Depuis 1924, la Carac défend les intérêts de ses adhérents et se fait un devoir d’être à la hauteur de leur confiance. Aujourd’hui, à l’heure où les données personnelles sont devenues le nouvel or noir du XXIe siècle, la Carac s’engage afin de garantir à tous ses adhérents la protection et la sécurité de leurs données personnelles.
Le Règlement Général sur la Protection des Données (« RGPD ») applicable dans l’ensemble des Etats membres de l’Union européenne (UE) depuis le 25 mai 2018, est venu renforcer les droits des personnes physiques sur leurs données personnelles grâce à un régime harmonisé des principes de protection au sein de l’Union européenne.
Le RGPD prévoit un principe de « responsabilité » des acteurs devant être en capacité de démontrer, à tout moment, la mise en œuvre les mesures appropriées permettant de garantir le respect des obligations leur étant imposées.
Ces exigences se matérialisent notamment par la tenue d’un registre des traitements afin de documenter la conformité des traitements de données personnelles opérés par la Carac et la mise en œuvre de mesures de sécurité renforcées. Le non-respect de ces règles pouvant conduire à des sanctions et à dégrader l’image de la Carac.
Face à ces enjeux, la Carac a décidé de se doter d’une Politique de générale de protection des données (ci-après « Politique ») destinée à garantir la protection des données personnelles des collaborateurs, des partenaires, des adhérents, des élus, des locataires des immeubles d’investissement et des fournisseurs de la Carac dans le respect du RGPD.
La protection des données personnelles contribue à pérenniser la confiance de nos collaborateurs, de nos adhérents, élus et partenaires. Il s’agit d’un enjeu significatif pour l’exercice durable de nos activités.
La Direction Juridique et en particulier le DPO sont chargés en coopération avec le RSSI de faire appliquer cette Politique au nom du Conseil d’administration.
Nous demandons donc à l’ensemble des collaborateurs de se mobiliser pour garantir sa bonne application.
Toute question relative aux modalités d’application de la Politique ou tout autre sujet relatif aux données personnelles peut être adressé à l’adresse suivante : dpo[at]carac.fr
La présente Politique a pour objet de définir les normes de conformité, les processus, et les mesures de contrôle que la Carac met en œuvre afin de respecter la réglementation applicable en matière de protection des données personnelles (Règlement Général sur la Protection des Données du 27 avril 2016 et la Loi informatique et libertés du 6 janvier 1978 et ses modifications ultérieures, ainsi que la Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques).
La Politique comprend l’ensemble des principes qui visent à créer au sein de la Carac un cadre commun de règles pour gérer la protection des données personnelles et d’en garantir un niveau élevé.
Les principes sont déclinés au sein de procédures opérationnelles auxquelles la Politique renvoie. Elle établit également des règles de gouvernance qui précisent les rôles et responsabilités des acteurs de la protection des données personnelles.
La mise en œuvre et le respect de la Politique sont supervisés par le DPO pour les thématiques liées à la sécurité des données personnelles.
Responsable du traitement : L’organisme déterminant les finalités et les moyens des traitements, en l’espèce la Carac.
Personne concernée : Personne physique identifiée ou identifiable, directement ou indirectement par référence à une Donnée personnelle.
DPO ou Data Protection Officer : Le Délégué à la Protection des Données, garant interne en matière de conformité de la protection des données personnelles.
Donnée(s) personnelle(s) : Toute information se rapportant à une Personne concernée, par exemple un identifiant, un numéro d’adhérent, un numéro de garantie, un nom ou un ou plusieurs éléments spécifiques propres à son identité physique, génétique, psychique, économique ou sociale.
Traitement : Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Limitation du traitement : Le marquage de Données personnelles conservées, en vue de limiter leur traitement futur.
Profilage : Toute forme de traitement automatisé de données personnelles consistant à utiliser ces données personnelles pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Pseudonymisation : Le traitement de Données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une Personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable.
Sous-traitant : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du Responsable du traitement.
Destinataire : La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de Données personnelles.
Violation de données personnelles : Une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
La présente Politique s’applique à tout traitement de données personnelles opéré par la Carac, quelle que soit :
La présente Politique s’applique dès lors que la Carac effectue un traitement de données personnelles sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE.
Tous les collaborateurs sont individuellement responsables du respect de cette Politique, y compris du respect des politiques, procédures, processus, ou autres documents annexes auxquels elle renvoie. Le respect est obligatoire : toute violation peut donner lieu à des mesures disciplinaires dans les conditions prévues par la loi.
Toute personne travaillant chez, pour, ou avec la Carac a une part de responsabilité dans la conformité à la réglementation applicable. Cependant, certaines personnes ont des domaines de responsabilités clés.
La Carac a désigné un DPO joignable à l’adresse : dpo[at]carac.fr
Le DPO est l’interlocuteur principal pour toutes les questions concernant les données personnelles et est responsable de la définition des normes de protection des données et assure la vérification de leur application.
Au sein de la Carac, le DPO a pour mission :
Aux fins de la gouvernance de la protection des données personnelles, les articles 37-39 du RGPD et les lignes directrices du Conseil européen de la protection des données sont utilisés pour établir les normes minimales en ce qui concerne le statut, les obligations, les fonctions et le profil du DPO.
En particulier, la Carac s’est assuré de l’indépendance, de l'expertise et des compétences du DPO désigné.
La Carac a désigné un RSSI joignable à l’adresse : rssi[at]carac.fr
Le RSSI travaille de concert avec l’équipe DPO pour toutes questions concernant la sécurité des données personnelles.
Au sein de la Carac, le RSSI a pour mission :
La Carac met également au cœur de sa gouvernance le Conseil d’administration qui s’engage à œuvrer pour la promotion d’une culture de conformité.
Pour permettre de piloter la conformité, le Conseil d’administration de la Carac s’engage notamment à :
Un comité de protection des données doit se réunir à minima une fois par an afin de présenter la stratégie relative à la protection des données personnelles au sein de la Carac et pour permettre le suivi de cette dernière.
Le Comité RGPD assure la cohérence de la mise en œuvre de la protection des données par les opérationnels de la Carac. Il permet d’orienter et de valider les demandes et besoins des métiers en fonction des problèmes rencontrés par les différentes activités techniques et métiers de la Carac en matière de protection des données.
Le comité RGPD est composé :
La Carac met en œuvre un ensemble d’outils, de procédures, de politiques, de processus afin d’assurer la conformité à la réglementation applicable et notamment au principe de responsabilisation.
Toute la documentation permettant à la Carac de démontrer sa conformité est disponible au sein d’un espace dédié à la protection des données pour les registres des traitements.
Les collaborateurs ont également accès à toute documentation utile leur permettant de connaître les règles applicables et les processus à suivre au quotidien.
La Carac met en place dans le Teams CARAC RGPD :
La Carac a également élaboré et déployé des processus, des politiques et des procédures en matière de sécurité, notamment :
Le principe de responsabilisation est un processus continu. Par conséquent, toute cette documentation est mise à jour de manière continue pour s’assurer qu’elle reste conforme, exacte et à jour (e.g., évolution des traitements, changement de prestataire, changement de mesures techniques ou organisationnelles de sécurité applicables, etc.).
Le DPO est également joignable à l’adresse suivante mise à disposition de tous les collaborateurs : dpo[at]carac.fr
Le DPO mène régulièrement des contrôles et des audits internes de conformité à la réglementation applicable et à la présente Politique.
Le DPO, avec l’appui du RSSI le cas échéant, testent, analysent, et évaluent les mesures juridiques, techniques et organisationnelles afin de vérifier leur efficacité.
La Carac pourra effectuer le contrôle de ses sous-traitants et sous-traitants ultérieurs afin de vérifier le respect des obligations contractuelles convenues ainsi que de la réglementation applicable.
Ces contrôles et audits sont documentés et font l’objet de rapports d’audits. Lorsque des mesures correctives doivent être adoptées et implémentées par le sous-traitant ou le sous-traitant ultérieur, cela fait l’objet d’un plan d’actions ou de remédiation suivi par le DPO avec l’appui du RSSI, le cas échéant. Les résultats de ces contrôles pourront être mis à disposition de l’autorité de contrôle compétente (la CNIL en France).
La Carac s’assure que les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes, et qu’elles ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.
A ce titre, lors de la mise en place d’une nouvelle activité de traitement, les collaborateurs doivent expliquer tous les objectifs et les finalités au DPO afin de garantir des conseils précis sur la conformité à la réglementation applicable et à la présente Politique.
Si une nouvelle finalité n’a pas été prévue ou communiquée au DPO, les collaborateurs ne pourront pas utiliser les données jusqu’à ce qu’un nouvel examen soit effectué.
La Carac s’assure que les données personnelles sont traitées de manière licite, loyale et transparente. En particulier, la Carac est garante de la licéité des traitements qu’elle réalise.
Le DPO porte également une attention particulière lorsque des données sensibles sont appelées à être traitées puisque des exigences additionnelles seront à respecter. En effet, le principe étant l’interdiction de traiter ces données sensibles, il conviendra de répondre strictement à l’une des dérogations édictées par la réglementation applicable et respecter de surcroît des exigences spécifiques pouvant provenir d’autres textes juridiques. Les données sensibles visent toutes les informations de nature à révéler l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques ou biométriques, les données concernant la santé, la vie ou l’orientation sexuelle d’une personne.
La Carac s’assure que les données collectées sont adéquates, pertinentes et limitées par rapport aux finalités pour lesquelles elles sont traitées et qui ont été communiquées aux personnes concernées. La Carac doit ainsi démontrer pourquoi les données personnelles sont traitées et en quoi elles sont non excessives au regard des finalités.
Le principe de minimisation devant être pris en compte dès le début de chaque projet, cette minimisation devra être vérifiée par le DPO lors de l’analyse susmentionnée. Ce principe de minimisation s’applique d’ailleurs également dans le cadre des transferts de données hors UE. Une attention particulière est portée aux modalités de collecte des données (directe, indirecte, auprès de tiers, etc.)
La Carac s’assure que les données traitées soient exactes et tenues à jour. A ce titre, la Carac pourra effectuer des audits réguliers et mettre en place des processus opérationnels pour vérifier que les données personnelles traitées restent exactes et à jour et rectifie toute inexactitude ou efface toute donnée personnelle périmée.
La Carac s’assure de ne pas conserver les données personnelles au-delà de la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, dans le respect de la législation française et européenne applicable.
La Carac prend appui sur un référentiel des données de conservation devant être suivi. Ce référentiel indique les durées de conservation en base active ainsi qu’en base intermédiaire devant être en principe appliquées. En cas de doute sur la durée de conservation applicable, qui se détermine au cas par cas en tenant compte de la finalité du traitement mais aussi de la réglementation applicable, ou si un département au sein de la Carac s’écarte de ce référentiel, le DPO doit être saisi afin d’émettre un avis. En cas de non-respect du référentiel, le DPO rédige une note à destination du Département concerné afin que ce dernier puisse prendre une décision en connaissance des risques.
Une fois la période de conservation atteinte, la Carac s’engage à supprimer de manière irréversible toutes les copies des données personnelles (y compris des sauvegardes) ou les anonymise.
La Carac traite les données personnelles de façon à garantir leur sécurité appropriée, y compris contre les traitements non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle.
Pour cela, la Carac met en place des mesures techniques et organisationnelles appropriées permettant de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles, compte tenu notamment de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques. La Carac prend également en compte les résultats des analyses des risques réalisées dans le cadre des Analyse d’Impact relative à la Protection des Données personnelles (AIPD) et, le cas échéant, des exigences légales spécifiques en matière de sécurité devant être respectées en fonction des données personnelles traitées (par exemple, les données de santé, le numéro de sécurité sociale, etc.).
La Carac évalue et teste régulièrement l'efficacité de ces mesures pour assurer la sécurité de ses traitements.
La Carac veille à informer les personnes concernées des traitements de données personnelles réalisés, y compris les collaborateurs, les adhérents, les élus, les visiteurs de son site web, les partenaires commerciaux, etc.
La Carac s’assure que les informations communiquées aux personnes concernées sont concises, transparentes, compréhensibles, intelligibles, adaptées au public, en des termes clairs et simples, et mises à disposition par des moyens aisément accessibles et adaptés aux modalités de collecte. La Carac s’assure également que les mises à jour de ces informations respectent les mêmes exigences.
La Carac met en place une information destinée aux personnes dans la politique de protection des données, dans les formulaires, le bandeau cookies et tout autre support le cas échéant, en conformité avec les exigences de la réglementation applicable.
Les collaborateurs ont l’obligation de respecter cette procédure. En cas de doute, ils ont l’obligation de saisir le DPO.
La Carac s’assure du respect des droits des personnes concernées, à savoir : le droit d’accès, le droit de rectification, le droit d’effacement, le droit à la limitation du traitement, le droit à la portabilité, le droit d’opposition y compris au profilage, les droits spécifiques en matière de décisions individuelles automatisées, le droit au retrait du consentement, ainsi que le droit de donner des directives après son décès.
La Carac a notamment mis en place des moyens permettant aux personnes concernées d’exercer leurs droits de manière simple et appropriée. Les personnes concernées sont informées de ces modalités au sein des formulaires, contrats, de la politique de protection des données mises à leur disposition et peuvent exercer ces droits à tout moment.
La Carac a mis en place une procédure de gestion des demandes d’exercice des droits décrivant les modalités mises en œuvre pour faciliter l’exercice des droits avec les processus à suivre en cas de réception d’une demande, y compris des modèles de réponses. Les collaborateurs doivent notamment remonter toute demande qui n’aurait pas été réceptionnée par le DPO afin d’assurer le suivi conforme de la procédure.
La Carac maintient enfin un registre de suivi des demandes d’exercice des droits.
La Carac s’assure que la protection des données est intégrée dans la gestion des projets ainsi que dans la conception des produits et ce dès leur conception et par défaut.
En particulier, chaque collaborateur est chargé de s’assurer que son projet est conforme au RGPD pendant les phases de conception, de construction et d’exécution.
Les Départements de la Carac doivent remonter chaque projet en amont de la phase de conception au DPO ainsi qu’au RSSI et toute autre partie prenante pertinente, le cas échéant comme la Direction Juridique en cas de recours à un nouveau prestataire, afin d’assurer la conformité à la réglementation applicable.
Nos solutions
Nos services
Pourquoi choisir la Carac ?