Politique de Confidentialité
Votre confidentialité nous est importante et Bluefin prend cette question très au sérieux
Déclaration de Confidentialité des Données v2.0_14/05/18
Bluefin Trading Ltd. s’engage à la transparence à propos de la collecte et l’utilisation des données personnelles afin de se conformer à ses obligations en matière de protection des données. Cette déclaration établit son engagement vis-à-vis de la protection des données. Cette déclaration s’applique aux données personnelles des clients, fournisseurs, contacts, partis tiers ou autres données personnelles utilisées à des fins commerciales. Les données personnels de postulants, employés, contractuels, internes, apprentis ou anciens employés, qualifiées comme des données personnelles liées aux RH, sont couvertes par la Politique de Protection des Données RH. La formulation dans cette déclaration reflète des besoins de la RGPD (Règlement Général de Protection des Données), laquelle a été actée le 25 mai 2018. Bluefin a nommé le Data Manager comme étant la personne responsable de la conformité à la protection des données. Les questions à propos de cette déclaration, ou requêtes pour de plus amples informations, doivent être adressées directement au Data Manager, Bluefin Trading Ltd, Keelham Farm, Hebden Bridge, HX7 8TG.
1. Interprétation de Prise de Décision Automatisée (ADM): lorsqu’une décision est prise uniquement sur la base de Processus Automatisés (incluant le profilage), laquelle produirait des effets légaux ou affectant significativement un individu. Le RGPD interdit la Prise de Décision Automatisée (à moins que certaines conditions soient respectées) mais pas les Processus Automatisés. Processus Automatisés: toute forme de processus automatisé de Données Personnelles consistant dans l’utilisation de Données Personnelles afin d’évaluer certains aspects personnels liés à un individu, en particulier pour analyser ou prédire les performances d’un individu au travail, au niveau de sa santé, de ses préférences, intérêts, fiabilité, comportement, localisation ou mouvements. Le Profilage est un exemple de Processus Automatisé. Organisation: Bluefin Trading Ltd Consentement: accord qui doit être donné librement, spécifiquement, informé et être une indication non-ambiguë de la volonté du Sujet des Données par laquelle ils, par déclaration ou par une action clairement positive, signifient leur accord au traitement des Données Personnelles les concernant. Contrôleur de Données: la personne ou organisation qui détermine quand, pourquoi et comment traiter les Données Personnelles. Il est responsable d’établir les pratiques et politiques en accord avec le RGPD. Nous sommes le Contrôleur des Données de toutes les Données Personnelles utilisées dans notre entreprise à des fins commerciales. Sujet des Données: un individu vivant, identifié ou identifiable, à propos duquel nous détennons des Données Personnelles. Les Sujets des Données doivent être citoyens ou résidants d’un pays et peuvent avoir des droits concernant les Données Personnelles. L’Évaluation de l’Impact des Données Privées (DPIA): évaluations utilisées afin d’identifier et de réduire les risques d’une activité de traitement des données. Les DPIA peuvent être effectuées en tant qu’élément de notre Confidentialité par Conception et doit être effectuée pour tout système important ou programmes business d’échanges impliquant l’utilisation des Données Personnelles. EEA: les 28 pays de l’UE et l’Iceland, le Liechtenstein, et la Norvège. Consentement Explicite: consentement qui requiert une déclaration très claire et spécifique. Règlement Général sur la Protection des Données (RGPD): le Règlement Général sur la Protection des Données. Les Données Personnelles sont sujettes à des garde-fous spécifiés dans le RGPD. Données Personnelles: toute information identifiant un Sujet des Données ou informations relatives à un Sujet des Données que nous pouvons identifier (directement ou indirectement) à partir des données seulement ou en partenariat avec d’autres identifiants que nous possédons ou auxquels nous pouvons raisonnablement avoir accès. Les Données Personnelles incluent les Données Personnelles Sensibles et les Données Personnelles Pseudonymisées, mais excluent les données anonymes ou les données dont l’identité d’un individu a été définitivement supprimée. Les données personnelles peuvent être factuelles (par exemple, un nom, une adresse électronique, un lieu ou une date de naissance) ou une opinion sur les actions ou le comportement de cette personne. Violation des Données Personnelles: tout acte ou omission compromettant la sécurité, la confidentialité, l’intégrité ou la disponibilité des données personnelles ou les garde-fous physiques, techniques, administratifs ou organisationnels que nous ou nos fournisseurs tiers de services avons mis en place pour les protéger. La perte, ou l’accès, la divulgation ou l’acquisition non autorisés de données personnelles est une violation de données personnelles. Confidentialité par Conception: mise en œuvre efficace des mesures techniques et organisationnelles appropriées pour assurer la conformité avec le RGPD. Avis ou Déclarations de Confidentialité: avis séparés indiquant les informations pouvant être fournies aux personnes concernées lorsque l’organisation collecte des informations à leur sujet. Traitement ou processus: toute activité impliquant l’utilisation de données personnelles. Cela comprend l’obtention, l’enregistrement ou la conservation des données, ou la réalisation de toute opération ou ensemble d’opérations sur les données, y compris l’organisation, la modification, la récupération, l’utilisation, la divulgation, l’effacement ou la destruction des données. Le traitement comprend également la transmission ou le transfert de données à caractère personnel à des tiers. Pseudonymisation: remplacement d’informations identifiant directement ou indirectement un individu par un ou plusieurs identifiants artificiels ou pseudonymes, de sorte que la personne à laquelle les données se rapportent ne puisse être identifiée sans l’utilisation d’informations complémentaires devant être conservées séparément et en toute sécurité. Politiques Connexes: les politiques, les procédures opérationnelles ou les processus de l’organisation liés à la présente déclaration de confidentialité et conçus pour protéger les données personnelles. Données Personnelles Sensibles: informations révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou similaires, l’appartenance à un syndicat, l’état de santé physique ou mental, la vie sexuelle, l’orientation sexuelle, les données biométriques ou génétiques et les données personnelles en rapport avec des infractions pénales et des condamnations.
2. Portée Nous sommes conscients que le traitement correct et licite des données à caractère personnel maintiendra la confiance dans l’organisation et garantira le succès des opérations commerciales. Protéger la confidentialité et l’intégrité des données personnelles est une responsabilité essentielle que nous prenons au sérieux en tout temps. Le responsable des données est responsable de la supervision de la présente déclaration de confidentialité et, le cas échéant, de l’élaboration de politiques et de directives connexes. Veuillez contacter le responsable des données pour toute question sur le fonctionnement de la présente déclaration de confidentialité ou du RGPD ou si vous craignez que cette déclaration de confidentialité n’ait pas été respectée. Nous adhérons aux principes relatifs au traitement des données à caractère personnel énoncés dans le RGPD, qui exigent que les données à caractère personnel soient: (a) traitées légalement, équitablement et de manière transparente (licéité, équité et transparence). (b) Collectées uniquement à des fins spécifiées, explicites et légitimes (limitation de la finalité). (c) Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (minimisation des données). (d) Précis et, le cas échéant, mis à jour (exactitude). (e) Ne soient pas conservées sous une forme permettant l’identification des personnes concernées plus longtemps qu’il n’est nécessaire aux fins pour lesquelles les données sont traitées (limitation du stockage). (f) Traitées de manière à assurer sa sécurité en utilisant les mesures techniques et organisationnelles appropriées pour se protéger contre les traitements non autorisés ou illicites et contre les pertes, destructions ou dégats (sécurité, intégrité et confidentialité). (g) Non-transférées vers un autre pays sans que des garanties appropriées soient en place (limitation du transfert). (h) Mises à la disposition des personnes concernées autorisées à exercer certains droits sur leurs Données Personnelles (Droits et Requêtes des Sujets des Données). Nous démontrerons le respect des principes de protection des données énumérés ci-dessus (responsabilité).
3. Légalité, équité, transparence
3.1 Légalité et équité Les données à caractère personnel seront traitées de manière licite, loyale et transparente en ce qui concerne le Sujet des Données. Nous ne collecterons, traiterons et partagerons vos données personnelles que de manière équitable, licite et à des fins spécifiques. Le RGPD limite nos actions concernant les données personnelles à des fins légales déterminées. Ces restrictions ne visent pas à empêcher le traitement, mais à garantir que nous traitons les données à caractère personnel équitablement et sans nuire au Sujet des Données. Le RGPD autorise le traitement à des fins spécifiques, dont certaines sont énumérées ci-dessous: (a) lorsque le Sujet des Données a donné son consentement; (b) si le traitement est nécessaire à l’exécution d’un contrat avec le Sujet des Données; (c) respecter nos obligations légales en matière de conformité; d) protéger les intérêts vitaux du Sujet des Données; (e) poursuivre nos intérêts légitimes sans qu’ils ne soient ignorés car le traitement porte atteinte aux intérêts ou aux libertés et droits fondamentaux des personnes concernées. Les objectifs seront définis dans les avis de confidentialité applicables. Nous identifions et documentons le fondement juridique utilisé pour chaque activité de traitement.
3.2 Consentement Nous ne traiterons les données à caractère personnel que sur la base d’une ou de plusieurs bases légales définies dans le RGPD, parmi lesquelles le consentement. Un Sujet des Données consent au traitement de ses données personnelles si elle indique clairement son accord, soit par une déclaration, soit par une action positive. Le consentement nécessite une action affirmative, il est donc peu probable que le silence, les cases pré-cochées ou l’inactivité soient suffisants. Si le consentement est donné dans un document traitant d’autres questions, il sera séparé de ces autres questions. Les personnes concernées peuvent retirer leur consentement au traitement à tout moment et le retrait sera rapidement respecté. Le consentement peut avoir besoin d’être actualisé si nous avons l’intention de traiter des données à caractère personnel dans un but différent et incompatible qui n’a pas été divulgué lorsque le Sujet des Données a préalablement donné son consentement. À moins que nous ne puissions compter sur une autre base légale de traitement, un consentement explicite sera requis pour le traitement des données à caractère personnel sensibles, pour la prise de décision automatisée et pour les transferts de données transfrontaliers. Habituellement, nous nous baserons sur une autre base juridique (et ne nécessiterons pas de consentement explicite) pour traiter les données sensibles. Si un consentement explicite est requis, nous en informerons le Sujet des Données. Nous conserverons des enregistrements de tous les consentements afin de pouvoir démontrer la conformité aux exigences de consentement.
3.3 Transparence (notification des personnes concernées) Le RGPD exige des contrôleurs de données qu’ils fournissent des informations détaillées et spécifiques aux personnes concernées. Chaque fois que nous collectons des données à caractère personnel directement auprès des Sujets des Données, y compris à des fins de ressources humaines ou d’emploi, nous au Sujet des Données toutes les informations requises par le RGPD, y compris l’identité du responsable du traitement, comment et pourquoi nous allons utiliser, traiter, divulguer, protégez et conservez ces données personnelles. Lorsque des données personnelles sont collectées indirectement (par exemple, auprès d’une tierce partie ou d’une source accessible au public), nous fournirons au Sujet des Données toutes les informations requises par le RGPD dès que possible après la collecte / la réception des données. Nous vérifierons que les données personnelles ont été collectées par le tiers conformément au RGPD et sur une base qui envisage le traitement que nous proposons de ces données personnelles.
4. Limitation de la finalité Les données personnelles ne seront collectées qu’à des fins spécifiées, explicites et légitimes. Il ne sera pas traité ultérieurement de manière incompatible avec ces objectifs. Nous n’utiliserons pas les données personnelles à des fins nouvelles, différentes ou incompatibles à celles qui ont été divulguées lors de leur première acquisition, sauf si nous avons informé le Sujet des Données des nouvelles fins et si celle-ci a donné son consentement, le cas échéant.
5. Minimisation des données Les Données Personnelles seront adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Notre personnel ne traitera pas les données personnelles pour quelque raison que ce soit sans rapport avec leurs tâches. Lorsque les données personnelles ne sont plus nécessaires à des fins spécifiées, elles seront supprimées ou anonymisées conformément à nos consignes de conservation des données.
6. Exactitude Les données personnelles seront exactes et, si nécessaire, mises à jour. Elles seront corrigées ou supprimées sans délai si inexactes. Nous veillerons à ce que les données personnelles que nous utilisons et que nous conservons soient exactes, complètes, mises à jour et pertinentes par rapport à l’objectif pour lequel nous les avons collectées. Nous prendrons toutes les mesures raisonnables pour détruire ou modifier les données personnelles inexactes ou obsolètes.
7. Limite de stockage Les données personnelles ne seront pas conservées sous une forme identifiable plus longtemps qu’il n’est nécessaire aux fins pour lesquelles elles ont été traitées. Nous ne conserverons pas les données à caractère personnel sous une forme permettant l’identification du Sujet des Données plus longtemps que nécessaire aux fins commerciales légitimes pour lesquelles nous les avons collectées à l’origine, notamment dans le but de satisfaire toute exigence légale, comptable ou en matière de rapportage. Nous prendrons toutes les mesures raisonnables pour détruire ou effacer de nos systèmes toutes les données personnelles dont nous n’avons plus besoin conformément aux politiques de conservation de nos archives. Cela implique de demander à des tiers de supprimer ces données, le cas échéant. Nous informerons les personnes concernées de la période pendant laquelle les données sont stockées et comment cette période est déterminée.
8. Intégrité de la sécurité et confidentialité
8.1 Protection des données personnelles Les données personnelles seront protégées par des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illégal, ainsi que contre la perte, la destruction ou les dégats. Nous élaborerons, mettrons en œuvre et maintiendrons des mesures de protection adaptées à notre taille, à notre portée et à notre activité, aux ressources disponibles, à la quantité de données à caractère personnel que nous possédons ou conservons pour le compte d’autrui et aux risques identifiés (y compris l’utilisation du cryptage et de la pseudonymisation, le cas échéant). Nous évaluerons et testerons régulièrement l’efficacité de ces garanties afin de garantir la sécurité de notre traitement des données à caractère personnel. Nous maintiendrons la sécurité des données en protégeant la confidentialité, l’intégrité et la disponibilité des données personnelles, définies comme suit: (a) La confidentialité signifie que seules les personnes en ayant besoin et autorisées à utiliser les données personnelles peuvent y accéder. (b) L’intégrité signifie que les données personnelles sont précises et adaptées à la finalité pour laquelle elles sont traitées. (c) La disponibilité signifie que les utilisateurs autorisés ne peuvent accéder aux données personnelles que lorsqu’ils en ont besoin à des fins autorisées.
8.2 Signalement d’une violation de données à caractère personnel Le RGPD exige des responsables de traitement de données qu’ils notifient toute violation de données à caractère personnel à l’autorité de contrôle compétente et, dans certains cas, au Sujet des Données. Nous avons mis en place des procédures pour traiter toute violation présumée des données à caractère personnel et nous en informerons les personnes concernées ou tout organisme de réglementation compétent lorsque nous en avons l’obligation légale.
9. Limitation des transferts Le RGPD restreint les transferts de données vers des pays situés en dehors de l’EEE afin de garantir que le niveau de protection des données offert aux particuliers ne soit pas compromis. Nous ne transférerons des données à caractère personnel en dehors de l’EEE que si l’une des conditions suivantes est remplie: (a) la Commission européenne a rendu une décision confirmant que le pays auquel nous transférons les données à caractère personnel assure un niveau de protection adéquat des droits des Sujets des Données et des libertés; (b) des garanties appropriées sont en place; (c) le Sujet des Données a donné son consentement explicite au transfert proposé après avoir été informé des risques potentiels, ou (d) le transfert est nécessaire pour l’une des autres raisons énoncées dans le RGPD, notamment l’exécution d’un contrat entre nous et le Sujet des Données; intérêt public; établir, exercer ou défendre des actions en justice, ou protéger les intérêts vitaux du Sujet des Données lorsque cette dernière est physiquement ou juridiquement incapable de donner son consentement et, dans certains cas limités, pour notre intérêt légitime.
10. Droits des Sujets des Données Les Sujets des Données ont des droits sur la manière dont nous traitons leurs données personnelles. Celles-ci incluent les droits suivants: (a) retirer le consentement au traitement à tout moment; (b) recevoir certaines informations sur les activités de traitement du contrôleur de données; (c) demander l’accès à leurs données personnelles que nous détenons; (d) empêcher l’utilisation de leurs données personnelles à des fins de marketing direct; (e) nous demander d’effacer les données personnelles si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ou de rectifier des données inexactes / complètes incomplètes; f) restreindre le traitement dans des circonstances spécifiques; (g) contester un traitement qui a été justifié sur la base de nos intérêts légitimes ou de l’intérêt public; (h) demander une copie d’un accord en vertu duquel des données personnelles sont transférées en dehors de l’EEE; (i) s’opposer aux décisions fondées uniquement sur le traitement automatisé, y compris le profilage (ADM); (j) empêcher tout traitement susceptible de causer des dommages ou une détresse au Sujet des Données ou à toute autre personne; (k) être informés d’une violation de données à caractère personnel susceptible d’entraîner un risque élevé pour leurs droits et libertés; (l) déposer une plainte auprès de l’autorité de surveillance, et (m) dans des circonstances limitées, recevoir ou demander que leurs données personnelles soient transférées à un tiers dans un format structuré, couramment utilisé et lisible par une machine. Nous vérifierons l’identité d’une personne qui demande des données en vertu de l’un des droits énumérés ci-dessus.
11. Responsabilité
11.1 Nous mettrons en œuvre les mesures techniques et organisationnelles appropriées de manière efficace afin de garantir le respect des principes de protection des données. Nous disposons des ressources et des contrôles adéquats pour assurer et documenter la conformité au RGPD, notamment: (a) la désignation d’un responsable dûment qualifié, responsable de la confidentialité des données; (b) la mise en œuvre de la protection de la vie privée dès la conception lors du traitement de données à caractère personnel et la complétion des AIPP lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées; (c) intégrer la protection des données dans les documents internes; (d) former régulièrement notre personnel aux questions relatives au RGPD et à la protection des données, y compris les droits du sujet, le consentement, les bases juridiques, la DPIA et les violations de données à caractère personnel, et (e) tester régulièrement les mesures de protection de la vie privée et procéder à des contrôles pour en évaluer la conformité.
11.2 Tenue de registres Le RGPD nous oblige à conserver des registres complets et précis de nos activités de traitement de données. Ces enregistrements incluent le nom et les coordonnées du responsable du traitement, des descriptions claires des types de données personnelles, des types de sujets de données, les activités de traitement, les finalités du traitement, les destinataires tiers des données personnelles, les emplacements de stockage, les transferts, les durées de conservation et une description des mesures de sécurité en place.
11.3 Formation Nous nous assurerons que tout le personnel a suivi une formation adéquate lui permettant de se conformer aux lois sur la confidentialité des données. 6
11.4 Protection de la vie privée dès la conception et évaluation de l’impact sur la protection des données (DPIA) Nous devons appliquer des mesures de protection de la vie privée dès la conception lors du traitement de données à caractère personnel en mettant en œuvre les mesures techniques et organisationnelles appropriées (comme la pseudonymisation) de manière efficace, afin de garantir le respect des principes de confidentialité. Nous prendrons en compte les éléments suivants: (a) l’état de la technique; b) le coût de la mise en œuvre; (c) la nature, la portée, le contexte et les finalités du traitement, et (d) les risques, la probabilité et la gravité des droits et libertés des personnes concernées par le traitement. Nous mènerons également des EPD en ce qui concerne le traitement des risques élevés.
11.5 Traitement automatisé (y compris le profilage) et prise de décision automatisée En règle générale, l’ADM est interdit lorsqu’une décision a un effet juridique significatif ou similaire sur un individu, sauf si: (a) un Sujet des Données a expressément consenti; (b) le traitement est autorisé par la loi, ou (c) le traitement est nécessaire à l’exécution d’un contrat ou à la conclusion d’un contrat. Si certains types de données sensibles sont en cours de traitement, les motifs (b) ou (c) ne seront pas autorisés, mais ces données sensibles pourront être traitées si cela est nécessaire pour un intérêt public substantiel, tel que la prévention de la fraude. Si une décision doit être basée uniquement sur le traitement automatisé (y compris le profilage), les personnes concernées seront informées de leur droit de faire objection. Des mesures appropriées seront mises en place pour protéger les droits, les libertés et les intérêts légitimes du Sujet des Données. Nous informerons le Sujet des Données de la logique impliquée dans la prise de décision ou le profilage, de la signification et des conséquences envisagées et lui donnerons le droit de demander une intervention humaine, d’exprimer son point de vue ou de contester la décision. Une DPIA sera réalisée avant toute activité de traitement automatisé (y compris le profilage) ou ADM.
11.6 Marketing direct Nous offrirons spécifiquement le droit de s’opposer au marketing direct. L’objection d’un Sujet des Données au marketing direct sera rapidement prise en compte. Si un client se désiste à tout moment, ses détails seront supprimés dès que possible. La suppression implique de conserver juste assez d’informations pour que les préférences marketing soient respectées à l’avenir.
11.7 Partage des données personnelles En règle générale, nous ne sommes pas autorisés à partager des données personnelles avec des tiers, sauf si certaines garanties et dispositions contractuelles ont été mises en place. Nous ne partagerons les données personnelles que nous détenons que si le destinataire a un besoin lié à l’emploi de connaître les informations et si le transfert est conforme à toutes les restrictions applicables aux transferts transfrontaliers. Nous ne partagerons les données personnelles que nous détenons avec des tiers, tels que nos fournisseurs de services, que si: (a) ils ont besoin de connaître les informations aux fins de la fourniture des services contractés; (b) le partage des données à caractère personnel est conforme à la déclaration de confidentialité fournie au Sujet des Données et, si nécessaire, que son consentement a été obtenu; (c) le tiers a accepté de se conformer à la sécurité des données requise; (d) le transfert est conforme aux restrictions de transfert transfrontalières applicables, et (e) un contrat écrit entièrement signé contenant des clauses de tiers approuvées par le RGPD a été obtenu.
12. Des modifications de cette déclaration de confidentialité peuvent arriver à tout moment, alors veuillez vérifier régulièrement pour obtenir la version la plus récente de cette déclaration. La présente déclaration de confidentialité ne remplace pas les lois et réglementations applicables en matière de confidentialité des données.
