Politique CTMS sur le traitement des données personnelles
CTMS s’engage à ce que les traitements des données personnelles (au sens du RGPD) effectués à partir du ses solutions digitales soit conformes aux législations de protection des données personnelles nationales et européennes.
Tout traitement des données à caractère personnel est soumis aux dispositions du Règlement dit RGPD – (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Cette politique sur le traitement des données personnelles (ci-après « les Données ») a pour objet d’expliquer, de manière compréhensible et accessible, le type des traitements mis en œuvre par les solutions de CTMS sur les Données appartenant à ses clients et/ou aux utilisateurs des solutions (ci-après « les Traitements »).
La finalité de cette politique est de comprendre les raisons de cette collecte et les conditions dans lesquelles les Données concernées sont traitées.
1. Responsabilité du Traitement
Tous les Traitements de Données effectués par les solutions de CTMS sont exclusivement réservés aux professionnels (ci-après « les Utilisateurs »), dans le cadre et pour les besoins de leur activité. CTMS n’autorise jamais l’accès à ses solutions par les particuliers.
CTMS n’est pas le Responsable du Traitement (la responsabilité du traitement appartient à l’Utilisateur).
- Pour les Données traitées avec la suite Easyconform (Easyconform, Easyconform On boarding, Easyconform Authentification), CTMS traite les Données pour le compte de l’Utilisateur, en qualité de sous-traitant du Traitement.
- Pour les Données traitées avec Softscan (solution sur PC associée au logiciel intégré au scanner de titres d’identité) CTMS ne traite pas les Données. L’utilisateur traite les Données de façon autonome, sous sa responsabilité (hormis dans les cas où les Données sont traitées en central avec Easyconform).
2. RGPD by design
Les solutions de CTMS sont « RGPD by design ».
CTMS applique dans la conception de ses solutions et dans leur mise en œuvre les 5 principes de protection des données personnelles :
- finalité
- proportionnalité et pertinence
- durée de conservation des données limitée
- sécurité et confidentialité
- respect des droits des personnes
3. Objet et finalité du traitement
Le traitement a pour objet d’extraire et d’analyser les données contenues dans les documents fournis par le client de l’Utilisateur dans son dossier d’entrée en relation.
La finalité de ce traitement est le contrôle de l’identité et du dossier d’entrée en relation des clients des Utilisateurs. Les documents traités par les solutions de CTMS sont majoritairement : les titres d’identité (du monde entier), des justificatifs de revenus, des justificatifs de domicile, et des documents administratifs relatifs à des personnes physiques et personnes morales.
4. Données traitées :
Les données traitées sont recueillies auprès du client de l’Utilisateur et donnent lieu à une prise de décision (manuelle ou automatisée) en relation avec la finalité du traitement, par l’Utilisateur.
Le périmètre de chaque traitement est défini par l’Utilisateur (paramétrage des champs contrôlés par CTMS). Les données nominatives traitées peuvent concerner :
- des données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.)
- des données relatives à la vie personnelle (revenus, situation fiscale etc.)
- des données relatives à la vie professionnelle (fonction, lieu de travail, etc.)
Pour ce qui concerne les données biométriques, définies comme des données « sensibles » (selfie dynamique par exemple) ; elles sont uniquement utilisées comme un moyen d’identifier une personne physique de manière unique.
Les solutions de CTMS incluant un contrôle biométrique respectent cette obligation du recueil du consentement du propriétaire de la donnée biométrique.
Pour rappel : le RGPD limite en effet le traitement de la biométrie, aux cas suivants :
- si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
- si les informations sont manifestement rendues publiques par la personne concernée ;
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public et autorisée par la CNIL
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Le traitement par les solutions de CTMS n’inclut jamais les autres données qualifiées de « sensibles « : il s’agit d’une part des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, la vie et l’orientation sexuelle, les convictions religieuses ou philosophiques ou l’appartenance syndicale, et d’autre part des données concernant la santé ou le traitement des données génétiques.
5. Destinataires des données
- Les Données ne sont destinées à aucun autre organisme que l’Utilisateur, et sont uniquement traitées par CTMS (Données traitées avec la suite Easyconform) ou pour l’Utilisateur (Données traitées avec Softscan)
- Aucun transfert de données n’est réalisé hors de l’Union Européenne
- Les données, pendant tout le temps de leur Traitement et pendant leur durée de stockage (de la collecte des données jusqu’à leur purge) sont hébergées en France (ou en Europe).
6. Hébergement des données
Les Données traitées avec Easyconform sont hébergées en France avec une solution d’hébergement offrant le meilleur de la sécurité et de la souveraineté.
Les garanties offertes par cet hébergement (3D Outscale) lui donnent droit à la qualification par l’ANSSI. Cette qualification n’est accordée qu’à certains services d’hébergement qui peuvent justifier leurs réponses à des critères extrêmement stricts
D’autres services dits « de confiance » n’ont pas droit accès à cette qualification. Ils n’apportent pas les garanties suffisantes au regard de la souveraineté.
7. Purge et durée de conservation des données
La durée de conservation des données est toujours limitée. Elle est définie dans le paramétrage selon les souhaits de l’Utilisateur de chaque solution de CTMS. Ce paramétrage est défini à la demande et sous la responsabilité de l’Utilisateur.
8. Sécurité des Données et du Traitement
Conformément au RGPD, tout organisme effectuant des traitements de données à caractère personnel est astreint à une obligation de sécurité. Parmi les principales mesures de sécurité mises en place par CTMS :
- Conception des solutions intégrant le RGPD dans toutes leurs fonctionnalités
- Obligation de confidentialité signée par les collaborateurs ayant accès aux Données
- Chiffrement des données tant au niveau de leur stockage que de leur transport
- Purge des Données automatique (selon paramétrage de la purge, dont la durée est définie avec l’Utilisateur)
- Aucune information personnelle n’est incluse dans les traces techniques
- Les Données sont protégées par des connexions TLS
- La sécurité du système d’information
9. Sécurité – Sous-traitants
Conformément au RGPD, CTMS impose à tous les sous-traitants placés sous sa responsabilité une obligation de sécurité. Les mesures suivantes – liste non-exhaustive – sont par conséquent mises en œuvre :
- protection (« chiffrement ») des données échangées assurée par HTTPS
- duplication des données afin que celles-ci restent disponibles en cas de sinistre
- choix d’une solution d’hébergement certifiée par l’ANSSI (pour les traitements Easyconform) – Voir ci-dessus.
10. Droits sur les données personnelles
CTMS est attaché au respect des droits dans le cadre des traitements des données personnelles. A ce titre, seule la personne concernée dispose des droits d’accéder et obtenir une copie des données la concernant, de s’opposer au traitement de ces données, de les faire rectifier ou de les faire effacer. Elle dispose également d’un droit à la limitation du traitement de ses données.
Cependant, l’exercice de certains droits est conditionné à l’existence d’un ou plusieurs motifs prévus dans la règlementation relative à la protection des données personnelles.
Toute demande peut être adressée par courrier électronique à : privacy@ctms.fr
11. Exercice des droits (propriétaires des données personnelles)
Si vous avez des questions concernant cette politique ou si vous souhaitez plus d’informations sur la façon dont vos informations sont utilisées ou partagées, vous pouvez contacter le DPO par voie électronique : DPO@ctms.fr
Rappel de ce que dit la loi : Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d’un droit à la limitation du traitement de vos données.
Comprendre vos droits informatiques et libertés
Exercer vos droits : Le délégué à la protection des données (DPO) de CTMS est votre interlocuteur pour toute demande d’exercice de vos droits sur ce traitement.
- Contacter le DPO par voie électronique : DPO@ctms.fr
- Contacter le DPO par courrier postal : DPO CTMS 3 rue Paul Diday 69 003 Lyon
Si vous estimez, après joint CTMS, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (www.cnil.fr )