Politique de confidentialité

 

La protection des données à caractère personnel représente un engagement majeur pour Things Mobile Srl (ci-après «Things Mobile» ou « la Société»).

L'entrée en vigueur du Règlement (UE) 2016/679 « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » (ci-après « RGPD») a constitué pour la Société l'occasion d'adapter encore davantage les activités qu'elle exerce aux principes de transparence et de protection des données à caractère personnel dans le respect des droits et des libertés fondamentales de toutes les personnes concernées, qu’il s’agisse de salariés, de collaborateurs, de clients, de fournisseurs ou de tiers souhaitant recevoir des informations.

Things Mobile a ainsi mis en œuvre un « Modèle organisationnel de protection des données à caractère personnel » dont nous décrivons ici les grandes lignes. Ce modèle a pour finalité l'analyse de tous les traitements de données, leur organisation fonctionnelle et leur gestion en toute sécurité et transparence. Cette section du site fournit également des informations sur les droits revenant aux personnes concernées ainsi que sur les modalités d'exercice de ces droits vis-à-vis du Responsable du traitement.

 

 

 

 

1.1 - PERSONNES

RESPONSABLE DU TRAITEMENT DES DONNÉES

Le Responsable du traitement des données est :

Things Mobile Srl (ci-après également « le RESPONSABLE DU TRAITEMENT»)

Piazza Luigi di Savoia, 22 ,20124 - Milan (MI)

Tél. +39 02/0283595427

e-mail: [email protected]

Courrier électronique certifié: [email protected]

N° TVA et code d'identification fiscale: 09882960967 

 

 

La déléguée à la protection des données est Laura Zanella (ci-après également «DPO»)

e-mail: [email protected]

 

Le RESPONSABLE DU TRAITEMENT a jugé utile de nommer un « Service chargé de la protection des données » interne composé de personnes, y compris externes, compétentes en termes organisationnels, techniques et informatiques.

Le service chargé de la protection des données a pour mission d'épauler le RESPONSABLE DU TRAITEMENT dans l'exercice de son activité.

 

Le RESPONSABLE DU TRAITEMENT a jugé utile de nommer un Délégué à la Protection des Données (DPO) conformément à l’article 37 du Règlement UE 2016/679. Ce DPO a pour mission d’agir en synergie avec le service interne de protection des données. LE DPO élit domicile auprès du RESPONSABLE DU TRAITEMENT qui pourra être contacté pour toute exigence relative au traitement des données à caractère personnel d’une quelconque personne concernée.

En vertu du Modèle organisationnel de protection des données à caractère personnel, chaque salarié/collaborateur du RESPONSABLE DU TRAITEMENT ne traitera que les données indispensables à l’exercice de sa mission en fonction de l’organisation interne et, surtout, des finalités indiquées et proposées à la personne concernée (principe dit de « limitation des finalités et de minimisation des données », article 5, alinéa 1, point b) et c) du RGPD). Une segmentation des traitements par catégorie homogène de personnes autorisées a ainsi été établie. Cette segmentation impose un domaine de traitement spécifique aux salariés/collaborateurs de chaque catégorie. Le RESPONSABLE DU TRAITEMENT a dispensé à chaque personne autorisée des instructions spécifiques concernant le traitement des données à caractère personnel. À cette fin, le système d’information a lui aussi été structuré en « compartiments étanches » dès sa conception. Depuis son poste de travail informatique, le salarié/collaborateur ne pourra accéder qu’aux données indispensables à l’exercice de ses fonctions. La catégorisation spécifique de chaque domaine de traitement ne se fait qu’après une analyse approfondie de la structure et de l’organisation de l’entreprise ainsi que du flux des données internes et externes de la Société. Elle est récapitulée dans une matrice interne spécialement prévue à cet effet qui délimite précisément le périmètre de traitement de chaque catégorie.

Les salariés/collaborateurs ont également reçu un règlement interne sur l’utilisation des outils informatiques et des règles de conduite à adopter concernant toutes les informations auxquelles ils accèdent dans le cadre de leurs fonctions

Afin de garantir une bonne adaptation aux principes afférents au traitement des données à caractère personnel, le RESPONSABLE DU TRAITEMENT a également prévu des cours de formation et de perfectionnement en la matière pour ses salariés/collaborateurs qui traitent des données à caractère personnel dans le cadre de leurs fonctions.

 

Le RESPONSABLE DU TRAITEMENT s’appuie sur des systèmes informatiques en vue de la gestion et de l’organisation de son activité. C’est la raison pour laquelle la grande attention accordée au développement des logiciels, leurs modalités d’utilisation et la sécurité des données constituent depuis toujours des piliers de l’activité du RESPONSABLE DU TRAITEMENT. Les personnes disposant de privilèges d’« administrateurs » internes au sein de l’entreprise sont spécifiquement nommées et formées à cet effet. Les autres sociétés externes spécialisées qui accèdent aux données de l’entreprise sont elles aussi spécifiquement nommées Sous-traitantes externes et/ou Administratrices système externes conformément à l’article 28 du RGPD.

Lorsqu’elle choisit des prestataires de services informatiques externes, la Société accorde une grande attention à leur professionnalisme, non seulement sur le plan technique mais aussi en termes de conformité et de protection des données, et elle privilégie les entreprises certifiées.

 

En principe, le RESPONSABLE DU TRAITEMENT gère en interne la quasi-totalité des activités de traitement. Les cas de sous-traitance à des tiers de certaines activités nécessitant un traitement de données pour le compte du RESPONSABLE DU TRAITEMENT sont dûment indiqués dans chacune des notes d’information. Dans ces cas de figure, la relation avec le tiers est régie par un contrat spécialement prévu à cet effet le désignant comme « Sous-traitant du traitement » aux termes de l’article 28 du RGPD.

Le RESPONSABLE DU TRAITEMENT confie cette activité de traitement à des tiers présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles à même de satisfaire les exigences prévues par le RGPD et d’assurer la protection des droits des personnes concernées.

  

Conformément aux principes de responsabilité, il revient au RESPONSABLE DU TRAITEMENT de mettre en œuvre une série de mesures – organisationnelles, physiques, juridiques, techniques et informatiques – en vue de prévenir le risque de violation des droits et libertés individuelles des personnes concernées. Afin d’atteindre cet objectif, une analyse des risques est constamment effectuée en fonction des traitements, des outils utilisés ainsi que de la catégorie ou du volume des données traitées.

  

Le Modèle organisationnel de protection des données à caractère personnel prévoit une analyse constante et rigoureuse des risques relatifs au traitement des données à caractère personnel. Ces risques sont identifiés pour chaque activité ou service fourni dans un Registre des activités de traitement tel que visé à l’article 30, alinéa 1 du RGPD.

Après analyse de l’activité de traitement effectuée par le RESPONSABLE DU TRAITEMENT, il est estimé qu’à ce jour aucune activité ne présente un risque susceptible de nécessiter l’analyse d’impact prévue par l’article 35 du RGPD (« l’AIPD »).

L’analyse des risques informatiques, des infrastructures matérielles et logicielles de l’entreprise ainsi que des mesures d’adaptation informatique a été effectuée à la fois par notre Administrateur système à l’aide d’outils et de listes de contrôle spécifiques et par une société externe spécialisée dans la sécurité informatique qui a mené un audit approfondi ainsi que des tests de sécurité. Les conclusions de l’enquête ont permis aux techniciens d’améliorer encore davantage les mesures de protection contre les cyberattaques et les menaces informatiques, ceci progressivement et proportionnellement aux risques inhérents aux droits et libertés des personnes concernées.

 

2.1 DROITS EN MATIÈRE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

Le RESPONSABLE DU TRAITEMENT estime qu’il est essentiel, également dans ce cadre, d’informer les personnes concernées de l’existence de certains droits leur revenant en matière de protection des données à caractère personnel. Ces droits sont énumérés ci-dessous.

 

La personne concernée a le droit d’être informée des modalités et des finalités du traitement de ses données à caractère personnel par le RESPONSABLE DU TRAITEMENT et d’obtenir les autres informations prévues par l’article 13 du RGPD. À cette fin, le RESPONSABLE DU TRAITEMENT a mis en place des processus organisationnels qui permettent, lors de l’acquisition ou de la demande des données à caractère personnel, la délivrance d’un modèle de note d’information créé « ad hoc » en fonction de la catégorie dont relève la personne concernée (salarié, client, fournisseur, etc.). Ce document permet de dûment informer toutes les personnes auxquelles les données se rapportent des modalités de traitement adoptées par le RESPONSABLE DU TRAITEMENT. Vous pouvez demander au RESPONSABLE DU TRAITEMENT ce modèle de note d’information en lui adressant une demande à cet effet.

 

• Droit de retrait du consentement (article 13)               

Vous avez le droit de retirer votre consentement à tout moment dans tous les cas de traitement ayant pour base juridique votre consentement. Le retrait du consentement ne porte par atteinte à la licéité du traitement fondé sur le consentement effectué avant ce retrait.

 

•  Droits d’accès aux données (article 15)           

Vous avez le droit de demander a) les finalités du traitement ; b) les catégories de données à caractère personnel concernées ; c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ; e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ; f) le droit d’introduire une réclamation auprès d’une autorité de contrôle ; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ; h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, alinéas 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. Vous avez le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement.    

 

•  Droit de rectification (article 16)         

Vous avez le droit d’obtenir la rectification des données à caractère personnel vous concernant qui sont inexactes et d’obtenir que les données à caractère personnel incomplètes soient complétées.

 

• Droit à l’oubli (article 17)             

Vous avez le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel vous concernant si les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière, si vous retirez votre consentement, s’il n’existe pas de motif légitime impérieux pour procéder au traitement de profilage, si les données ont fait l’objet d’un traitement illicite, si les données doivent être effacées pour respecter une obligation légale, si les données sont rattachables à des services Internet fournis à des mineurs sans le consentement afférent. Le responsable du traitement est tenu à l’effacement sauf si ce traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information, si la conservation des données répond au respect d’une obligation légale ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, pour des motifs d’intérêt public dans le domaine de la santé publique, des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, à des fins statistiques ou à la constatation, à l’exercice ou à la défense de droits en justice.

 

•  Droit à la limitation du traitement (article 18)            

Vous avez le droit d’obtenir du responsable du traitement la limitation du traitement lorsque vous contestez l’exactitude des données à caractère personnel (pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel) ou si le traitement est illicite mais que vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation, ou si les données vous sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice alors que le Responsable du traitement n’en a plus besoin.

 

•  Droit à la portabilité des données (article 20)

Vous avez le droit de recevoir les données à caractère personnel vous concernant que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et vous avez le droit de transmettre ces données à un autre responsable lorsque le traitement est fondé sur le consentement ou sur un contrat et si le traitement est effectué à l’aide de procédés automatisés. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ou si cette transmission porte pas atteinte aux droits de tiers.

 

• Droit d’opposition (article 21)

Vous avez le droit de vous opposer à tout moment, totalement ou partiellement, à un traitement de vos données à caractère personnel si le responsable ne démontre pas qu’il existe des motifs légitimes prévalant sur votre opposition ou si le traitement est effectué à des fins de marketing direct.

 

Droit d’introduire une réclamation auprès d’une autorité de contrôle (article 77).

Sans préjudice de tout autre recours administratif ou juridictionnel, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du règlement en la matière.         

 

En vue du bon exercice de vos droits, vous pouvez demander des informations au RESPONSABLE DU TRAITEMENT ou dûment remplir le formulaire d’accès que nous mettons à votre disposition ci-dessous.

 

 

1) Vous trouverez ci-dessous un document préliminaire à remplir afin de pouvoir exercer concrètement les droits qui vous reviennent en tant que personne concernée. Vous pourrez ainsi envoyer le formulaire au RESPONSABLE DU TRAITEMENT aux adresses indiquées ci-dessus conformément à la réglementation en vigueur.

 

Formulaire à imprimer et à remplir en précisant le droit demandé.

 

 

2)   Notes d’information :