Approche de la protection des données personnelles transmises par nos clients

S’abonner

Ce document a pour objectif de décrire les grandes lignes de la politique de Mazars pour protéger les Données à Caractère Personnel (« DCP ») qu’il collecte et traite pour le compte de ses clients, dans le cadre de la mise en conformité avec le Règlement Européen sur la Protection des données (UE) 2016/679. (« RGPD »).

1. Dispositions générales

Dans le cadre de son activité, Mazars traite les Données à caractère personnel conformément aux lois et règlements en vigueur relatifs à la protection des Données à caractère personnel. Ainsi, dès lors que Mazars intervient en tant que sous-traitant, au sens du RGPD (au sens de la définition indiquée ci-dessous), Mazars s’engage à traiter les Données à caractère personnel, objets de la sous-traitance, uniquement pour les seules finalités précisées par le client, responsable de traitement.
Conformément à la réglementation en vigueur, Mazars s’engage à prendre en compte, s’agissant des outils, procédés, applications ou services, les principes de protection des Données à caractère personnel dès leur conception et par défaut.

2. Obligation de confidentialité

Mazars s’engage à garantir la confidentialité des Données à caractère personnel traitées en application des contrats conclus avec ses clients. Pour ce faire, Mazars préserve la confidentialité des Données à caractère personnel à tout moment à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.
Mazars s’engage à veiller à ce que le personnel autorisé à traiter les Données à caractère personnel :

  • s’engage à en respecter la confidentialité et/ou soit soumis à une obligation légale ou contractuelle de confidentialité,
  • reçoive la formation nécessaire en matière de protection des Données à caractère personnel.

Pour les prestations qui nécessitent que Mazars traite des DCP transmises régulièrement par le Client, Mazars peut proposer à ses clients de limiter les DCP collectées ou de les anonymiser ou encore de recourir à une «pseudonymisation» des DCP, conformément à l’article 5 du RGPD.

3. Sous-traitance de Mazars

Mazars peut faire appel à d’autres sous-traitants (ci-après, les « Sous-Traitants Ultérieurs ») pour mener ses activités de traitement. Dans ce cas, Mazars informe par écrit le Client de tout changement concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs.
Le Sous-Traitant Ultérieur est tenu de respecter les obligations prévues par le Règlement européen de la protection des données (UE) 2016/679 (RGPD). Mazars s’assure directement que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les Traitements répondent aux exigences du RGPD.

4. Territorialité

Dans l’éventualité où Mazars procède à un transfert de Données à caractère personnel vers un pays situé hors de l’Union Européenne ou une organisation internationale, Mazars s’engage à en informer préalablement le Client, sauf motif légitime d’intérêt public exonérant à Mazars de l’obligation de notification.
Dans le cas d’un tel transfert, Mazars s’engage à respecter les garanties appropriées prévues par le RGPD.
Le Client s’assure de l’information des Personnes Concernées quant au transfert en dehors de l’UE de leurs DCP.

5. Durée de conservation des données à caractère personnel

Dans le respect des obligations de confidentialité, les Données Personnelles traitées pour les Finalités de Traitement sont conservées pour une durée conforme aux dispositions régissant les activités de Mazars en France en matière de prescriptions.

6. Désignation d’un DPO

Mazars a désigné un DPO dûment déclaré à la CNIL : Léopold Larios de Piña. Le DPO est l’interlocuteur référent/privilégié pour toute question relative aux Données à caractère personnel et aux Traitements de Données à caractère personnel effectués par Mazars pour le compte de ses clients.
Pour toute information complémentaire, vous pouvez adresser votre demande / requête au Data Protection Officer (DPO) de Mazars France à dpo@mazrars.fr ou à l’adresse suivante :
Data Protection Officer (DPO) de Mazars France
61 RUE HENRI REGNAULT – EXALTIS – 92400 COURBEVOIE – FRANCE
Le DPO de Mazars France est un interlocuteur indépendant en charge de la gestion des risques au niveau du groupe Mazars. A cet effet, il ne dépend ni de l’informatique de Mazars France, ni du comité de direction de Mazars France. Le DPO est impliqué dès la conception des nouveaux projets informatiques jusqu’aux suivis des incidents éventuels. Le DPO présente régulièrement les travaux et les actions menés au comité de direction de Mazars France.

7. Mesures de sécurité

Mazars s’appuie sur la combinaison plusieurs niveaux de sécurité logique, physique et humaine lesquels participent activement à la sécurité de son système d’information. Mazars soumet ses dispositifs à des contrôles de vérification de leur efficacité. Des campagnes de tests d’intrusions sont menées par des prestataires indépendants chaque année afin de tester l’efficacité des procédures mises en place par Mazars. La mise en place du suivi des incidents détectés et la coordination avec le directeur des systèmes d’information permettent d’adapter les ressources et les moyens mis en œuvre.

7.1 Sécurité logique

En termes de sécurité logique, les mesures appliquées sont notamment :

  • Le paramétrage des ordinateurs, serveurs et téléphones portables selon un protocole identique qui tient compte des dernières versions des éditeurs ;
  • La protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour ;
  • Le cryptage de tous les disques durs des ordinateurs portables des collaborateurs.

7.2 Sécurité physique

En termes de sécurité physique, les mesures appliquées sont notamment :

  • Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser ;
  • Un accès limité aux salles serveurs : accès par badge, caméra, suivi des entrées sorties ;
  • Une gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. Mazars met en place une ségrégation des rôles d’administrateurs ;
  • Des composants de sécurité périmétrique de type : firewalls, proxy, reverse proxy filtrent les accès aux ressources de Mazars.

7.3 Sécurité humaine

En termes de sécurité humaine, les mesures appliquées sont notamment :

  • Des sessions de formation afin de sensibiliser le personnel de Mazars aux connaissances fondamentales du RGPD ;
  • Un accompagnement des équipes avec des relais, les « DPO Correspondants », qui font partie des équipes opérationnelles et qui restent en contact régulier avec le DPO de Mazars.

7.4 « Privacy by design »

Le DPO de MAZARS est systématiquement associé aux nouveaux projets informatiques susceptibles de modifier les traitements des DCP : création de nouvelles fonctionnalités, changement de solution logicielle, changement de support d’hébergement des Données à caractère personnel, etc. Cette organisation favorise le déploiement du principe « Privacy by design ».

7.5 Utilisation d’applicatifs

En fonction de la nature des missions réalisées pour chaque Client, Mazars adapte les outils utilisés.La nature des Données à caractère personnel (« DCP ») traitées par les logiciels ainsi que la localisation des serveurs qui hébergent ces données sont précisés au cas par cas.
Mazars France cherche à identifier précisément tant les éditeurs informatiques utilisés que les DCP traitées ainsi que les sites qui hébergent ces données et souhaite favoriser le stockage des DCP au sein de l’Union Européenne.

8. Notification des violations de données à caractère personnel

Conformément aux dispositions du RGPD, le DPO de Mazars informera, avec la documentation utile associée, le Client de toute Violation des Données à caractère personnel dans les meilleurs délais dès lors qu’il en a eu connaissance afin que le Client soit en mesure de respecter son obligation de notification à l’égard de l’autorité de contrôle.
Le DPO Mazars invite les DPO de ses clients à le contacter afin d’identifier la chaîne de remonté d’incidents via l’adresse mail dédiée : dpo@mazars.fr

9. Information et exercice des droits des personnes concernées

Il appartient au Client, en tant que Responsable de Traitement, de fournir toutes les informations utiles aux Personnes Concernées quant au Traitement de leurs Données à caractère personnel.
Dans la mesure du possible, Mazars fera ses meilleurs efforts pour aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Dans l’hypothèse où Mazars recevrait une demande d’exercice des droits émanant d’une Personne Concernée par le Traitement de ses Données à caractère personnel, Mazars ne répondra pas directement auxdites demandes et transmettra cette demande au Client dans les meilleurs délais.
Afin de collecter les éventuelles demandes des Personnes Concernées, Mazars met à disposition l’adresse mail dédiée : donneespersonnelles@mazars.fr

Glossaire

Les termes ci-après sont définis comme suit dans le respect de la réglementation RGPD.

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (par exemple : nom, prénom, adresse, date de naissance, etc.)
  • DPO : Data Protection Officer, ou délégué à la protection des données à caractère personnel ;
  • Personne Concernée : personne dont les données à caractère personnel sont traitées
  • Responsable de Traitement : la personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel, en l’espèce le Client ;
  • RGPD : Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 qui entre en application le 25 mai 2018 ;
  • Sous-Traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement,
  • Traitement : désigne toute opération ou ensemble d’opérations effectués à l’aide de procédés automatisés ou non et portant sur des données à caractère personnel, en l’espèce le ou les traitement(s) effectués par Mazars dans le cadre de sa mission décrite au Contrat ;
  • Violation de Données à caractère personnel : toute violation de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés aux Données à caractère personnel traitées.

 

Version 1.0 (180904)

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Veuillez vous connecter pour laisser un commentaire.