privacy statement

1. Objectif

Dans le cadre de son activité, HEMA collecte des informations à caractère personnel sur ses clients, les visiteurs de son site Internet et ses employés via ses magasins, son/ses site(s) Internet, son/ses application(s), ses offres spéciales, son programme de fidélité et ses autres services. HEMA est convaincue que la protection des données à caractère personnel revêt une importance capitale.

Le présent document contient les bases de la politique mise en place par HEMA en matière de protection de la vie privée, des informations à caractère personnel et des données. Aux fins de protéger la vie privée, les informations sensibles et les données à caractère personnel, la sécurité relève d'une priorité absolue pour HEMA. HEMA a donc pris des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre la perte ou toute forme de traitement illicite.

L'objectif de la présente Politique de Confidentialité est de fournir à toute personne travaillant pour HEMA les outils nécessaires afin de se conformer aux réglementations inhérentes à la protection de la vie privée et des données à caractère personnel.

 

2. Contexte

Outre les lois et réglementations nationales, l'Union européenne impose également des règles strictes en matière de protection de la vie privée. La Convention européenne de sauvegarde des droits de l'Homme (tout le monde a le droit au respect de sa vie privée) et le Règlement général sur la protection des données font partie de ces règles. Cette réglementation énonce de nouvelles règles plus strictes au regard de la protection de la vie privée et fournit des directives en la matière. 

 

3. Définitions

 

AP                                           

Autoriteit Persoonsgegevens, l'autorité néerlandaise de contrôle chargée de vérifier le respect des textes et habilitée à imposer des amendes.

 

Data Breach                            

un incident lié à la sécurité entraînant le vol, la divulgation ou la copie de données à caractère personnel.

 

Data Breach Response Team    

l'équipe mise en place par HEMA, comptant (i) le Responsable Juridique, Audits et Risques, (ii) l'Agent chargé de la Protection de la Vie Privée et (iii) l'Agent chargé de la Sécurité des Informations  qui évaluent et répondent aux notifications inhérentes aux Data Breaches.

 

Data Minimalisation                  

le principe général reflété dans le RGPD et consistant à ne collecter et ne stocker qu'un minimum de données à caractère personnel.

 

Data Processing Agreement      un contrat signé entre la partie responsable (HEMA) et une partie procédant au traitement des données à caractère personnel pour le compte d'HEMA.

 

Data Subject                            

la personne physique dont les données à caractère personnel font l'objet d'un traitement.

 

Purpose Limitation                    

le principe général reflété dans le RGPD et consistant à n'utiliser les données à caractère personnel qu'aux fins pour lesquelles elles ont été communiquées.

                       

Personal Data                           

toutes les données susceptibles de fournir des informations sur une personne identifiable. Exemples : nom, adresse, e-mail, base de données clients, caractéristiques, opinions, actes, photos et autres données visuelles, données personnelles spécifiques comme la religion, les croyances, les préférences politiques, la santé, la vie sexuelle, l'appartenance à un syndicat, le casier judiciaire.

 

Privacy Statement                                 

le document d'information publié sur www.hema.nl à l'attention des visiteurs du site Internet et des clients afin de leur indiquer de quelle façon HEMA traite leurs données à caractère personnel. Ce document est modifié de temps à autre si cela est jugé nécessaire au regard des évolutions récentes.

 

Security Incident                        

tout incident ayant donné lieu ou pouvant donner lieu à la perte ou à l'altération des données ou qui est constitutif d'une violation des procédures de sécurité.

 

4. Directives

Lorsque vous travaillez pour HEMA et avez accès à des données à caractère personnel, il est important de se conformer aux directives suivantes :

  1. Limitez autant que possible la collecte de données à caractère personnelà Data Minimalisation
  2. N'utilisez les données à caractère personnel qu'aux fins pour lesquelles elles ont été communiquéesà Purpose Limitation
  3. Réduisez au minimum le temps de stockage des données à caractère personnel
  4. Ne partagez et donnez accès aux données à caractère personnel que sur la base du principe du « besoin de savoir »
  5. Gardez les données à caractère personnel confidentielles
  6. Ne partagez pas vos identifiants de connexion ou vos mots de passe
  7. Lors du traitement des données à caractère personnel, vous devez exclusivement utiliser le réseau HEMA (ne pas utiliser de clés USB ou de services Cloud personnels)
  8. Lorsque des tierces parties ont accès aux données à caractère personnel, il convient de mettre en place un Data Processing Agreement (DPA) Veuillez contacter le Service Juridique pour demander la rédaction d'un DPA
  9. Pensez toujours au chiffrage, à l'anonymisation ou à la pseudonymisation lors du traitement des données à caractère personnel

 

5. Responsabilités

Il est important pour HEMA que ses services soient transparents et fiables. Par conséquent, les différentes responsabilités inhérentes à la protection de la vie privée et des données sont listées ci-après :

Toute personne travaillant avec des informations sensibles se rapportant à la vie privée (par exemple, le Service Clients, le Service RH, le Service e-commerce, etc.) est tenue de se conformer aux directives afin de garantir la sécurité des informations sensibles.

Il relève de la responsabilité de la personne détectant une Data Breach d'informer la Data Breach Response Team.

La Data Breach Response Team est ensuite tenue d'en informer l'AP.

L'Agent chargé de la Protection de la Vie Privée est responsable de la Politique de Confidentialité d'HEMA.

Le Service Gestion de l'Information est responsable de la sécurité du réseau et des systèmes d'HEMA.

L'Agent chargé de la Sécurité des Informations est responsable du suivi de la sécurité du réseau et des systèmes d'HEMA.

 

6. Data Breach / Security Incident

Security Incident / Data Breach

Un Security Incident devient une Data Breach si des données à caractère personnel (par exemple, le nom, l'adresse, l'e-mail, les numéros de téléphone, les adresses IP, etc.) ont été perdues, supprimées, piratées ou ont fait l'objet d'un accès/d'une visualisation non autorisé(e). Exemples : perte d'une clé USB ou d'un dispositif mobile, malware sur un PC connecté au réseau HEMA, envoi par e-mail de fichiers contenant des informations à caractère personnel à des destinataires non autorisés. La perte complète de données (par exemple, dans le cas d'un incendie sans aucune sauvegarde des données) est également considérée comme une Data Breach.

HEMA prend les mesures requises afin d'éviter toute Data Breach, par exemple en utilisant des techniques de chiffrage.

Les incidents liés à d'autres données que les données à caractère personnel ne sont pas considérés comme des Data Breaches.

 

Que faire en cas de Data Breach ?

Le RGPD impose aux sociétés d'informer immédiatement les autorités compétentes en cas de Data Breach. Par conséquent, si vous avez connaissance d'une Data Breach :

  1. contactez immédiatement le Service Audits et Risques (Agent chargé de la Sécurité des Informations), ainsi que le Service Juridique (Agent chargé de la Protection de la Vie Privée)
  2. La Data Breach Response Team’ entame le protocole
  3. veuillez agir vite et soyez coopératif ; nous devons informer l'AP dans les 72 heures
  4. Si une Data Breach se produit au sein d'une société et que cette dernière n'est pas signalée aux autorités en temps voulu, nous pouvons faire l'objet d'une amende correspondant à 2 % du chiffre d'affaires annuel brut ou 10 000 000 EUR !

 

Liste des contacts

La présente Politique de Confidentialité est gérée par le Service Juridique. Si vous avez des questions, souhaitez obtenir des informations complémentaires ou voulez signaler un Security Incident, veuillez nous contacter :  privacy@hema.nl.

 

 

© HEMA – Février 2017