La société TEST a pour objet social la réalisation d’études de marchés et sondages. Dans ce cadre elle est amenée à traiter des données à caractère personnel communiquées par ses clients ou à en collecter pour leur compte.
TEST intervient donc comme sous-traitant qui se définit comme toute personne qui traite des données à caractère personnel pour le compte d’une autre entité, le responsable de traitement.
Le sous-traitant se différencie de ce dernier en ce qu’il ne définit ni la finalité du traitement (ce pour quoi les données sont traitées) ni les moyens essentiels du traitement (les procédés par lesquels les données seront principalement traitées).
Le Règlement Général sur la Protection des Données (RGPD) entrée en vigueur le 25 mai 2018 a pour but de donner plus de contrôle aux individus de l’Union Européenne sur la manière dont leurs données sont traitées par les entreprises.
TEST a pris en compte cette réglementation et a mis en oeuvre les mesures nécessaires pour s’y conformer.
Dans le cadre de nos activités, nous nous engageons à faire le maximum pour protéger les données à caractère personnel que nous sommes amenées à traiter et assurer leur sécurité, leur pérennité et leur confidentialité.
Cependant, aucun système de transmission ou de sécurité n’est garanti à 100 % contre l’intrusion ou le piratage, et que le partage des informations à caractère personnel en ligne représente toujours un risque.
Le présent document est destiné à présenter les engagements de TEST pour se conformer aux RGPD en tant que sous-traitant.

Nous nous engageons à :

• traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
• traiter les données conformément aux instructions du responsable de traitement. Si nous considérons qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, nous en informons immédiatement le responsable de traitement. En outre, si nous sommes tenus de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel nous sommes soumis, nous devons informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
• garantir la confidentialité des données à caractère personnel traitées pour le compte du responsable de traitement
• veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
• veiller à ce que le personnel reçoive la formation nécessaire en matière de protection des données à caractère personnel
• prendre en compte, s’agissant de nos outils, produits, applications ou services, les principes de protection des données dès la conception.

Nous tenons par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant notamment :

• le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données
• la finalité du traitement effectué
  
• les catégories de données personnelles concernées et leurs durées de conservation
• dans la mesure du possible, une description générale des mesures de sécurité techniques et  organisationnelles, y compris la pseudonymisation des données à caractère personnel
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées.

.Nous mettons tout en œuvre pour empêcher la perte, l’usage abusif ou la modification des données personnelles traitées par des précautions techniques et organisationnelles.

Ainsi, nous nous engageons à mettre en œuvre les mesures de sécurité suivantes :

❍ Sécurisation des locaux :

Les locaux sont sécurisés par badge magnétique (ascenseurs et portes d’entrée) et ne sont accessibles qu’aux membres du personnel disposant d’un badge.

❍ Moyens informatiques :

• Stockage des données : plateforme Microsoft Office365
• Baie informatique fermée à clef et protégée par un Pare-feu Stormshield Appliance SN310 limitant et contrôlant les entrées/sorties sur le réseau interne concentre l’arrivée de la connexion internet et les câbles RJ45 redistribuant cette connexion.
• Connexion Wifi par deux bornes Aruba Instant AP22 protégée par un mot de passe de 14 caractères comprenant des lettres majuscules, minuscules, des caractères spéciaux et des chiffres.
• Application de la politique de sécurité renforcée de Microsoft avec mot de passe individuel d’accès au compte MS Office 365 et double authentification au travers de l’application Authenticator. Système de sécurité des licences Office365.
• Les données personnelles sont stockées sur un espace dédié réservé aux seules personnes du service en charge de la prestation exécutée pour le compte du responsable de traitement.
• Utilisation d’un serveur FTP hébergé par Infomaniak pour les échanges externes de données avec les partenaires, clients, prestataires et soustraitants, ainsi que d’un serveur SFTP (Secure File Transfer Protocol) hébergé par la société Ionos.
• Destruction des données personnelles traitées pour le compte du responsable de traitement selon ses instructions.

❍ Moyens humains :

• Responsabilisation des salariés de TEST soumis à un accord de confidentialité
• Assurer au personnel de TEST l’information et la formation nécessaires en matière de protection des données à caractère personnel.

Nous nous engageons à notifier au responsable de traitement toute violation de données à caractère personnel le plus rapidement possible et dans un délai maximum de 72 heures après en avoir pris connaissance et par courriel. Cette notification est accompagnée de toute  documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Si nous sommes amenés à faire appel à un sous-traitant pour mener des activités de traitement spécifiques, nous nous engageons à en informer préalablement et par écrit le responsable de traitement. Cette information indiquera clairement les activités de traitement sous-traitées, l’identité du sous-traitant.
Nous veillerons à ce que nos sous-traitants présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.
Un contrat de sous-traitance sera à cet effet établit entre nous et le sous-traitant.