Politique de conservation des données

1. Objectif, champ d’application et utilisateurs

Cette politique définit les durées de conservation requises pour certaines catégories de données à caractère personnel et définit les normes minimales à appliquer lors de la destruction de certaines informations au sein de Blakell Europlacer Ltd (ci-après, la « société »).
Cette politique s’applique à toutes les unités commerciales, processus et systèmes de tous les pays dans lesquels la société exerce ses activités et entretient des relations d’affaires ou d’autres relations commerciales avec des tiers.
Cette politique s’applique à tous les cadres, directeurs, employés, agents, affiliés, sous-traitants, consultants, conseillers ou prestataires de services susceptibles de collecter, traiter ou avoir accès aux données (y compris des données personnelles et/ou des données personnelles sensibles). Il incombe à toutes les personnes susmentionnées de se familiariser avec cette politique et de veiller à sa bonne application.
Cette politique s’applique à toutes les informations utilisées par la société. Les exemples de tels documents incluent :

• Courriers électroniques
• Documents papier
• Copies électroniques de documents
• Vidéo et audio
• Données générées par les systèmes de contrôle d’accès physique

2. Documents de référence

• RGPD (UE) 2016/679 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/EC)
• Politique de protection des données à caractère personnel

3. Règles de conservation

3.1. Principe général de conservation

La période de conservation requise pour ce document sera réputée être de 3 ans à compter de la date de création du document, le cas échéant, pour toute catégorie de documents non définie ailleurs dans la présente politique (et en particulier dans le calendrier de conservation des données), sauf disposition contraire de la loi applicable.

3.2. Calendrier général de conservation

Le délégué à la protection des données définit la période de conservation des documents et des enregistrements électroniques dans le calendrier de conservation des données.
À titre d’exemption, les périodes de conservation définies dans le calendrier de conservation des données peuvent être prolongées dans les cas suivants :

• Enquêtes en cours des autorités, s’il existe des enregistrements de données à caractère personnel nécessaires à la société pour prouver le respect des exigences légales ; ou
• Lors de l’exercice de droits légaux dans le cas de poursuites judiciaires ou de procédures judiciaires similaires reconnues en vertu du droit local.

3.3. Sauvegarde des données pendant la période de conservation

La possibilité d’usure des supports utilisés pour l’archivage doit être prise en compte. Si le stockage sur des supports électroniques est choisi, toutes les procédures et tous les systèmes garantissant l’accès aux informations pendant la période de conservation (tant en ce qui concerne le support d’informations que la lisibilité des formats) doivent également être stockés afin de protéger les informations contre toute perte éventuelle résultant de futurs changements technologiques.

3.4. Destruction de données

La société et ses employés doivent donc examiner régulièrement toutes les données, qu’elles soient conservées électroniquement sur leur appareil ou sur papier, afin de décider de la destruction ou de la suppression de toute donnée lorsque la finalité pour laquelle ces documents ont été créés n’est plus pertinente.
Une fois la décision prise de les éliminer conformément au calendrier de conservation des données, les données doivent être supprimées, déchiquetées ou autrement détruites à un degré équivalent à leur valeur pour les autres et à leur niveau de confidentialité. La méthode d’élimination varie et dépend de la nature du document. Par exemple, tout document contenant des informations sensibles ou confidentielles (et en particulier des données personnelles sensibles) doit être éliminé en tant que déchet confidentiel et faire l’objet d’une suppression électronique sécurisée ; certains contrats expirés ou remplacés peuvent uniquement requérir un déchiquetage en interne. Le mode d’élimination est défini dans la section « calendrier d’élimination des documents » ci-dessous.
Dans ce contexte, la personne responsable s’acquitte de ces tâches et assume les responsabilités pertinentes quant à la destruction des informations de manière appropriée. La procédure spécifique de suppression ou de destruction peut être menée par un employé ou un prestataire de services interne ou externe que le responsable de la protection des données sous-traite à cette fin. Toutes les dispositions générales applicables en vertu des lois applicables sur la protection des données et de la politique de protection des données à caractère personnel de la société doivent être respectées.
Des contrôles appropriés doivent être mis en place pour empêcher la perte permanente d’informations essentielles de l’entreprise à la suite d’une destruction d’informations malveillante ou involontaire. Ces contrôles sont décrits dans la politique de sécurité informatique de l’entreprise.
Les exigences statutaires applicables en matière de destruction d’informations, en particulier celles prévues par les législations applicables en matière de protection des données, doivent être pleinement respectées.

3.5. Violation, application de la loi et conformité

Les personnes désignées responsables de la protection des données ont la responsabilité de veiller à ce que chacun des bureaux de la société se conforme à cette politique. Il incombe également au groupe de pilotage de la protection des données d’aider tout bureau local à répondre aux demandes de renseignements des autorités locales chargées de la protection des données ou des autorités gouvernementales.
Toute suspicion de violation de la présente politique doit être immédiatement signalée au groupe de pilotage de la protection des données. Tous les cas de violation présumée de la politique feront l’objet d’une enquête et des mesures appropriées seront prises.
Le non-respect de la présente politique peut avoir des conséquences défavorables, y compris mais sans s’y limiter, la perte de confiance, des litiges et la perte d’avantages concurrentiels, la perte financière et l’atteinte à la réputation de la société, des dommages corporels, des préjudices ou des pertes. Le non-respect de la présente politique par des employés permanents, temporaires ou intérimaires, ou des tiers, qui ont été autorisés à accéder aux locaux ou aux données de la société, peut par conséquent entraîner une procédure disciplinaire, un licenciement ou la résiliation de leur contrat de travail. Un tel non-respect peut également conduire à des poursuites judiciaires contre les parties impliquées dans de telles activités.

4. Élimination des documents

4.1. Calendrier régulier d’élimination

Les enregistrements susceptibles d’être détruits de manière régulière, à moins d’être soumis à une enquête juridique ou réglementaire en cours, sont les suivants :
• Annonces et avis de réunions quotidiennes et autres événements, y compris acceptations et excuses ;
• Demandes d’information ordinaires telles que les instructions de voyage ;
• Réservations pour des réunions internes sans frais/coûts externes ;
• Transmission de documents tels que des lettres, des pages de garde de fax, des courriers électroniques, des feuilles de route, des cartes de correspondance et autres pièces similaires qui accompagnent les documents mais n’apportant aucune valeur ;
• Bordereaux ;
• Liste d’adresses remplacées, listes de distribution, etc.;
• Documents dupliqués tels que des copies et documents à faire suivre, des brouillons non modifiés, des impressions d’écran ou des extraits de bases de données et des fichiers du jour ;
• Stock de publications internes qui sont obsolètes ou remplacées ; et
• Magazines professionnels, catalogues de fournisseurs, prospectus et lettres d’information de fournisseurs ou d’autres organisations externes.
Dans tous les cas, l’élimination est soumise aux exigences relatives à la divulgation pouvant exister dans le cadre d’un litige.

4.2. Méthode de destruction

Les documents de niveau I sont ceux qui contiennent des informations hautement sécurisées et confidentielles et qui contiennent des données à caractère personnel. Ces documents doivent être éliminés avec les déchets confidentiels (déchiquetés et incinérés) et doivent être supprimés de manière sécurisée. L’élimination des documents doit inclure une preuve de destruction.
Les documents de niveau II sont des documents exclusifs contenant des informations confidentielles telles que les noms, signatures et adresses des parties, ou pouvant être utilisés par des tiers pour commettre une fraude, mais ne contenant aucune donnée à caractère personnel. Les documents doivent être déchiquetés en coupe croisée, puis placés dans des poubelles verrouillées en vue de leur collecte par une entreprise d’élimination des déchets agréée, et les documents électroniques feront l’objet d’une suppression électronique sécurisée.
Les documents de niveau III sont ceux qui ne contiennent aucune information confidentielle ou donnée à caractère personnel et sont des documents publiés de la société. Ceux-ci doivent être déchiquetés ou éliminés par une entreprise de recyclage et incluent, entre autres, des publicités, des catalogues, des dépliants et des lettres d’information. Ils peuvent être éliminés sans garder de preuve de la destruction.

5. Validité et gestion des documents

Ce document est valable à partir de janvier 2019
Le propriétaire de ce document est le groupe de pilotage de la protection des données qui doit vérifier et mettre à jour le document au moins une fois par an, si nécessaire.

6. Annexes

Annexe – Calendrier de conservation des données

Dossiers financiers

Catégorie d’enregistrement de données à caractère personnelPériode de conservation obligatoire Propriétaire de l’enregistrement
Registres de paie7 ans après l’auditFinance
Contrats de fournisseur7 ans après la fin du contratFinance
Plans comptablesPermanentFinance
Politiques et procédures fiscalesPermanentFinance
Audits permanentsPermanentFinance
États financiersPermanentFinance
Grand-livrePermanentFinance
Historique des investissements (dépôts, gains, retraits)7 ansFinance
Factures7 ansFinance
Chèques annulés7 ansFinance
Bordereaux de banque7 ansFinance
Documents de dépenses d’entreprise7 ansFinance
Registres de contrôle / livres7 ansFinance
Inventaire des biens / actifs7 ansFinance
Reçus de cartes de crédit3 ansFinance
Reçus / documents de petite caisse3 ansFinance

Enregistrements des faits et événements relatifs à l’entreprise

Catégorie d’enregistrement de données à caractère personnelPériode de conservation obligatoirePropriétaire de l’enregistrement
Article de constitution pour demander le statut de sociétéPermanentFinance
Politiques du conseil d’administrationPermanentFinance
Procès-verbaux des réunions du conseil d’administrationPermanentFinance
Numéro d’identification fiscale ou d’employéPermanentFinance
Procès-verbaux des réunions de bureau et d’équipe

Documents corporatifs annuels

PermanentFinance


RH : dossiers des employés

Catégorie d’enregistrement de données à caractère personnel Période de conservation obligatoirePropriétaire de l’enregistrement
Dossiers disciplinaires, procès-verbaux, oraux / verbaux, écrits, derniers avertissements, appelsSelon les exigences légalesRH
Candidatures, notes d’entretien – Panel de recrutement / promotion Internes Si le candidat échoue ou réussitSupprimé immédiatement

Durée de l’emploi

RH
Formulaires de saisie de la paie, fiches de salaire, paiements des heures supplémentaires / primes Feuilles de paie, copies7 ansRH
Coordonnées bancaires – actuellesDurée de l’emploiRH
Feuilles de paie / salaireDurée de l’emploiRH
Historique du travail, y compris les dossiers personnels des employés : contrat(s), conditions de travail ; dates de service précédentes ; historique de la paie et des retraites, estimation des retraites, lettres de démission / résiliation.Selon les exigences légalesRH
Détails de l’adresse de l’employéDurée de l’emploiRH
Demandes de remboursement de fraisSelon les exigences légalesRH
Registre des congés annuelsDurée de l’emploiRH
Livres d’accident
Rapports d’accident et correspondance
Selon les exigences légalesRH
Certificats et auto-certificats non liés à un accident du travail ; formulaires de paie légaleSelon les exigences légalesRH
Certification de grossesse / accouchementSelon les exigences légalesRH
Congé parentalDurée de l’emploiRH
Registres et calculs de congés maternitéSelon les exigences légalesRH
Détails de la redondance, calculs de paiement, remboursements, notificationsSelon les exigences légalesRH
Dossiers de formation et de développementDurée de l’emploiRH

Contracts

Catégorie d’enregistrement de données à caractère personnelPériode de conservation obligatoirePropriétaire de l’enregistrement
SignaturePermanentFinance
Modifications de contratPermanentFinance
Documents de soumission retenusPermanentFinance
Documents de soumission non retenusPermanentFinance
Appel d’offres – besoins des utilisateurs, spécification, critères d’évaluation, invitationPermanentFinance
Rapports des entrepreneursPermanentFinance
Fonctionnement et surveillance, par ex. plaintesPermanentFinance

Informations client

Catégorie d’enregistrement de données à caractère personnelPériode de conservation obligatoirePropriétaire de l’enregistrement
Données de la plateforme : comprenant les données vidéo, commentaires, pièces jointes, photo de profil, adresse électronique, prénom et nom.Conservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de 9 moisClient
Enregistrements d’écran de la session d’assistanceSuppression automatique après 90 joursAssistance
Données CRM : comprenant le nom, l’adresse électronique, le numéro de téléphone portable, l’adresse, les courriers électroniques et les résumés d’appels téléphoniques, les informations relatives au DPDConservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Lorsqu’une organisation demande la suppression de tous les enregistrements, les données sont supprimées des sauvegardes dans un délai de X mois.Assistance
Données métriquesConservé tant que l’organisation reste un client ou supprimée par l’utilisateur. Une fois qu’une organisation demande la suppression de tous les enregistrements, les données seront anonymisées.Équipe de développement

Données non-client

Catégorie d’enregistrement de données à caractère personnel
Période de conservation obligatoirePropriétaire de l’enregistrement
Nom, adresse électroniqueGardé jusqu’à ce que la personne se désabonne / demande à être retirée du systèmeMarketing et ventes
Enregistrements d’appelsSuppression automatique après 6 moisVentes

Informatique

Catégorie d’enregistrement de données à caractère personnelPériode de conservation obligatoire Propriétaire de l’enregistrement
Corbeilles à papierEffacé tous les moisEmployé individuel
TéléchargementsEffacé tous les moisEmployé individuel
Boîte de réceptionTous les courriers électroniques contenant des IPI en pièces jointes sont supprimés après 3 ans.Employé individuel
Courriers électroniques supprimésEffacé tous les moisEmployé individuel
Lecteur réseau personnelRevue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ansEmployé individuel
Disques et fichiers locauxDéplacé mensuellement sur le lecteur réseau, puis supprimé du lecteur localEmployé individuel
Onedrive/DropboxRevue trimestrielle, tous les documents contenant des IPI sont supprimés après 3 ansEmployé individuel