Règlement Général de Protection des Données
Le Groupe STEF (Ci-après STEF), spécialisé dans le transport et la logistique de produits sous température dirigée et le transport maritime de passagers et de fret, conscient des risques liés à la collecte et l’utilisation des données personnelles sur la vie privée de chacun, fait de la protection de ces données et le respect de la vie privée une préoccupation majeure.
La Politique Générale de Protection des Données Personnelles présente ainsi les engagements pris par STEF et ses Filiales ainsi que par l’ensemble de ses collaborateurs pour permettre une collecte et une utilisation responsable des Données Personnelles dans le strict cadre des activités du Groupe.
1 - Principes et règles applicables à la protection des Données Personnelles
STEF et ses Filiales collectent et traitent les Données Personnelles dans le respect des lois et réglementations européennes en vigueur, et notamment, du Règlement Général sur la Protection des Données (RGPD), et des différentes lois et réglementations nationales des pays d’implantions des Filiales du Groupe.
Définitions
- Données Personnelles : Toutes informations permettant d’identifier directement ou indirectement une personne physique.
- Responsable de Traitement des données : Personne, service ou organisme qui détermine les finalités et moyens du traitement.
- Sous-Traitant : Personne, service ou organisme qui traite les Données Personnelles pour le compte du Responsable de Traitement (prestataire informatique, sous-traitant transport, sous-traitant logistique, agence de communication….).
- Filiales : Sociétés intégrées dans le périmètre comptable de consolidation de STEF SA, tant en France que dans les pays où est implanté le Groupe, à savoir notamment l’Espagne, l’Italie, le Portugal, la Suisse, la Belgique, les Pays-Bas.
- Traitement : Toute opération ou ensemble d’opérations appliquées à des Données Personnelles telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la transmission.
- Personnes Concernées : Personnes physiques dont les Données Personnelles sont traitées.
1.1 - Responsable du Traitement des données
Le Responsable de Traitement des données personnelles est la société STEF SA ou ses Filiales telles que définies ci-dessus. Il peut être contacté de la manière suivante :
- Par le formulaire de contact disponible sur le site STEF.com ou sur le site STEF du pays.
- Par courrier postal, à l’adresse suivante : STEF SA - RGPD - 93 boulevard Malesherbes 75008 Paris
Le Responsable de Traitement s’engage à protéger les Données Personnelles conformément à la présente Politique Générale de Protection des Données Personnelles.
Dans le cas où l’intégrité, la confidentialité ou la sécurité des Données Personnelles des Personnes Concernées seraient compromises, le Responsable du Traitement pourra les informer par tout moyen si cela s’avère nécessaire et ce conformément à la réglementation en vigueur.
1.2 - Finalités des traitements
Les Données Personnelles traitées par STEF sont collectées et utilisées pour des objectifs, ou finalités, précises, dont sont informées les personnes concernées.
Chaque traitement dispose de ses propres finalités.
Ces traitements ont pour seul but de permettre à STEF de fournir et optimiser les services de transport et logistique de produits sous températures dirigées, de transport maritime de personnes et de fret, et de production des produits et services informatiques accessoires à ses activités commerciales.
Ces traitements répondent notamment à des besoins de recrutement, de communication commerciale, d’information, de livraison, de traçabilité des marchandises, de suivi de la qualité des services, de gestion du personnel, de gestion interne des activités et services…
Les finalités possibles sont, notamment, les suivantes :
- L’utilisation de nos sites web et de nos outils informatiques,
- La fourniture des informations ou des services demandés (notamment : l’envoi de newsletters, offres commerciales...études…campagnes d’emailling…),
- Le recueil des informations nous permettant d’améliorer nos produits et services,
- La communication à propos de différents évènements relatifs à STEF, incluant notamment la mise à jour des services, produits et le support client,
- La communication via les réseaux sociaux pour les stricts besoins des activités du Groupe,
- La transmission des factures et documentations liées à la réalisation de notre activité et ce quel que soit le support (écrit, digital, électronique..),
- La gestion du recrutement, gestion administrative du personnel (gestion des horaires de travail, planning, déplacements, congés, absences …), établissement des déclarations et respect des obligations légales et règlementaires locales en matière notamment de prélèvement des charges sociales, gestion des bases de données, gestion de la paie, gestion des éventuels régimes de protection sociale, de retraite complémentaire, gestion de la formation et des carrières, évaluation professionnelle, contrôle de l’activité des salariés et du respect des règles internes applicables au sein de l’entreprise, conduite d’enquêtes internes et de procédures disciplinaires, gestion de la procédure de rupture de contrat de travail, gestion de la télécommunication, gestion de l’utilisation des véhicules de service ou de fonction, gestion de l’annuaire interne et de l’intranet de l’entreprise.
- La collecte, la communication, l’échange, la transmission de toute documentation commerciale, financière, contractuelle, juridique, sociale, réglementaire,
- La réalisation d’études marketing à usage exclusivement interne,
- La sécurisation de l’ensemble de nos sites et véhicules, outils et moyens techniques d’exploitation selon les règles de sécurité et de sureté réglementairement ou légalement nécessaires.
- La gestion, la maitrise, l’optimisation des prestations de transport et de logistique effectuées par le groupe et ses Filiales
- Et tous autres usages rendus nécessaires pour l’exploitation de nos activités décrites ci-avant
Les Données Personnelles collectées ne sont utilisées que pour les finalités reprises ci-dessus et ne peuvent l’être pour des finalités autres que celles déterminées pour chaque traitement.
1.3 - Licéité des traitements (bases légales)
Le Traitement des Données Personnelles des Personnes Concernées par STEF est justifié par les bases légales suivantes :
- soit par l’exécution d’un contrat les liant à STEF
- soit par l’exécution de mesures précontractuelles prises à leurs demandes
- soit par le respect d’une obligation légale
- soit par la poursuite des intérêts légitimes de STEF.
1.4 - Consentement
En l’absence d’une des bases légales indiquées au point 1.3, un consentement spécifique et explicite, compréhensible et éclairé des Personnes Concernées est requis avant sa mise en œuvre.
Les consentements requis sont collectés et gérés conformément à la procédure de gestion des consentements du groupe.
1.5 - Catégories de données
Les catégories de Données Personnelles collectées varient en fonction de chaque traitement.
Néanmoins, quel que soit le traitement effectué, STEF ne collecte pas les données suivantes : informations relatives à l’origine raciale, aux opinions politiques, aux convictions religieuses, philosophiques ou raciales, orientation sexuelle, données génétiques.
Si une ou plusieurs données indiquée ci-dessus venait à être traitée, elle le sera uniquement de manière occasionnelle par STEF et dans le strict respect des exigences prévues par le Règlement (UE) 2016/679 du Parlement européen et du conseil du 6 janvier 2016 (RGPD).
1.6 - Limitation des données collectées (proportion et pertinence)
Seules les Données Personnelles strictement nécessaires aux finalités déterminées sont collectées.
STEF s’efforce à minimiser et limiter les données ainsi collectées et à les maintenir à jour.
1.7 - Durée de conservation et effacement
Les délais de conservation sont déterminés selon les critères suivantes :
- Exigences opérationnelles : période durant laquelle la donnée est nécessaire afin d’assurer l’exécution complète des prestations effectuées par STEF,
- Exigences légales et réglementaires : période pendant laquelle STEF est tenu de conserver les données compte tenu de ses obligations légales et réglementaires,
Les données concernant le ou la salarié(e) seront conservées pendant sa période d’emploi au sein de l’entreprise et au-delà, dans la limite des délais de prescription applicables.
A défaut de délai de conservation déterminé, les Données Personnelles collectées sont conservées pendant une durée limitée, nécessaire aux finalités déterminées, et qui ne pourra excéder 5 ans à l’issue du traitement effectué.
Au terme du délai de conservation déterminé, les données sont supprimées ou anonymisées.
1.8 - Destinataires des Données
Les Données Personnelles collectées, en fonction des traitements effectués, peuvent faire l’objet d’une communication aux destinataires suivants :
- Les services concernés des Filiales du Groupe STEF
- Les tiers ayant conclu un contrat avec le Groupe STEF et opérant comme Sous-traitants.
- Les organismes légaux et ou réglementaires de droit public ou privé.
En dehors des destinataires indiqués ci-dessus, aucune donnée n’est transmise sauf accord exprès préalable des personnes concernées.
1.9 - Sécurité et confidentialité
STEF met en œuvre des mesures de protection des données adaptées à la nature des données traitées et aux activités du Groupe.
Des mesures de sécurité physiques, logiques et organisationnelles appropriées sont prévues pour garantir une confidentialité optimale des données et, notamment, éviter tout accès non autorisé.
Concernant les mesures techniques de sécurisation, celles-ci font l’objet d’une Politique de Sécurisation des Systèmes d’Information (PSSI).
STEF exige de tout Sous-Traitant qu’il présente les garanties nécessaires pour assurer, a minima, le même niveau de sécurité, de protection et de confidentialité des données personnelles qui lui sont transmises ainsi qu’une conformité à la réglementation RGPD.
Dans certains cas, les données peuvent faire l’objet de transferts vers des pays situés hors de l’Union Européenne. STEF s’assure alors de la mise en place des outils juridiques permettant, conformément aux dispositions des articles 45 et 46 du RGPD, de s’assurer que les pays destinataires de ces données disposent d’un niveau de protection adéquat.
1.10 - Droits des personnes
STEF met en œuvre les moyens nécessaires afin que les Personnes Concernées puissent exercer leurs droits sur les Données Personnelles collectées de manière effective.
Rappel des principaux droits :
- Droit d’accès et de communication des données : Les Personnes Concernées disposent de la faculté d’accéder aux Données Personnelles qui les concernent.
- Droit de rectification/effacement des données : La législation habilite les Personnes Concernées à demander la rectification, la mise à jour ou encore l’effacement des données les concernant et qui peuvent s’avérer, le cas échéant, inexactes, erronées, incomplètes ou obsolètes.
- Droit d’opposition : Les Personnes Concernées peuvent s’opposer à l’utilisation de leurs Données Personnelles mais uniquement dans l’une des deux situations suivantes :
- Lorsque l’exercice de ce droit est fondé sur des motifs légitimes,
- Lorsque l’exercice de ce droit vise à faire obstacle à ce que les données recueillies soient utilisées à des fins de prospection commerciale.
- Droit à la portabilité des données : Les Personnes Concernées ont la possibilité de récupérer les Données Personnelles fournies au Responsable de Traitement pour être réutilisées.
Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé : Les Personnes Concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé si la décision produit des effets juridiques le concernant ou l’affecte de manière significative.
Modalités d’exercice de ces droits :
Les modalités de contact de STEF indiquées au point 1.1 permettent à chacun d’exercer ses droits sur ses données.
Formalisation des demandes :
- Si elles sont effectuées par voie postale, celles-ci doivent être adressées nécessairement par lettre recommandée avec accusé réception,
Eléments et précisions à fournir lors des demandes :
- Copie de tout document officiel justifiant sans contestation l’identité du demandeur et reconnu par la loi comme tel. Cette preuve est demandée en raison de l’obligation de sécurité et de confidentialité dans le traitement des données qui incombe au Responsable de Traitement.
- Les demandes doivent comporter, autant que possible, l’identifiant et/ou l’adresse mail utilisé(s) pour accéder au système STEF, les Données Personnelles transmises, le contexte dans lequel elles ont été collectées et/ou la nature des liens des Personnes Concernées avec STEF (salariés, représentant d’un client…).
- L’objet du droit exercé doit être sélectionné directement dans le formulaire de contact parmi les choix proposés.
- Dans un souci de sécurité des données, chaque demande fera l’objet d’un accusé réception adressé à l’adresse mail ou postale du demandeur selon les informations existantes. Une confirmation de l’identité de la Personne Concernée effectuant la demande sera alors faite via le lien figurant sur le mail adressé ou par retour de courrier.
Délais de réponse :
- Le Responsable de Traitement s’engage à répondre à toute demande dûment formalisée et documentée dans un délai raisonnable qui ne saurait dépasser 2 mois à compter de la réception de la demande.
- La date de réception prise en compte pour le calcul du délai visé ci-dessus correspond à la date d’envoi du formulaire ou la date de remise du recommandé avec accusé réception si la demande est faite par voie postale
2 - Suivi de la Politique Générale de Protection des Données Personnelles et des pratiques
La présente Politique Générale de Protection des Données Personnelles de STEF est accessible à tous sur les différents sites internet de STEF, notamment sur le site www.stef.com.
Par ailleurs, concernant le transport maritime de fret et de passagers, la Politique Générale de Protection des Données Personnelles de la Filiale en charge de cette activité est consultable sur le site www.lamerdionale.fr.
Celle-ci est régulièrement mise à jour pour prendre en compte les évolutions législatives et réglementaires en matière de protection des données personnelles ainsi que l’évolution du Groupe dans son organisation et ses activités.
Par conséquent, les Personnes Concernées sont invitées à consulter régulièrement cette Politique Générale de Protection des Données Personnelles afin de se tenir informé des derniers changements qui lui seront apportés.
Le traitement des Données Personnelles collectées par STEF est encadré par la présente politique, complétée par la Politique de Sécurité des Systèmes d’Informations (PSSI), des politiques de confidentialité propres à chaque site internet du Groupe et par l’ensemble des procédures et règles internes relatives aux principes évoqués dans le présent document.
Les principes « Secure by design » ou principe de prise en compte de la sécurisation des Données Personnelles dès la conception et de « Secure by default » ou principe de limitation des Données Personnelles sont intégrés dans les procédures de développement et de déploiement des nouveaux systèmes informatiques de STEF.
Contrôle de la conformité et évolution des pratiques :
La conformité des systèmes aux règles nationales et européennes de gestion et de sécurisation des données personnelles fait l’objet d’un contrôle régulier par les services internes STEF.
Des améliorations du fonctionnement des systèmes et de l’organisation de la gestion des Données Personnelles sont régulièrement apportées en fonction des diverses évolutions réglementaires, légales et techniques ainsi que des demandes d’exercice des droits soumises afin de garantir en permanence la meilleure sécurisation possible des Données Personnelles collectées et traitées ainsi que l’effectivité de l’exercice des droits des Personnes Concernées.