Politique de Confidentialité

Dernière mise à jour : 16 juillet 2024

À propos de BetterPic

BetterPic est un service numérique exploité et géré par Betterpic OÜ ("BetterPic"). Aux fins de cette Politique, les références à "BetterPic" se rapportent au service numérique fourni par Betterpic OÜ. Toutes les questions relatives à BetterPic, y compris cette Politique d'Affiliation, sont régies par les lois de l'Estonie.

Portée et Définitions

Portée. Cette Politique de Protection des Données Personnelles (la "Politique") décrit les règles internes de BetterPic pour le traitement et la protection des données personnelles. La Politique s'applique à BetterPic, y compris les employés et entrepreneurs de BetterPic ("nous", "notre", "nos", "BetterPic"). La direction de chaque entité est ultimement responsable de la mise en œuvre de cette politique, ainsi que pour s'assurer, au niveau de l'entité, qu'il y a des procédures adéquates et efficaces en place pour sa mise en œuvre et la surveillance continue de son respect. Aux fins de cette Politique, les employés et entrepreneurs sont collectivement désignés comme les "employés".

Responsable de la Confidentialité. Le Responsable de la Confidentialité est un employé de BetterPic responsable de la conformité à la protection des données personnelles au sein de BetterPic (le "Responsable de la Confidentialité"). Le Responsable de la Confidentialité est chargé d'effectuer les obligations imposées par cette Politique et de superviser les autres employés, qui sont soumis à cette Politique, concernant leur respect de cette Politique. Le Responsable de la Confidentialité doit être impliqué dans tous les projets à un stade précoce afin de prendre en compte les aspects de protection des données personnelles dès la phase de planification.

Principes de Traitement des Données

2.1 Les activités de traitement de BetterPic doivent être conformes aux principes spécifiés dans cette Section. Le Responsable de la Confidentialité doit s'assurer que la documentation de conformité de BetterPic, ainsi que les activités de traitement des données, sont conformes aux principes de protection des données.

2.2. Nous devons traiter les Données Personnelles conformément aux principes suivants :

2.2.1. De manière licite, loyale et transparente (licéité, loyauté et transparence). Nous devons toujours avoir un fondement juridique pour le traitement (décrit dans la Section 3 de cette Politique), collecter le montant de données adéquat à la finalité et aux fondements juridiques, et nous nous assurons que les Personnes Concernées sont conscientes du traitement ;

2.2.2. Collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (limitation des finalités). Nous ne devons pas traiter les Données Personnelles pour les finalités non spécifiées dans notre documentation de conformité sans obtenir l'approbation spécifique du Responsable de la Confidentialité.

2.2.3. Adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées (minimisation des données). Nous nous assurons toujours que les données que nous collectons ne sont pas excessives et limitées par la stricte nécessité.

2.2.4. Exactes et, si nécessaire, tenues à jour (exactitude). Nous nous efforçons de supprimer les données inexactes ou fausses sur les Personnes Concernées et nous nous assurons de mettre à jour les données. Les Personnes Concernées peuvent nous demander une correction des Données Personnelles.

2.2.5. Conservées sous une forme permettant l'identification des Personnes Concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les Données Personnelles sont traitées (limitation de la durée de conservation). Les périodes de stockage doivent être limitées comme prescrit par les Lois sur la Protection des Données et cette Politique.

2.2.6. Traitées d'une manière qui assure une sécurité appropriée des Données Personnelles, y compris la protection contre le traitement non autorisé ou illicite et la perte, destruction ou dommage accidentels, en utilisant des mesures techniques ou organisationnelles appropriées (confidentialité, intégrité et disponibilité).

2.3. Responsabilité.

2.3.1. Nous devons être en mesure de démontrer notre conformité aux Lois sur la Protection des Données (principe de responsabilité). En particulier, nous devons assurer et documenter toutes les procédures pertinentes, efforts, consultations internes et externes sur la protection des données personnelles, y compris :

• le fait de nommer une personne responsable de la conformité à la protection des données de BetterPic ;
• si nécessaire, un enregistrement d'une Évaluation d'Impact sur la Protection des Données ;
• les avis, politiques et procédures développés et mis en œuvre, tels que l'Avis de Confidentialité, cette politique ou la procédure de réponse aux Violations de Données ;
• le fait de la formation du personnel sur la conformité aux Lois sur la Protection des Données ; et
• l'évaluation, la mise en œuvre et les tests des mesures organisationnelles et techniques de protection des données.

2.3.2. Le Responsable de la Confidentialité doit maintenir les Registres des activités de traitement de BetterPic, qui est un document de responsabilité qui décrit les activités de traitement des données personnelles de BetterPic, préparé conformément à l'Art. 30 du RGPD (les "Registres des activités de traitement"). Les Registres des activités de traitement doivent maintenir, au minimum, les informations suivantes sur chaque activité de traitement :

• les coordonnées de BetterPic, le Représentant de l'UE, et, le cas échéant, du Délégué à la Protection des Données ;
• le nom de l'activité, ses finalités et base juridique ainsi que, le cas échéant, les intérêts légitimes de BetterPic ;
• les personnes concernées et catégories de données personnelles concernées ;
• les périodes de conservation des données ;
• description générale des mesures de sécurité applicables ;
• les destinataires, y compris les responsables conjoints, sous-traitants et entrepreneurs impliqués, ainsi que le fait du transfert international de données avec les garanties appliquées au transfert ;
• le cas échéant, une référence à l'Évaluation d'Impact sur la Protection des Données ;
• le cas échéant, une référence à l'enregistrement de la violation de données survenue impliquant les données personnelles ;
• si BetterPic agit en tant que sous-traitant, les informations à fournir incluent les noms et coordonnées des responsables, nom et coordonnées du représentant du responsable (si applicable), catégories de traitement (activités), noms des pays tiers ou organisations internationales vers lesquels les données personnelles sont transférées (si applicable), garanties pour les transferts exceptionnels de données personnelles vers des pays tiers ou organisations internationales (si applicable), et description générale des mesures techniques et organisationnelles de sécurité.

Accès aux Données Personnelles. Fondements Juridiques et Finalités

3.1. Fondements juridiques.

3.1.1. Chaque activité de traitement doit avoir un des fondements juridiques spécifiés dans cette Section pour traiter les Données Personnelles. Si nous n'avons aucun des décrits, nous ne pouvons collecter ou traiter ultérieurement les Données Personnelles.

3.1.2. Si BetterPic est destiné à utiliser des données personnelles pour des finalités autres que celles spécifiées dans les Registres des activités de traitement, le Responsable de la Confidentialité doit évaluer, déterminer et, si nécessaire, collecter/enregistrer la base juridique appropriée pour cela.

3.1.3. Exécution du contrat. Où BetterPic a un contrat avec la Personne Concernée, par exemple, les Conditions d'Utilisation du site web ou le contrat d'emploi, et le contrat exige la fourniture de données personnelles de la Personne Concernée, le fondement juridique applicable sera la réalisation du contrat.

3.1.4. Consentement. Pour traiter les données personnelles sur la base du consentement, nous devons obtenir le consentement avant le traitement et garder la preuve du consentement avec les enregistrements des Données Personnelles de la Personne Concernée. Le Responsable de la Confidentialité doit s'assurer que le consentement collecté des Personnes Concernées répond aux exigences de Lois sur la Protection des Données et cette Politique. En particulier, le Responsable de la Confidentialité doit s'assurer que :

• la Personne Concernée doit être libre de donner ou de refuser de donner son consentement.
• le consentement doit être sous la forme d'une indication active de la Personne Concernée, c'est-à-dire, la case à cocher du consentement ne doit pas être précochée pour l'utilisateur.
• la demande de consentement doit clairement articuler les finalités du traitement et d'autres informations spécifiées dans le Sous-paragraphe 6.2 est disponible pour la Personne Concernée.
• la Personne Concernée doit être libre de donner son consentement ou de le révoquer.

3.1.5. Intérêts légitimes. Nous avons le droit d'utiliser des données personnelles dans nos 'intérêts légitimes'. Les intérêts peuvent inclure les finalités qui sont justifiées par la nature de nos activités commerciales, telles que l'analyse marketing des données personnelles. Pour que BetterPic utilise des intérêts légitimes comme fondement juridique pour le traitement, le Responsable de la Confidentialité doit s'assurer que :

• l'intérêt légitime dans le traitement est clairement défini et enregistré dans les Registres des activités de traitement ;
• tout risque envisagé pour les droits et intérêts des Personnes Concernées est repéré. Les exemples de risques peuvent être trouvés dans le Sous-paragraphe 7.2.;
• les Personnes Concernées ont des attentes raisonnables concernant le traitement et des mesures supplémentaires de protection pour aborder les risques sont prises ;
• sous les conditions du Sous-paragraphe 6.7 (Droit d'objecter contre le traitement), la Personne Concernée est fournie de la possibilité d'opter pour le traitement pour les finalités légitimes décrites.

Si au moins une des conditions ci-dessus n'est pas remplie par BetterPic, le Responsable de la Confidentialité doit choisir et proposer un autre fondement juridique pour le traitement, tel que le consentement.

3.1.6. Loi sur la conformité et l'intérêt public. En plus des fondements spécifiés ci-dessus, nous pouvons être demandés par les lois de l'Union européenne ou les lois d'un État membre de l'Union européenne pour traiter les Données Personnelles de nos Utilisateurs. Par exemple, nous pouvons être tenus de collecter, d'analyser et de surveiller les informations des Utilisateurs pour se conformer aux lois financières ou laborales. Chaque fois que nous avons cette obligation, nous devons nous assurer que :

• nous traitons les données personnelles strictement en conformité avec les exigences légales pertinentes ;
• nous ne utilisons pas ou ne stockons pas les Données Personnelles collectées pour d'autres finalités que la conformité légale ; et
• les Personnes Concernées sont informées correctement et à temps sur nos obligations, portée et conditions de traitement des données personnelles.

Important: Où BetterPic a les exigences légales d'un autre pays pour traiter des données personnelles, le Responsable de la Confidentialité doit proposer d'utiliser un autre fondement juridique pour le traitement sous les Lois sur la Protection des Données, tel que des intérêts légitimes ou du consentement.

3.2. Accès aux Données Personnelles.

3.2.1. Les employés doivent avoir accès aux données personnelles sur une base "besoin de savoir" nécessaire. Les données ne peuvent être accédées que si elles sont strictement nécessaires pour effectuer l'une des activités spécifiées dans les Registres des activités de traitement. Les employés et entrepreneurs doivent avoir accès aux Données Personnelles uniquement s'ils ont les identifiants nécessaires pour cela.

3.2.2. Les chefs des départements au sein de BetterPic sont responsables de l'accès et du traitement des données personnelles de leurs employés. Les chefs doivent maintenir la liste des employés qui sont autorisés à accéder et à traiter des données personnelles. Le Responsable de la Confidentialité aura le droit de revoir la liste et, le cas échéant, demander des modifications pour se conformer aux exigences de cette Politique.

3.2.3. Les chefs des départements au sein de BetterPic doivent s'assurer que les employés sous leur supervision sont conscients des Lois sur la Protection des Données et se conforment aux règles établies dans cette Politique. Pour nous assurer que nos employés sont en mesure de se conformer aux exigences de protection des données, nous devons leur fournir une protection des données adéquate.

3.2.4. Tous les employés accédant aux données personnelles doivent garder strictement confidentielle la nature des données qu'ils accèdent. Les employés accédant aux données personnelles doivent utiliser uniquement les moyens (logiciels, locaux, etc.) pour le traitement que BetterPic a prescrit. Les données ne doivent pas être divulguées ou autrement mises à disposition en dehors des instructions de gestion.

3.2.5. Les employés dans leur compétence doivent aider les représentants de BetterPic, y compris le Responsable de la Confidentialité, dans toutes les efforts concernant la conformité aux Lois sur la Protection des Données et/ou cette Politique.

3.2.6. Lorsqu'un employé détecte ou croit qu'il existe une activité suspecte, violation de données, non-conformité aux Lois sur la Protection des Données et/ou cette Politique, ou une DSR n'était pas routée au département compétent au sein de BetterPic, l'employé doit signaler cette activité au Responsable de la Confidentialité.

3.2.7. Les employés qui ne sont pas sûrs de savoir si ils peuvent légalement traiter ou divulguer des Données Personnelles doivent demander conseil au Responsable de la Confidentialité avant de prendre toute action.

3.2.8. Tout accès occasionnel aux données personnelles pour des activités non spécifiées dans les Registres des activités de traitement est interdit. Si une stricte nécessité existe pour un accès immédiat, le Responsable de la Confidentialité doit approuver l'accès d'abord.

Tierces Parties

4.1. Avant de partager des données personnelles avec toute personne en dehors de BetterPic, le Responsable de la Confidentialité doit s'assurer que ce Tierce Parti a un niveau approprié de protection des données et fournit des garanties de protection des données suffisantes en conformité avec les Lois sur la Protection des Données, y compris, mais sans s'y limiter, les exigences de traitement (Art. 28 du RGPD) et la conformité aux transferts (Section 5 du RGPD). Le cas échéant, le Responsable de la Confidentialité doit s'assurer que BetterPic entre en contact avec le contrat approprié de protection des données avec le Tierce Parti.

4.2. Un employé peut partager des données personnelles avec des Tierces Parties uniquement si et à la mesure où cela était directement prescrit par le chef et spécifié dans les Registres des activités de traitement.

4.3. Si nous devons supprimer, modifier ou arrêter le traitement des Données Personnelles, nous devons nous assurer que les Tierces Parties, avec qui nous avons partagé les Données Personnelles, rempliront ces obligations en conséquence.

4.4. Chaque fois que BetterPic est engagé en tant que sous-traitant pour le compte d'une autre entité, le Responsable de la Confidentialité doit s'assurer que BetterPic se conforme à l'obligation de traitement. En particulier, le contrat approprié de traitement en conformité avec les Lois sur la Protection des Données doit être en place. Le Responsable de la Confidentialité doit superviser la conformité avec les instructions de traitement du contrôleur, y compris en ce qui concerne la portée des activités de traitement, l'impliqué des sous-traitants, les transferts internationaux, le stockage et le traitement ultérieur des données personnelles traitées. Les données personnelles traitées sous le rôle de sous-traitant ne doivent pas être traitées pour d'autres finalités que celles spécifiées dans les instructions, contrat ou autre acte juridique régulant les relations avec le contrôleur.

Transferts Internationaux

5.1 Si nous avons des employés, entrepreneurs, affiliés corporatifs ou Sous-traitants en dehors de l'UE, et nous transférons des Données Personnelles à eux pour le traitement, le Responsable de la Confidentialité doit s'assurer que BetterPic prend toutes les mesures nécessaires et appropriées de sécurité en conformité avec les Lois sur la Protection des Données.

5.2 Le Responsable de la Confidentialité doit évaluer les garanties disponibles et proposer à la direction de BetterPic les garanties appropriées pour chaque transfert international. Les régimes suivants s'appliquent aux transferts de Données Personnelles en dehors de l'UE : où la Commission européenne décide que le pays a un niveau approprié de protection des données personnelles, le transfert n'exige pas de prendre des garanties supplémentaires. La liste complète des juridictions adéquates peut être trouvée sur la page appropriée du site web de la Commission européenne. pour transférer des Données Personnelles à nos entrepreneurs ou partenaires (Sous-traitants ou Contrôleurs) dans des pays tiers, nous devons conclure des Clauses Contractuelles Types avec ce parti. La version provisoire accompagnée de la guidance peut être trouvée sur la page appropriée du site web de la Commission européenne ; si nous avons un affilié corporatif ou une entité dans des pays tiers, nous pouvons choisir d'adopter des Règles de Entreprise Binder en vertu de l'Article 47 du RGPD ou un code de conduite approuvé en vertu de l'Article 40 du RGPD ; nous pouvons également transférer des Données Personnelles à des entités qui ont un certificat approuvé en vertu de l'Article 42 du RGPD, qui certifie un niveau approprié de protection des données de l'entreprise.

5.3 En tant que partie de nos obligations d'information, BetterPic doit informer les Personnes Concernées que leurs Données Personnelles sont transférées vers d'autres pays, ainsi que de fournir des informations sur les garanties utilisées pour le transfert. L'obligation d'information doit être effectuée en conformité avec le Sous-paragraphe 6.2.

5.4 Dans les cas exceptionnels (la "Dérogation"), où nous ne pouvons pas appliquer les garanties mentionnées ci-dessus et nous devons transférer des Données Personnelles, nous devons prendre un consentement explicite (énoncé actif) de la Personne Concernée, ou il doit être strictement nécessaire pour la réalisation du contrat entre nous et la Personne Concernée, ou d'autres conditions de dérogation s'appliquent en conformité avec les Lois sur la Protection des Données. Le Responsable de la Confidentialité doit pré-approuver tout transfert de dérogation et documenter les dérogations approuvées, ainsi que la raison de leur existence.

Droits des Personnes Concernées

6.1 Nos Responsabilités.

6.1.1 Le Responsable de la Confidentialité est finalement responsable de traiter toutes les DSR reçues par BetterPic. Dans le cas de recevoir toute DSR restante ou inhabituelle, l'employé doit demander conseil au Responsable de la Confidentialité avant de prendre toute action.

6.1.2 Le Support Client au sein de BetterPic est responsable de traiter les DSR des Utilisateurs de BetterPic sur une base quotidienne. Le département des Ressources Humaines est responsable de traiter les DSR des employés de BetterPic.

6.1.3 Toutes les DSR des Utilisateurs doivent être traitées à et répondues de la part de la personne suivante : gdpr@betterpic.io. DSR des employés peuvent être traitées directement au manager de ressources humaines ou à gdpr@betterpic.io.

6.1.4 La personne responsable doit répondre à la DSR dans un mois (1) à partir de la réception de la demande. Si la conformité à la DSR prend plus d'un mois en temps, la personne responsable doit demander conseil au Responsable de la Confidentialité et, le cas échéant, informer la Personne Concernée sur la prolongation du délai de réponse jusqu'à deux (2) mois supplémentaires.

6.1.5 La personne responsable doit analyser la DSR reçue pour les critères suivants :

• Identification de la Personne Concernée. Avant de considérer le contenu de la DSR, la personne responsable doit s'assurer que la Personne Concernée est la même personne qu'elle prétend être. Pour cela, la connexion entre les enregistrements de données personnelles et la personne concernée doit être établie. Les méthodes suivantes doivent être utilisées pour cela : vérification de l'adresse e-mail de la Personne Concernée - généralement, l'adresse e-mail devrait être la même que BetterPic a sur l'utilisateur en question ; si l'adresse e-mail est différente de l'enregistrement dans la base de données, le Responsable de la Confidentialité doit être consulté, à l'approbation duquel la personne responsable peut demander des détails supplémentaires de la personne concernée à partir de la personne concernée, tels que la date de naissance, l'adresse et l'adresse e-mail. Si la Personne Concernée a échoué à subir la vérification, le Responsable de la Confidentialité doit refuser de traiter la demande et informer la Personne Concernée au sujet de cela sans délai excessif, mais pas plus tard que dans un mois (1) à partir de la réception de la demande.
• Données personnelles. La personne responsable doit vérifier si BetterPic a accès aux données personnelles demandées. Si BetterPic n'a pas les données personnelles sous le contrôle, la personne responsable doit informer la Personne Concernée et, si possible, instruire sur les étapes supplémentaires pour accéder aux données en question ;
• Contenu de la demande. En fonction du contenu de la DSR, la personne responsable doit définir le type de demande et vérifier si elle répond aux conditions prescrites par cette Politique et les Lois sur la Protection des Données. Les types de demandes et les conditions respectives pour chacune d'elles peuvent être consultés dans les Sous-paragraphes 6.3-6.9. Si la demande ne répond pas aux critères décrits, la personne responsable doit refuser de se conformer à la DSR et informer la Personne Concernée sur les raisons de la refusale ;
• Gratuit. Généralement, toutes les demandes des Personnes Concernées et des exercices de leurs droits sont gratuites. Si la personne responsable trouve que la Personne Concernée exerce ses droits de manière excessive ou inattendue (par exemple, intentionnée pour nuire ou interrompre les activités commerciales de BetterPic), la personne responsable doit demander conseil au Responsable de la Confidentialité, et, à la réception de ce dernier, peut soit facturer la Personne Concernée un frais raisonnable, soit refuser de se conformer à la demande ;
• Documentation. Chaque fois que BetterPic reçoit la DSR, le Responsable de la Confidentialité doit s'assurer que les données et le temps, la Personne Concernée, le type de demande et la décision prise à ce sujet sont bien documentés. Dans le cas de refuser de se conformer à la demande, les raisons de la refusale doivent également être documentées ;
• Destinataires. Lors de la réponse à la DSR, le Responsable de la Confidentialité doit s'assurer que tous les destinataires concernés ont été informés des actions prises.

6.2 Le droit d'être informé.

6.2.1 BetterPic doit notifier chaque Personne Concernée sur la collecte et le traitement ultérieur des Données Personnelles.

6.2.2 Les informations à fournir incluent : le nom et les coordonnées de BetterPic ; les finalités génériques et la base juridique pour la collecte et le traitement ultérieur ; les catégories de Données Personnelles collectées ; les destinataires/catégories de destinataires ; les périodes de conservation ; les informations sur les droits des personnes concernées, y compris le droit de faire une réclamation à l'autorité de contrôle compétente ; les conséquences des cas où les données sont nécessaires pour la réalisation du contrat et la Personne Concernée ne fournit pas les données requises ; les détails des garanties où les données personnelles sont transférées en dehors de l'UE ; et toute source tierce des données personnelles, sans spécification pour le cas particulier (sauf si nous recevons la demande directe de la Personne Concernée).

6.2.3 Les Utilisateurs doivent être informés par la Politique de Confidentialité accessible sur le site web de BetterPic et fournie lors de l'enregistrement de l'utilisateur. Les employés et entrepreneurs doivent être informés par un énoncé de confidentialité d'employé distinct, qui explique les détails décrits dans le point 6.2.2 sous une base cas-à-cas, décrivant les finalités et activités particulières. BetterPic doit informer les Personnes Concernées sur le traitement des données, y compris tout nouveau traitement d'activité introduit à BetterPic dans le délai suivant :

• si les données personnelles sont collectées directement de la personne concernée, la personne concernée doit être informée au moment où nous collectons les Données Personnelles des Personnes Concernées en montrant les Personnes Concernées notre Politique de Confidentialité ;
• si les données personnelles sont collectées d'autres sources : (a) dans un mois à partir de la collecte ; (b) si les données personnelles sont utilisées pour communiquer avec la personne concernée, au plus tard au moment de la première communication à cette personne concernée ; ou (c) si une divulgation à un autre destinataire est prévue, au plus tard au moment de la première divulgation des données personnelles ;
• à la demande de la Personne Concernée ; et
• dans un mois (1) après toute modification de nos pratiques de données personnelles, modification du contrôleur des Données Personnelles ou après des changements significatifs dans nos politiques de confidentialité.

6.3 Le droit d'accéder aux informations.

6.3.1 La Personne Concernée doit être fournie uniquement avec les enregistrements de données personnelles spécifiés dans la demande. Si la Personne Concernée demande accéder à toutes les données personnelles concernant elle ou lui, la personne responsable doit demander conseil au Responsable de la Confidentialité d'abord, pour s'assurer que toutes les données personnelles de la Personne Concernée sont mappées et fournies.

6.3.2 Une Personne Concernée a le droit de :

• apprendre si nous traitons les Données Personnelles de la Personne Concernée ;
• obtenir la divulgation concernant les aspects du traitement, y compris des informations détaillées et spécifiques sur les finalités, les catégories de Données Personnelles, les destinataires/catégories de destinataires, les périodes de conservation, les informations sur les droits de la personne concernée, les détails des garanties pertinentes où les données personnelles sont transférées en dehors de l'UE, et toute source tierce des données personnelles ; et
• obtenir une copie des Données Personnelles en cours de traitement à la demande.

6.4 Le droit de vérifier les informations de la Personne Concernée et de les demander de les rectifier. Les informations que nous collectons peuvent être/devenir inexactes ou obsolètes (par exemple, erreurs dans la nationalité, la date de naissance, les informations sur les dettes, les activités économiques). Si nous révélons que les Données Personnelles sont inexactes ou que la Personne Concernée nous demande de le faire, nous devons nous assurer que nous corrigeons toutes les erreurs et mettons à jour les informations pertinentes.

6.5 Le droit de restreindre le traitement.

6.5.1 La restriction du traitement permet aux Personnes Concernées de temporairement arrêter l'utilisation de leurs informations pour empêcher les possibles dommages causés par l'utilisation de ces informations.

6.5.2 Ce droit s'applique lorsque la Personne Concernée :

• conteste la précision des Données Personnelles ;
• croit que nous traitons les Données Personnelles illégalement ; et
• objecte contre le traitement et veut que nous ne traitons pas les Données Personnelles pendant que nous considérons la demande.

6.5.3 Dans le cas de recevoir la demande de restriction, nous ne devons pas traiter les Données Personnelles en question pour toute autre finalité que de les stocker ou pour des finalités de conformité légale jusqu'à ce que les circonstances de restriction cessent d'exister.

6.6 Le droit de retirer le consentement.

Pour les activités qui nécessitent le consentement, la Personne Concernée peut révoquer son consentement à tout moment. Si la Personne Concernée révoque le consentement, nous devons enregistrer les changements et ne devons pas traiter les Données Personnelles pour des finalités basées sur le consentement. La révocation du consentement n'affecte pas la légalité du traitement effectué avant la révocation.

6.7 Le droit d'objecter contre le traitement.

6.7.1 Si nous traitons les informations dans nos intérêts légitimes, par exemple, pour les e-mails de marketing direct ou pour des finalités de recherche marketing, la Personne Concernée peut objecter contre le traitement.

6.7.2 Dans le cas de recevoir la demande d'objet, nous devons considérer la demande de la Personne Concernée et, où nous n'avons pas d'intérêts compétants, arrêter le traitement pour les finalités spécifiées. Si les données personnelles sont encore à traiter pour d'autres finalités, le Responsable de la Confidentialité doit s'assurer que la base de données a un enregistrement que les données ne peuvent plus être traitées pour les finalités objetées.

6.7.3 La demande d'objet peut être refusée uniquement si les données personnelles en question sont utilisées pour des recherches/études historiques ou statistiques et étaient appropriément protégées, c'est-à-dire par des techniques d'anonymisation ou de pseudonymisation.

6.8 Droit d'effacer/d'être oublié.

6.8.1 Les Personnes Concernées ont le droit de nous demander d'effacer leurs Données Personnelles si l'une des conditions suivantes est remplie :

• Les Données Personnelles ne sont plus nécessaires pour les finalités de collecte. Par exemple, une personne a fourni des données personnelles pour une activité à un seul coup, telle que la validation des données ou la participation à un concours, et la finalité est déjà réalisée ;
• la Personne Concernée a révoqué son consentement ou a objeté au traitement (où applicable) et il n'y a pas d'autre fondement juridique pour le traitement ; ou
• nous traitons les Données Personnelles illégalement ou leur effacement est requis par la législation applicable de l'Union européenne ou d'un des États membres de l'Union européenne.

6.8.2 Conditions sous lesquelles nous avons le droit de refuser l'effacement :

• Les Données Personnelles sont traitées pour des recherches/études historiques ou statistiques et sont appropriément protégées, c'est-à-dire pseudonymisées ou anonymisées ;
• Les Données Personnelles sont encore nécessaires pour la conformité légale (par exemple, pour la conformité financière ou légale).

6.8.3 Seules les enregistrements de données personnelles doivent être supprimés qui étaient spécifiés dans la demande. Si la Personne Concernée demande la suppression de toutes les données personnelles concernant elle ou lui, la personne responsable doit demander conseil au Responsable de la Confidentialité d'abord, pour s'assurer que toutes les données sur la Personne Concernée sont mappées et peuvent être supprimées.

6.8.4 Si la Personne Concernée a toujours un compte avec nous et demande la suppression des informations nécessaires pour maintenir le compte, nous devons informer la Personne Concernée que la suppression affectera l'expérience de la personne concernée ou pourrait conduire à la fermeture du compte.

6.9 Portabilité des données.

6.9.1 Les Personnes Concernées peuvent nous demander de transférer toutes les Données Personnelles et/ou sa partie dans un format lisible par machine à un tiers. Ce droit s'applique dans deux cas :

• les données personnelles ont été collectées pour le but de fournir nos services (réalisation du contrat) ; ou
• collectées sur la base d'un consentement.

6.9.2 Pour déterminer si l'une des conditions p.6.9.1 est remplie, la personne responsable doit demander conseil au Responsable de la Confidentialité et vérifier la base juridique applicable dans les Registres des activités de traitement. Si la réponse est négative, la demande peut être refusée par BetterPic, et le Responsable de la Confidentialité doit décider s'il faut se conformer à la demande sur une base volontaire.

6.9.3 Pour se conformer à la demande, la personne responsable doit consolider les Données Personnelles demandées et envoyer les données dans le format que nous utilisons généralement à l'organisation demandée. La Personne Concernée doit fournir les coordonnées de contact nécessaires de l'organisation.

Nouveaux Traitements de Données

7.1 Notification au Responsable de la Confidentialité

7.1.1 Avant d'introduire toute nouvelle activité qui implique le traitement des données personnelles, une personne responsable de sa mise en œuvre doit informer le Responsable de la Confidentialité.

7.1.2 Au moment de recevoir des informations sur une nouvelle activité, le Responsable de la Confidentialité doit :

• déterminer si une évaluation d'impact sur la protection des données (EIPA) et/ou la consultation avec l'autorité de contrôle compétente est nécessaire. Si la réponse est positive, le Responsable de la Confidentialité doit s'assurer que l'EIPA est mené et/ou la consultation avec l'autorité de contrôle compétente est effectuée en conformité avec les exigences de cette Section et les Lois sur la Protection des Données ;
• déterminer la base juridique pour le traitement et, le cas échéant, prendre d'autres mesures pour son fixation ;
• s'assurer que l'activité de traitement est effectuée en conformité avec cette Politique, les autres politiques de BetterPic, ainsi que les Lois sur la Protection des Données ;
• ajouter l'activité de traitement aux Registres des activités de traitement ;
• modifier les énoncés d'information sur la confidentialité et, le cas échéant, informer la personne concernée concernée.

7.2 Évaluation d'Impact sur la Protection des Données

7.2.1 Pour nous assurer que nos activités de traitement actuelles ou futures ne/ne violeraient pas les droits des Personnes Concernées, BetterPic doit, où exigé par les Lois sur la Protection des Données, mené une évaluation d'impact sur la protection des données (EIPA), une évaluation de risque basée sur le traitement et la recherche des mesures pour atténuer les risques. Le Responsable de la Confidentialité doit s'assurer que l'EIPA est menée en conformité avec cette Section.

7.2.2 Le Responsable de la Confidentialité, le cas échéant, impliquant les employés compétents et/ou des conseillers externes, doit mené une EIPA si au moins l'une des conditions suivantes est remplie :

• le traitement implique l'utilisation de nouvelles technologies, telles que l'intelligence artificielle, l'utilisation d'appareils connectés et autonomes, etc., qui créent certaines effets juridiques, économiques ou similaires pour la Personne Concernée ;
• nous évaluons et évaluons systématiquement les aspects personnels des Personnes Concernées sur la base d'un profilage automatique, d'affectation d'un score/taux personnel et de création d'effets juridiques ou similaires pour la Personne Concernée par cette activité ;
• nous traitons sur une grande échelle de données sensibles, qui incluent des Données Personnelles relatives aux convictions et infractions criminelles, les données sur les données sensibles des personnes, les données personnelles révélant l'origine ethnique ou raciale, les opinions politiques, les convictions religieuses ou philosophiques, ou le statut d'appartenance syndicale, et le traitement de données génétiques, données biométriques pour le but d'identifier de manière unique une personne physique, données concernant la santé ou les données concernant la vie sexuelle ou la sexualité d'une personne physique ;
• nous collectons ou traitons des Données Personnelles à partir d'une zone accessible publiquement ou à partir de sources publiques sur une grande échelle, ou combinons ou faisons correspondre deux ensembles de données différents ; et
• l'autorité de contrôle compétente dans sa liste publique exige la mise en œuvre d'une EIPA pour un certain type d'activité que nous sommes impliqués. La liste des activités de traitement nécessitant la mise en œuvre d'une EIPA peut être trouvée sur le site web de chaque autorité de contrôle compétente.

7.2.3 L'évaluation doit contenir au moins les détails suivants :

• une description systématique des opérations de traitement et des finalités du traitement, y compris, le cas échéant, les intérêts légitimes poursuivis par nous. La description doit inclure les catégories de données et les personnes concernées concernées, l'échelle des activités de traitement, telles que sa fréquence, le volume, le nombre de records prévu, etc. ; les destinataires des données, les périodes de conservation et, le cas échéant, les transferts internationaux ;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement en relation avec les finalités. L'EIPA doit expliquer si l'activité est nécessaire pour le but et si le but peut être réalisé par des méthodes moins intrusives ;
• une évaluation des risques pour les droits et libertés des personnes concernées, y compris les droits des Personnes Concernées concernant leurs Données Personnelles.
• Les exemples de risques sont le traitement qui pourrait conduire à des dommages physiques, matériels ou non matériels, en particulier : où le traitement peut donner lieu à des discriminations, à la fraude ou à la fraude, à des pertes financières, à des dommages à la réputation, à la perte de confidentialité des données personnelles protégées par le secret professionnel, à la réversibilité non autorisée de la pseudonymisation, ou toute autre inconvénient économique ou social significatif ; où les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer leur contrôle sur leurs données personnelles ; où les données personnelles sont traitées qui révèlent l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, les appartenances syndicales, et le traitement de données génétiques, les données concernant la santé ou les données concernant la vie sexuelle ou les convictions et infractions criminelles ou les mesures de sécurité connexes ; où les aspects personnels sont évalués, en particulier en analysant ou prédisant des aspects concernant les performances au travail, la situation économique, la santé, les préférences ou les intérêts personnels, la fiabilité ou le comportement, la localisation ou les mouvements, afin de créer ou d'utiliser des profils personnels ; où les données personnelles des personnes naturelles vulnérables, en particulier des enfants, sont traitées ; ou où le traitement implique une grande quantité de données personnelles et affecte un grand nombre de personnes concernées ; et
• les mesures pour aborder les risques, y compris les garanties, les mesures de sécurité et les mécanismes pour garantir la protection des données et pour démontrer la conformité avec cette réglementation.

7.2.4 Où l'EIPA n'a pas fourni comment aborder efficacement les risques, le Responsable de la Confidentialité doit initier la consultation avec l'autorité de contrôle compétente pour recevoir de l'aide pour rechercher la solution. Dans ce cas, BetterPic ne doit pas effectuer l'activité avant que l'autorité de contrôle compétente n'approuve l'activité de traitement en question.

Conservation des Données

8.1 Règle Générale.

8.1.1 Le Responsable de la Confidentialité doit s'assurer que BetterPic a clairement défini les périodes de stockage des données et/ou les critères pour déterminer les périodes de stockage pour chaque activité de traitement qu'il a. Les périodes pour chaque activité de traitement doivent être spécifiées dans les Registres des activités de traitement.

8.1.2 Chaque département au sein de BetterPic doit se conformer aux périodes de stockage des données en conformité avec le calendrier de stockage fourni dans les Registres des activités de traitement. Le Responsable de la Confidentialité doit superviser chaque département et s'assurer qu'ils se conforment à cette exigence.

8.1.3 Après la fin de la période de stockage, les données personnelles doivent être supprimées de la disposition du département responsable du traitement ou, dans les cas où les données ne sont plus nécessaires pour toute autre finalité, détruites complètement, y compris à partir de copies de sauvegarde et d'autres médias.

8.1.4 Chaque fois que la période de stockage pour une activité de traitement a pris fin, mais que les données personnelles traitées sont nécessaires pour d'autres finalités de traitement, le chef de département doit s'assurer que les données personnelles ne sont pas utilisées pour l'activité de traitement arrêtée, et les employés responsables ne les ont pas accès à moins qu'ils ne soient nécessaires pour toute autre activité.

8.2 Exemptions. Les règles spécifiées dans le Sous-paragraphe 8.1 ont les exceptions suivantes :

8.2.1 Besoin d'affaires. Les périodes de conservation des données peuvent être prolongées, mais pas plus longtemps que 60 jours, dans le cas où la suppression des données supprimerait ou nuiraient à notre activité en cours. Le Responsable de la Confidentialité doit approuver toute prolongation imprévue.

8.2.2 Impossibilité technique. Certaines informations sont techniquement impossibles ou disproportionnellement difficiles à supprimer. Par exemple, la suppression des informations peut entraîner une violation de l'intégrité du système ou il est impossible de supprimer les informations des copies de sauvegarde. Dans ce cas, les informations peuvent être stockées, sous réserve de l'approbation par le Responsable de la Confidentialité et la réalisation des amendements appropriés aux Registres des activités de traitement ; et

8.2.3 Anonymisation. Les Données Personnelles peuvent être traitées à nouveau pour toute finalité (par exemple, marketing) si nous les anonymisons complètement après la période de conservation est expirée. Cela signifie que tous les identifiants personnels et les connexions à eux seront supprimés des données. Pour considérer les Données Personnelles anonymes, il doit être impossible de les identifier de l'ensemble de données.

Sécurité

9.1 Chaque département au sein de BetterPic doit prendre toutes les mesures techniques et organisationnelles appropriées pour se protéger contre les accès non autorisés, illégaux et/ou accidentels, la destruction, la modification, le blocage, la copie, la distribution, ainsi que de toute autre action illégale des personnes non autorisées concernant les données personnelles sous leur responsabilité.

9.2 La personne responsable de la supervision après la sécurité des données personnelles au sein de BetterPic sera le Chef des Ressources Humaines. Cette personne met en œuvre les lignes directrices et les spécifications sur la protection des données et la sécurité des informations dans son domaine de responsabilité. Il/elle conseille la direction de BetterPic sur la planification et la mise en œuvre de la sécurité des informations dans BetterPic, et doit être impliqué dans tous les projets à un stade précoce afin de prendre en compte les aspects de sécurité liés.

Procédure de Réponse aux Violations de Données

10.1 Équipe de Réponse.

10.1.1 Dans le cas d'exposition de la Violation de Données, le PDG de BetterPic doit former immédiatement l'Équipe de Réponse aux Violations de Données (la "Équipe de Réponse"), qui traitera la Violation de Données, notifiera les personnes appropriées et mitigera ses risques.

10.1.2 L'Équipe de Réponse doit être un groupe multidisciplinaire dirigé par le PDG de BetterPic et composé de la personne responsable de la protection des données, du spécialiste en droit sur la protection des données (que ce soit interne ou externe), et des spécialistes et informaticiens qualifiés dans BetterPic ou des professionnels de l'externalisation, si nécessaire. L'équipe doit s'assurer que tous les employés et entrepreneurs/sous-traitants impliqués dans cette Politique et fournir une réponse immédiate, efficace et qualifiée à toute suspicion/réclamation ou réalité de Violation de Données affectant BetterPic.

10.1.3 Les membres potentiels de l'Équipe de Réponse doivent être prêts à répondre à une Violation de Données. L'Équipe de Réponse doit effectuer toutes les responsabilités de BetterPic mentionnées dans cette Politique. Les responsabilités de l'Équipe de Réponse sont :

• de communiquer la Violation de Données à l'autorité de contrôle compétente(-ies) ;
• en cas de haut risque pour les droits et libertés des Personnes Concernées, de communiquer la Violation de Données à la Personne Concernée ;
• si BetterPic obtient des données d'une tierce partie en tant que sous-traitant, et une Violation de Données implique des données obtenues, de communiquer aux tierces parties sur la Violation de Données ;
• de communiquer BetterPic's entrepreneurs ou toute autre tierce partie qui traite les Données Personnelles impliquées dans la Violation de Données ; et
• de prendre toutes les mesures techniques et organisationnelles appropriées pour mettre fin à la Violation de Données et atténuer les conséquences de la Violation de Données ;
• d'enregistrer le fait de la Violation de Données dans les Registres des activités de traitement et de déposer un rapport interne sur la violation de données qui décrit l'événement.

10.1.4 L'Équipe de Réponse doit effectuer ses responsabilités jusqu'à ce que toutes les mesures nécessaires par cette Politique soient prises.

10.2 Notification à l'autorité de contrôle compétente.

10.2.1 BetterPic doit informer l'autorité de contrôle compétente sur la Violation de Données sans délai excessif et, où c'est possible, pas plus tard que 72 heures après avoir pris connaissance de la Violation de Données.

10.2.2 L'autorité de contrôle compétente doit être déterminée par la résidence des Personnes Concernées, dont les informations étaient impliquées dans la Violation de Données. Si la Violation de Données concernait les Données Personnelles de Personnes Concernées de plusieurs pays, BetterPic doit informer toutes les autorités de contrôle compétentes.

10.2.3 Pour répondre à la notification à l'autorité, l'Équipe de Réponse devrait utiliser l'Annexe 1 de cette Politique. L'Annexe 1 contient toutes les informations de contact des autorités de contrôle compétentes de l'UE. Si la Violation de Données concernait des Personnes Concernées d'autres pays que l'UE, l'Équipe de Réponse devrait demander conseil à un spécialiste en protection des données privée compétent.

10.2.4 La notification à l'autorité de contrôle compétente doit contenir, au moins, les informations suivantes :

• la nature de la Violation de Données incluant, où c'est possible, les catégories et un nombre approximatif de Personnes Concernées et de records de Données Personnelles concernés ;
• le nom et les coordonnées de la Équipe de Réponse, du Responsable de la Confidentialité ou, si ce n'est pas applicable, du PDG ;
• les conséquences probables de la Violation de Données. Expliquer le point de vue de BetterPic sur les finalités et les possibles risques supplémentaires de la Violation de Données. Par exemple, les Données Personnelles peuvent être volées pour une vente frauduleuse, des activités frauduleuses ou du hameçonnage des Personnes Concernées concernées ; et
• les mesures prises ou proposées par BetterPic pour aborder la Violation de Données, y compris, le cas échéant, des mesures pour atténuer ses possibles effets négatifs.

10.2.5 Pour déposer une notification, l'Équipe de Réponse devrait utiliser le Formulaire de Notification de Violation de Données à l'autorité de contrôle compétente.

10.3 Notifications aux Personnes Concernées.

10.3.1 Lorsque la Violation de Données est susceptible de résulter en un haut risque pour les droits et libertés des Personnes Concernées (par exemple, vol de fonds, actifs, informations propriétaires), nous devons également communiquer la Violation de Données aux Personnes Concernées concernées sans délai excessif. Le Responsable de la Confidentialité doit déterminer s'il existe un haut risque basé sur les facteurs de risque spécifiés dans le Sous-paragraphe 7.2.3 de cette Politique.

10.3.2 La notification doit contenir les informations suivantes :

• description de la Violation de Données - ce qui s'est passé et ce qui a conduit à la Violation de Données, tels que une violation de sécurité, la négligence d'un employé, une erreur dans le travail du système. Si l'Équipe de Réponse a décidé de ne pas divulguer les causes de la Violation de Données, alors ce paragraphe ne doit pas être mentionné ;
• les mesures prises par BetterPic concernant la Violation de Données, y compris des mesures de sécurité, des investigations internes, et une notification à l'autorité de contrôle compétente ;
• des recommandations pour les Personnes Concernées concernées sur la manière de réduire les risques et les conséquences possibles, telles que des lignes directrices sur la manière de restaurer l'accès à un compte, des mesures de prévention (changement d'un mot de passe) ; et
• les coordonnées de la personne responsable de la réponse ou l'un de ses membres.

10.3.3 La notification aux Personnes Concernées doit être effectuée par lettre électronique ou, où c'est impossible d'utiliser l'e-mail, par d'autres moyens de communication disponibles.

10.3.4 Exemptions. Nous n'avons pas à envoyer la notification aux Personnes Concernées si l'une des conditions suivantes est remplie :

• BetterPic a mis en œuvre des mesures appropriées et techniques et organisationnelles de protection, et ces mesures ont été appliquées aux Données Personnelles affectées par la Violation de Données, en particulier, celles qui laissent les Données Personnelles inaccessibles à toute personne qui n'est pas autorisée à les accéder, telles que l'encryption ;
• BetterPic a pris des mesures subséquentes qui garantissent que le haut risque pour les droits et libertés des Personnes Concernées mentionnés dans cette section n'est plus susceptible de se matérialiser ; ou
• cela impliquerait un effort disproportionné pour communiquer avec chaque personne concernée. Dans ce cas, il devrait plutôt y avoir une communication publique ou une mesure similaire où les Personnes Concernées sont informées de manière équivalente.

Si nous appliquons l'une des exemptions, nous devons documenter les circonstances, la raison de ne pas informer, et les actions prises pour répondre à l'une des exemptions.

10.4 Communication avec les Tierces Parties.

10.4.1 Dans le cas où une Violation de Données concernait les Données Personnelles partagées avec nous ou traitées par nous pour le compte d'une Tierce Partie, nous devons également notifier la Tierce Partie à ce sujet dans les 24 heures. Si nous traitons les Données Personnelles en tant que sous-traitant, la notification de la Tierce Partie ne nous exemptait pas de la responsabilité de mitiger les conséquences de la Violation de Données, mais nous devions ne pas informer l'autorité de contrôle compétente et les Personnes Concernées.

10.4.2 Dans le cas de recevoir la notification sur la Violation de Données de la part du sous-traitant ou d'autres Tierces Parties qui ont accès aux Données Personnelles, le PDG de BetterPic doit, en conformité avec cette Section :

• former l'Équipe de Réponse ;
• demander au sous-traitant de nous envoyer les informations mentionnées dans les sous-paragraphes 10.2-3 de cette Politique ;
• le cas échéant, informer l'autorité de contrôle compétente(-ies) et les Personnes Concernées ; et
• effectuer les autres étapes de la procédure de réponse aux Violations de Données.