Politiquede protection des données à caractère personnel

Résumé

Cette Politique de protection des données à caractère personnel du groupe CPI («Politique de protection des données à caractère personnel») définit les règles de protection des données à caractère personnel au sein du groupe CPI PROPERTY GROUP et dans ses sociétés affiliées («sociétés CPIPG»), y compris les obligations s’y rapportant des sociétés CPIPG. La politique de protection des données à caractère personnel copie les règles de protection des données à caractère personnel exigées par le RGPD et les autres législations nationales des Etats membres dans le domaine de la protection des données à caractère personnel.

Les sociétés CPIPG considèrent la protection des données à caractère personnel avec sérieux et disposent des données à caractère personnel dans la mise en œuvre de leurs activités commerciales avec les plus grandes précaution et responsabilité. Toute violation de la sécurité des données à caractère personnel peut avoir de graves conséquences juridiques et économiques pour les sociétés CPIPG, leurs employés et les personnes concernées, tout comme elle peut porter atteinte à la bonne réputation des sociétés CPIPG. L’application de la Politique de protection des données à caractère personnel dans l’ensemble des sociétés CPIPG permettra de minimaliser les risques de violation de la sécurité des données à caractère personnel ainsi que les risques en découlant.

Etendue

Cette Politique de protection des données à caractère personnel doit être respectée par les sociétés CPIPG et leurs employés. Elle concerne tout traitement des données à caractère personnel auquel se réfèrent le RGPD et les législations nationales des Etats membres.

1.Procédés et compétences

Les paragraphes ci-dessous décrivent les procédés que les sociétés CPIPG se doivent de respecter lors du traitement des données à caractère personnel. Ils comprennent également une brève description de la répartition des compétences et des rôles clés au sein des sociétés CPIPG dans le domaine du traitement des données à caractère personnel.

1.1 Obligations générales

Les sociétés CPIPG ont mis en œuvre et continueront de mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à sécuriser la protection des données à caractère personnel contre leurs abus, perte ou atteinte, et traiteront les données dans le respect du RGPD et des législations nationales des Etats membres dans le domaine de la protection des données à caractère personnel. La protection des données à caractère personnel se rapporte au traitement des données à caractère personnel des partenaires et des employés des sociétés CPIPG, des membres de leurs familles, des demandeurs d’emploi, des clients et de toutes les autres personnes physiques dont les données à caractère personnel sont traitées par les sociétés CPIPG.

1.2 Principes fondamentaux relatifs à la protection des données à caractère personnel

Lorsqu’elles traitent des données à caractère personnel, les sociétés CPIPG respectent les principes fondamentaux définis dans le RGPD. Les principes fondamentaux respectifs sont mentionnés ci-dessous :

1.3 Bases juridiques du traitement et les objets du traitement des données à caractère personnel

Le traitement des données à caractère personnel repose toujours sur des bases juridiques de traitement, parmi lesquelles figurent le consentement avec le traitement des données à caractère personnel, le respect des obligations juridiques, le respect d’une convention, un intérêt justifié, l’intérêt public ou la protection des intérêts de la personne concernée.

1.4 Traitement des catégories spécifiques de données à caractère personnel et des données à caractère personnel relatives à des affaires pénales

Les catégories spécifiques de données à caractère personnel et les données à caractère personnel relatives aux affaires judiciaires sont particulièrement sensibles, et donc un haut degré de protection s’y rattache. Tout traitement de catégories spécifiques de données à caractère personnel doit être consulté avec un délégué.

1.5 Transfert des données à caractère personnel

Les sociétés CPIPG peuvent rendre accessibles des données à caractère personnel à des tiers (y compris transmettre des données à caractère personnel dans le cadre du groupe) uniquement à certaines conditions. Des données à caractère personnel peuvent être communiquées à un tiers en situation de responsable du traitement sur la base d’une convention relative au traitement des données à caractère personnel. Des données à caractère personnel peuvent également être communiquées à un autre tiers en situation d’administrateur ou d’administrateur commun sur la base d’accords contractuels respectifs.

Dans le cas de demandes de rectification ou d’effacement de données à caractère personnel ou de restriction de traitement, les sociétés CPIPG informent à certaines conditions les tierces parties respectives auxquelles les données à caractère personnel ont été communiquées, à l’exception des situations où une telle transmission d’informations n’est pas possible ou nécessite des démarches disproportionnées. Les sociétés CPIPG informent les personnes concernées au sujet des tierces parties auxquelles les données à caractère personnel en question ont été communiquées uniquement sur demande des personnes concernées.

A certaines conditions, les sociétés CPIPG peuvent transférer des données à caractère personnel également vers des pays tiers à l’EEE ou à l’Union européenne ou à des organisations internationales. Pour évaluer les conditions légales auxquelles des données à caractère personnel peuvent être transférées vers des pays tiers ou à des organisations internationales, les sociétés CPIPG consultent le délégué.

1.6 Droits des personnes concernées

Les sociétés CPIPG entreprennent toutes les démarches nécessaires pour que les personnes concernées par les données puissent exercer leurs droits définis par le RGPD. Dans le rapport au traitement des données à caractère personnel, parmi les droits des personnes concernées figurent le droit à accéder aux données à caractère personnel, le droit à rectifier, à limiter leur traitement, le transfert ou l’effacement des données à caractère personnel, le droit de contester le traitement des données à caractère personnel et le droit de n’être l’objet d’aucune décision fondée exclusivement sur le traitement automatique des données à caractère personnel.

Les personnes concernées peuvent exiger de faire appliquer leurs droits par une demande écrite ou orale. Afin d’assurer une protection suffisante des données à caractère personnel traitées par les sociétés CPIPG et afin de prévenir tout abus des données à caractère personnel, les sociétés CPIPG ont adopté les règles indiquées ci-dessous pour vérifier l’identité des personnes concernées.

Les demandes écrites 

Pour une demande écrite d’application d’un droit concret, la personne concernée remplit le formulaire de demande qui se trouve en annexe de cette Politique de protection des données à caractère personnel, à télécharger ici. La signature de la personne concernée sur le formulaire doit être certifiée authentique. En fonction du doit local, la signature peut être légalisée par exemple devant un notaire, à la poste, dans un cabinet d’avocats, dans un consulat ou dans une mairie / auprès d’un conseil régional. La signature doit être légalisée dans le pays où la demande de la société CPIPG donnée est déposée personnellement à l’adresse du siège de la société CPIPG respective ou depuis lequel la demande a été envoyée par courrier par l’intermédiaire d’un prestataire de services postaux ou par des moyens électroniques certifiés (par exemple les « boîtes de données » en République tchèque). Notamment dans le cas où la personne concernée par les données envoie sa demande par courrier par l’intermédiaire du prestataire des services postaux d’un pays tiers de l’Espace économique européen ou de l’Union européenne, elle peut être contactée par la société CPIPG respective afin de vérifier de nouveau son identité.

Les demandes orales 

Les personnes concernées peuvent exiger l’application d’un droit concret aussi personnellement à l’adresse du siège de la société CPIPG respective. Votre identité sera vérifiée par un employé mandaté (par exemple à la réception) après présentation de l’un des documents suivants : carte d’identité, passeport ou autre document avec une photographie pouvant permettre de clairement vous identifier.

L’application des droits des personnes concernées ne doit pas porter atteinte aux droits de tierces personnes. Dans le cas où les demandes des personnes concernées seront manifestement infondées ou disproportionnées, notamment en raison de leur caractère répétitif, les sociétés CPIPG peuvent pour répondre à une demande demander des frais dont le montant ne dépassera toutefois pas celui des frais indispensables pour fournir les informations mentionnées plus haut ou pour assurer l’application des droits des personnes concernées par les données.

Les sociétés CPIPG assurent une communication suffisante et coopèrent de manière à ce que toutes les demandes reçues soient traitées dans les plus brefs délais. Les sociétés CPIPG coopèrent étroitement pour répondre à la personne concernée par les données dans le délai prescrit.

1.7 Rôles et obligations

Les sociétés CPIPG et leurs organes statutaires ont pour responsabilité de veiller à la conformité avec le RGPD et la législation nationale respective des Etats membres dans le domaine de la protection des données à caractère personnel.

1.8 Délégué de protection des données à caractère personnel et représentant dans l’UE

Les sociétés CPIPG siègeant dans l’UE mentionnées en annexe ont nommé un délégué qui a la responsabilité fonctionnelle et organisationnelle de veiller à la conformité avec les normes juridiques et les règles internes des sociétés CPIPG dans le domaine de la protection des données à caractère personnel.

Le délégué peut être contacté par e-mail à l’adresse dpo@cpipg.com ou par courrier à l’adresse Vladislavova 1390/17, 110 00 Prague 1, République tchèque.

Les sociétés CPIPG siègeant dans l’UE mentionnées en annexe ont nommé, conformément à l’article 27 du RGPG, un représentant qui a la responsabilité de veiller à la conformité avec les normes juridiques dans le domaine de la protection des données à caractère personnel. En qualité de représentant a été nommée la société Vilanel, a.s., siègeant à Vladislavova 1390/17, Prague 1, République tchèque, immatriculée au Tribunal municipal de Prague sous le numéro de référence B 13297, N° d’identification: 28211367. Le représentant peut être contacté par e-mail à l’adresse representative@vilanel.cz ou par courrier à l’adresse indiquée ci-dessus. Vous trouverez plus d’informations sur le représentant ici.

1.9 Obligations des propriétaires des données et de tous les employés

Tous les propriétaires des données dans le cadre des sociétés CPIPG et tous les employés sont tenus de traiter les données à caractère personnel en respectant les règles internes des sociétés CPIPG, le RGPD et les autres législations nationales des Etats membres dans le domaine de la protection des données à caractère personnel.

1.10 Déclaration des cas de violation de la protection des données à caractère personnel

Les sociétés CPIPG informent immédiatement le délégué/représentant dans l’UE compétent des cas de violation supposée de la protection des données à caractère personnel, dans tous les cas dans les 24 heures au plus tard. Si une violation de la protection des données à caractère personnel remplit les conditions pour être déclarée à l’autorité de contrôle compétente et/ou aux personnes concernées par les données, le délégué/représentant dans l’UE remplit cette obligation dans un délai de 72 heures suivant la violation de la protection des données à caractère personnel.

1.11 Effacement des données à caractère personnel

Les sociétés CPIPG traitent les données à caractère personnel uniquement pour une durée indispensable. Les données à caractère personnel sont effacées ou anonymisées dans les circonstances suivantes:

Les sociétés CPIPG lors d’un effacement ou d’une anonymisation mettent l’accent sur le respect des indispensables mesures de sécurité.

1.12 Gestion des documents

Les sociétés CPIPG traitent les documents conformément au RGPD. Les règles de réception, d’enregistrement, de circulation, de stockage et de suppression (destruction) des documents dans les sociétés CPIPG sont ancrées dans les règlements de suppression en vigueur des sociétés CPIPG.

Au terme du délai d’archivage, les documents sont éliminés conformément à la procédure de suppression établie, et ce avec un document permettant de démontrer la chose (approbation du propriétaire des documents ; approbation des archives publiques régionales compétentes ; attestation de suppression).

1.13 Publication des données à caractère personnel dans les médias publics et sur intranet

Les sociétés CPIPG peuvent publier des données à caractère personnel sur intranet, sur internet ou dans n’importe quel autre média uniquement avec le consentement de la personne concernée par les données, s’il n’existe pas d’autre base juridique de traitement dans le cas concret.

1.14 Informations relatives au traitement des données à caractère personnel

Si les sociétés CPIPG obtiennent des données à caractère personnel relatives aux personnes concernées par les données directement de ces personnes, les informations relatives au traitement de leurs données à caractère personnel sont transmises à ces personnes au moment de leur obtention. Si les données à caractère personnel ne sont pas obtenues directement des personnes concernées, les informations relatives au traitement leur sont transmises ensuite, généralement lors du premier échange (communication) avec la personne en question.

Les informations relatives aux traitements sélectionnés de données à caractère personnel, dans les cas où les informations relatives au traitement ne peuvent être transmises aux personnes concernées par les données lors de leur obtention, sont disponibles ici:  Informations sur certains traitements de données à caractère personnel par les sociétés du groupe CPIPG.

2. Termes élémentaires / abréviations

Personne concernée par les données

Personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées ; une personne physique identifiable est une personne physique pouvant être identifiée directement ou indirectement, particulièrement par référence à un certain identificateur, par exemple un nom, un numéro d’identification, des données de localisation, un identificateur de réseau ou à un ou plusieurs éléments particuliers de l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

Administrateur des données

Une personne physique ou morale, une institution publique, une agence ou autre qui, seule ou avec d’autres, définit les objets et les moyens de traitement des données à caractère personnel.

Responsable du traitement

Une personne physique ou morale, une institution publique, une agence ou autre qui traite les données à caractère personnel pour l’administrateur.

Données à caractère personnel

Toutes les informations relatives à la personne physique identifiée ou identifiable.

Catégories spécifiques de données à caractère personnel

Données personnelles témoignant de l’origine raciale ou ethnique, des opinions politiques, de la confession religieuse ou des convictions philosophiques ou de l’appartenance à des syndicats et traitement de données génétiques, de données biométriques dans le but d’une identification individuelle d’une personne physique et de données relatives à l’état de santé ou à la vie sexuelle ou à l’orientation sexuelle d’une personne physique.

Législation nationale des Etats membres dans le domaine de la protection des données à caractère personnel

Législation dans le domaine de la protection des données à caractère personnel adoptée par les Etats membres conformément au RGPD.

RGPD

Règlement n° 2016/679 du Parlement européen et du Conseil (de l’UE) du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (directive sur la protection des données personnelles).

Traitement des données à caractère personnel

Toute opération ou ensemble d’opérations avec des données à caractère personnel ou des fichiers de données à caractère personnel qui est effectuée à l’aide ou sans l’aide de procédés automatisés, comme le rassemblement, l’inscription, le classement, la structuration, l’enregistrement, l’adaptation ou la modification, la recherche, la consultation, l’utilisation, la mise à disposition par transmission, la diffusion ou toute autre mise à disposition, le rangement ou l’association, la limitation, l’effacement ou la suppression.

Délégué

Délégué chargé de la protection des données à caractère personnel (DPO).

Représentant dans l’UE

Personne physique ou morale établie dans un des Etats membres de l’UE, nommée par écrit par le responsable du traitement des données à caractère personnel ou l’administrateur conformément à l’article 27 du RGPD, représente le responsable ou l’administrateur pour remplir les obligations découlant de l’application du RGPD.

Informations anonymisées

Informations qui ne concernent pas une personne physique identifiée ou identifiable, y compris les données à caractère personnel anonymisées de manière à ce que la personne concernée ne soit pas ou ait cessé d’être identifiable.

Partie tierce

Toute personne morale ou physique qui n’est pas employée par la société, à l’exception des personnes concernées par les données.

Consentement

Toute manifestation libre, concrète, informée et catégorique de la personne concernée par les données de sa volonté, par le biais d’une déclaration ou d’une autre confirmation, d’accepter que ses données à caractère personnel soient traitées.

Annexe n° 1 – Liste des sociétés CPIPG ayant nommé un délégué

CZE

SVK

POL

HUN

ROU

Annexe n° 2 – Liste des sociétés CPIPG siègeant dans l’UE qui ont nommé un représentant dans l’UE

Annexe n° 3 – Modèle de demande

Demande d’application du droit de la personne concernée par les données à caractère personnel selon le RGPD (Règlement général sur la protection des données)

Instructions pour le demandeur

Si vous avez un doute ou une question relatif au mode de dépôt d’une demande, vous pouvez nous contacter par e-mail à l’adresse suivante: dpo@cpipg.com (Délégué de protection des données à caractère personnel) / representative@vilanel.cz (Représentant dans l’UE). Nous précisons que la réception d’une demande par courrier électronique – e-mail n’est pas un moyen garanti de communication et qu’il n’est pas possible d’assurer sa sécurité, son origine ni même sa bonne remise.