Déclaration de préparation au GDPR

SafeStart International et toutes les sociétés de son groupe s'engagent à respecter pleinement le Règlement général sur la protection des données (RGPD) et ont mis en place un solide programme de protection des données et de la vie privée pour garantir le traitement légal, sécurisé et transparent des données personnelles. Notre approche est fondée sur l'amélioration continue, l'ingénierie de la vie privée et l'adhésion aux normes de sécurité mondiales.

Principaux éléments de notre cadre de conformité au GDPR

1. Inventaire des données, cartographie et registre des activités de traitement (RoPA)
Nous tenons un registre complet des activités de traitement (RoPA), conformément à l'article 30. Ce registre est continuellement mis à jour afin de refléter les flux de données, les finalités du traitement et les périodes de conservation de toutes les données à caractère personnel au sein de notre organisation.

2. Respect de la vie privée dès la conception et par défaut (article 25)
Le respect de la vie privée et la protection des données sont intégrés dans la conception de nos systèmes et processus. Par défaut, nous minimisons la collecte et le stockage des données à caractère personnel et veillons à ce que tous les traitements de données soient adaptés aux finalités. Cela inclut l'utilisation de techniques telles que la pseudonymisation, les contrôles organisationnels, le masquage des données et le cryptage.

3. Évaluations de l'impact sur la protection des données (DPIA) et gestion des risques
Pour les activités de traitement à haut risque, nous menons des évaluations de l'impact sur la protection des données (DPIA) conformément à l'article 35 afin d'identifier les risques et de mettre en œuvre des stratégies d'atténuation appropriées. Cette approche fondée sur les risques garantit la conformité tout en préservant les droits des personnes.

4. Gestion des droits des personnes concernées (articles 12 à 23)
Notre système de gestion des demandes d'accès des personnes concernées (DSAR) garantit des réponses rapides aux demandes des personnes concernées. Il s'agit notamment des droits suivants

  • L'accès : Fournir des copies des données à caractère personnel sur demande
  • Rectification et effacement : Corriger les données inexactes et les effacer lorsqu'elles ne sont plus nécessaires.
  • Portabilité des données : Fournir des données à caractère personnel dans un format structuré et lisible par une machine.
  • Objection au traitement et à la prise de décision automatisée : Garantir des options de refus pour le traitement automatisé et le profilage

5. Transferts internationaux de données et clauses contractuelles types (CCN)
Lorsque des données à caractère personnel sont transférées en dehors de l'Espace économique européen (EEE), nous adhérons au chapitre V du GDPR. Nous utilisons des clauses contractuelles types (CCN), qui assurent des garanties adéquates pour les flux de données transfrontaliers. En outre, des évaluations de l'impact des transferts (EIT) sont réalisées pour évaluer les risques dans les pays tiers.

‍6.Conservation des données et suppression sécurisée
Nos politiques de conservation des données sont fondées sur les principes de minimisation des données et de limitation du stockage (article 5, paragraphe 1, point e)). Nous appliquons des calendriers de suppression des données automatisés afin de garantir que les données à caractère personnel sont supprimées une fois qu'elles ne sont plus nécessaires à leur finalité initiale, conformément aux exigences légales et réglementaires. Des processus de suppression sécurisés sont appliqués aux dossiers physiques et numériques.

‍7.Mesures de sécurité et certifications industrielles
Nous avons mis en œuvre une série de mesures techniques et organisationnelles (MTO) conformément à l'article 32 pour protéger les données à caractère personnel. Il s'agit notamment de :

  • Chiffrement (AES-256 et TLS 1.3) des données au repos et en transit
  • Authentification multifactorielle (MFA) et contrôle d'accès basé sur les rôles (RBAC)
  • Segmentation du réseau et systèmes de détection des menaces
  • Gestion des incidents et des événements de sécurité (SIEM) pour une surveillance et une réponse continues

Certifications industrielles :

  • ISO/IEC 27001:2022 : notre système de gestion de la sécurité de l'information (SGSI) est conforme aux normes ISO/IEC 27001:2022 afin de garantir la confidentialité, l'intégrité et la disponibilité des données.

8. Gestion des fournisseurs tiers
Tous les sous-traitants tiers font l'objet d'un contrôle strict et d'une diligence raisonnable afin de garantir la conformité au GDPR. Nous avons mis en place des accords sur le traitement des données (DPA) et contrôlons en permanence la conformité des fournisseurs par le biais d'audits et d'évaluations réguliers.

‍9.Contrôle permanent, audits et amélioration continue
La conformité est un processus continu. Nous vérifions régulièrement notre cadre GDPR afin d'identifier les domaines à améliorer. Notre équipe de conformité interne travaille en étroite collaboration avec des auditeurs externes pour garantir le respect des exigences réglementaires en constante évolution. Toute lacune est comblée grâce à un processus structuré de mesures correctives.

Informations de contact‍

Pour plus d'informations sur notre programme de conformité GDPR, les mécanismes de transfert international de données, ou pour exercer vos droits en matière de protection des données, veuillez contacter :
privacy@ssi.safestart.com