d’adapter la présentation du site aux préférences d’affichage de votre terminal (langue utilisée, résolution d’affichage). Ces cookies ne requièrent pas de consentement et ne peuvent être désactivés ou paramétrés sous peine de ne plus pouvoir accéder au site et/ou aux services du site.
• Des APIs : permettent de charger des scripts (programme qui exécute une action prédéfinie lorsque l’on réalise une action ou qu’une page web est affichée sur un écran)
• Des cookies de mesure d’audience de type Google Analytics. Ces cookies sont utilisés :

• Afin de mesurer l’audience des différents contenus et rubriques de notre site afin de les évaluer et de mieux les organiser.
• Le cas échéant, de détecter des problèmes de navigation et par conséquent d’améliorer l’ergonomie de nos services.

Ces cookies ne produisent que des statistiques anonymes et des volumes de fréquentation, à l’exclusion de toute information individuelle. La durée de vie de ces cookies de mesure d’audience n’excède pas 13 mois. 

• Des régies publicitaires qui permettent de générer des revenus en commercialisant les espaces publicitaires du site
• Vidéos: les services de partage de vidéo permettent d’enrichir le site de contenus multimédia et augmentent sa visibilité.

En accédant à notre site, votre accord est sollicité pour l’utilisation des cookies précités que vous pouvez librement accepter ou refuser, à l’exception des cookies techniques nécessaires au fonctionnement du site comme indiqué ci-dessus.

Vous pouvez à tout moment modifier votre choix sur le bandeau d’accueil ou en cliquant sur le bouton cookies en bas à gauche du site.

Engagements de OHME

OHME s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données personnelles dès la conception et de protection des données par défaut.

Sécurité des données

OHME met en œuvre toutes les mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres selon les besoins :

• Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• Une procédure visant à tester, analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

SÉCURISER LES POSTES DE TRAVAIL	Verrouillage automatique de session
SÉCURISER LES POSTES DE TRAVAIL	Pare-feu en cours
SÉCURISER LES POSTES DE TRAVAIL	Antivirus mis à jour en cours
SÉCURISER LES POSTES DE TRAVAIL	Procédures de mise à jour des antivirus en cours
SÉCURISER LES POSTES DE TRAVAIL	Pour l’assistance sur les postes de travail: recueil de l’accord et constat de la prise en main à distance
SÉCURISER L’INFORMATIQUE MOBILE	Moyens de chiffrement pour l’informatique mobile et secret exigé pour le déverrouillage des smartphones
PROTÉGER LE RÉSEAU INFORMATIQUE INTERNE	wi-fi chiffré à l’état de l’art protocole wpa2 ou wpa2-psk
PROTÉGER LE RÉSEAU INFORMATIQUE INTERNE	VPN imposé pour l’accès à distance
PROTÉGER LE RÉSEAU INFORMATIQUE INTERNE	Aucune interface d’administration n’est accessible depuis internet
SÉCURISER LES SERVEURS	Accès des serveurs limité aux seules personnes habilitées
SÉCURISER LES SERVEURS	Politique spécifique de mot de passe admin
SÉCURISER LES SERVEURS	Les mises à jour critique installées et vérifiées
SÉCURISER LES SERVEURS	sauvegardes quotidiennes
SÉCURISER LES SITES WEB	L’accès aux outils et interfaces d’administration du site limité aux seules personnes habilitées
SÉCURISER LES SITES WEB	utilisation du protocole TLS
SÉCURISER LES SITES WEB	Mise en conformité du site internet en matière d’information et du recueil de consentement pour les cookies
SAUVEGARDER ET PRÉVOIR LA CONTINUITÉ D’ACTIVITÉ	sauvegardes quotidiennes sur site extérieur
SAUVEGARDER ET PRÉVOIR LA CONTINUITÉ D’ACTIVITÉ	plan de reprise de continuité d’activité
SAUVEGARDER ET PRÉVOIR LA CONTINUITÉ D’ACTIVITÉ	procédure en cas de violation de données
SAUVEGARDER ET PRÉVOIR LA CONTINUITÉ D’ACTIVITÉ	Tests réguliers de la restauration des sauvegardes
ARCHIVER DE MANIÈRE SÉCURISÉE	Process de gestion des archives défini (politique)
ARCHIVER DE MANIÈRE SÉCURISÉE	modalités d’accès spécifiques aux données archivées (voir revue des habilitations)
ENCADRER LA MAINTENANCE ET LA DESTRUCTION DES DONNÉES	Maintenance encadrée contractuellement
ENCADRER LA MAINTENANCE ET LA DESTRUCTION DES DONNÉES	Suppression des données avant mise au rebut du matériel.
GÉRER LA SOUS-TRAITANCE	Vérification des mesures de sécurité des sous-traitants
GÉRER LA SOUS-TRAITANCE	Encadrement contractuel de la sous-traitance
SÉCURISER LES ÉCHANGES AVEC D’AUTRES ORGANISMES	Echanges de données personnelles uniquement via une plateforme sécurisée d’échange de données
PROTÉGER LES LOCAUX	Alarme anti-intrusion
PROTÉGER LES LOCAUX	Extincteurs en cas d’incendie
PROTÉGER LES LOCAUX	Les clés permettant l’accès aux locaux sont protégées
PROTÉGER LES LOCAUX	Tout visiteur est accompagné par un représentant de l’association
ENCADRER LES DÉVELOPPEMENTS INFORMATIQUES	Désignation d’un DPO
ENCADRER LES DÉVELOPPEMENTS INFORMATIQUES	Mise en place du principe de Privacy by design (DPO intégré dès la mise en place d’un nouveau traitement de données)

Par ailleurs, en cas de violation de données à caractère personnel, OHME s’engage à notifier la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Si la violation présente un risque élevé pour les droits et libertés d’une personne physique, OHME communiquera la violation à la personne concernée dans les meilleurs délais.

Par ailleurs, OHME exige en cas de sous-traitance, que les intervenants auxquels elle fait appel, présentent les mêmes garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles qu’elle lui confie.

Droit des personnes

Vous disposez de droits concernant le traitement de vos données personnelles, qui pourront être exercés dans les conditions fixées par la réglementation en vigueur, à savoir :

• Le droit d’être informé de façon compréhensible, aisément accessible sur les traitements de vos données qui sont mis en œuvre.
• Le droit d’accès à vos données
• Le droit de rectifier et d’obtenir la modification de vos données qui seraient inexactes ou incomplètes
• Le droit à l’effacement de vos données, à moins que nous ayons des raisons légales ou légitimes de les conserver
• Le droit de vous opposer au traitement lorsque celui-ci est fondé sur l’intérêt légitime du responsable de traitement
• Le droit de vous opposer, à tout traitement et sans frais, sans avoir à motiver sa demande, à ce que vos données soient utilisées à des fins de prospection commerciale
• Le droit à la limitation du traitement de vos données personnelles
• Le droit à la portabilité de vos données quand le traitement est fondé sur le consentement ou l’exécution des contrats et que le traitement est effectué à l’aide de procédés automatisés
• Le droit de retirer votre consentement à tout moment lorsque le traitement de vos données personnelles est fondé sur votre consentement
• Le droit de donner des instructions spécifiques ou générales concernant la conservation, l’effacement, et la communication de vos données personnelles, applicables après votre décès
• Le droit d’introduire une réclamation auprès de la CNIL

Pour toute question relative à l’exercice de ces droits, vous pouvez contacter le Délégué à la Protection des Données de OHME _ ONE HEART CHANNEL COMMUNICATION aux adresses suivantes :

• Par mail à dpo@oneheart.fr 
• Par courrier : Délégué à la Protection des Données externe _ OHME _ ONE HEART CHANNEL COMMUNICATION  47 rue de PARADIS 75010 PARIS

Autorité compétente

Vous disposez d’un droit de recours auprès de la Commission Nationale de l’Informatique et des Libertés en cas de violation de la réglementation applicable en matière de protection des Données personnelles et notamment du RGPD.

Registres et documentation

OHME _ ONE HEART CHANNEL COMMUNICATION déclare par ailleurs tenir : 

un registre des traitements de données qu’elle effectue comportant :

• Le nom et les coordonnées du responsable du traitement et du délégué à la protection des données
• Les finalités du traitement
• Une description des catégories de personnes concernées et des catégories de données à caractère personnel,
• Les catégories de destinataires auxquels les données à caractère personnel sont communiquées
• Les éventuels transferts de données vers un pays tiers ou à une organisation internationale, y compris l’identification de celui-ci
• Les durées de conservation,

un registre des catégories de traitements qu’elle effectue pour le compte de ses clients, responsables de traitement.

Une documentation attestant de la conformité RGPD est également tenue.

Politique de Protection des données personnelles mise à jour  le 30 Janvier 2024.