The Manitowoc Company, Inc.

Transcription

1 The Manitowoc Company, Inc. POLITIQUE RELATIVE A LA PROTECTION DES DONNEES 11FitzPatrick & Associates 4/5/04 1 Document confidentiel Version 4.0

2 SOMMAIRE PARTIE 1 - Politique PARTIE 2 - Traitement des données à caractère personnel PARTIE 3 - Questions relatives à l organisation PARTIE 4 - Procédures et politiques spécifiques relatives à la protection des données 11FitzPatrick & Associates 4/5/04 1 Document confidentiel Version 4.0

3 PARTIE 1 Politique 22FitzPatrick & Associates 4/5/04 2 Document confidentiel Version 4.0

4 PARTIE 1 Politique Introduction La présente politique traite des rôles et responsabilités de chaque société ou emplacement au sein de The Manitowoc Company, Inc. («Manitowoc») et de son personnel concernant le traitement des données à caractère personnel. Manitowoc se conforme à toutes les lois relatives à la protection des données en vigueur dans les pays dans lesquels nous exerçons notre activité et dont nos employés sont des citoyens. Lorsque des données à caractère personnel relatives à des employés non américains sont détenues, stockées, conservées, traitées, partagées ou consultées aux Etats-Unis, Manitowoc traitera les données à caractère personnel conformément aux lois en vigueur. Les données à caractère personnel des citoyens des Etats-Unis ne font pas l objet de lois impératives fédérales ou d état relatives à la protection des données égales aux lois d un pays donné en dehors des Etats-Unis ou à la Directive relative à la protection des données à caractère personnel de l Union européenne. Toutefois, les données à caractère personnel des citoyens des Etats-Unis seront tenues strictement confidentielles et seront protégées au titre des directives de la présente politique et des normes internes de Manitowoc. Pour les besoins de la présente politique, les termes "respect du caractère confidentiel des données" et "protection des données" sont utilisés de manière interchangeable. Politique relative aux données à caractère personnel Manitowoc s engage à s assurer que les données à caractère personnel des employés sont traitées conformément à la législation mondiale relative à la protection des données dans les pays dans lesquels nous exerçons notre activité et dont nos employés sont citoyens. Il est également important de reconnaître que Manitowoc est liée par la législation spécifique adoptée dans chaque pays, de même que par les obligations de la Directive UE relative à la protection des données à caractère personnel pour tous les emplacements dans les pays membres de l Union européenne (UE). Dans la plupart des cas, les Lois relatives à la protection des données d un pays membre incorporent les obligations de la Directive. Toutefois, si des lois d un pays donné n incluent pas une obligation figurant dans la Directive, la Directive prévaudra. En cas de différence entre les lois d un pays donné et la Directive, la loi la plus stricte des deux sera suivie. Manitowoc a mis en place des systèmes de travail et des procédures visant à garantir que tous les services de son organisation se conforment aux lois relatives à la protection des données et à la Directive UE. Manitowoc vise à donner à ses employés des informations, des instructions et une formation suffisantes suivant ce qui est nécessaire pour leur permettre d identifier des données à caractère personnel et de les traiter de manière appropriée. Tous les employés de Manitowoc doivent avoir pleinement connaissance de la présente politique et veiller à se conformer à ces directives. Des personnes compétentes, familières des lois relatives à la protection des données, seront mises à la disposition de tous les employés en tant que de besoin. Tous les employés ont accès aux données à caractère personnel d une manière ou d une autre (par exemple, l accès à l annuaire téléphonique mondial et au système de courrier électronique) et doivent connaître suffisamment les lois relatives à la protection des données et la Directive UE (s il y a lieu) pour s y conformer. La présente politique sera examinée régulièrement et révisée s il y a lieu pour incorporer les changements législatifs, l introduction de nouveaux codes et les «bonnes pratiques». 33FitzPatrick & Associates 4/5/04 3 Document confidentiel Version 4.0

5 PARTIE 2 Traitement des données à caractère personnel 44FitzPatrick & Associates 4/5/04 4 Document confidentiel Version 4.0

6 Qu est-ce qu une donnée à caractère personnel? PARTIE 2 Traitement des données à caractère personnel Une «donnée à caractère personnel» est une information qui peut identifier une personne physique ou est identifiable par elle : à partir des données ; ou à partir de ces données et d autres informations en la possession du contrôleur de données ou susceptibles d entrer en sa possession. Les personnes physiques dont des données à caractère personnel sont conservées sont désignées «personnes concernées». Lorsque Manitowoc collecte, traite, transfère des données ou y accède, elle est désignée «contrôleur de données». Des règles particulières s appliquent au traitement des «données sensibles» qui sont un sous-ensemble des données à caractère personnel. Les données sensibles se rapportent à l origine raciale ou ethnique de la personne concernée, à ses opinions politiques, ses croyances religieuses, son appartenance à un syndicat, sa santé physique ou mentale, sa vie sexuelle ou les infractions pénales qu elle a commises. Les données sensibles ne peuvent être consultées ou transférées hors du pays. Elles ne peuvent être stockées dans le système mondial RH ou un autre système situé hors du pays d origine. Qu est-ce que le traitement? Vous (et Manitowoc) traitez des données à caractère personnel lorsque vous collectez, enregistrez, traitez, détenez ou utilisez des données à caractère personnel. L ensemble de ces activités, manuelles ou électroniques, constituent le traitement des données à caractère personnel : obtenir, organiser, adapter ou extraire des données ; consulter une personne sur le contenu des données ou autrement les utiliser ; divulguer les données par transmission, diffusion ou mise à disposition ; et combiner les données avec d autres données, les effacer ou les détruire. Comment puis-je traiter des données à caractère personnel? Les données à caractère personnel doivent être traitées conformément aux lois relatives à la protection des données et aux huit Principes relatifs à la protection des données. Ces Principes énoncent que les données à caractère personnel doivent: être traitées de manière équitable et licite ; à savoir que les données sont absolument impératives pour la gestion de la relation de travail ; être obtenues pour un objet spécifique et licite et être traitées de manière compatible avec cet objet ; être adéquates, pertinentes et non excessives pour l objet pour lequel elles sont traitées ; être exactes et à jour ; 55FitzPatrick & Associates 4/5/04 5 Document confidentiel Version 4.0

7 ne pas être conservées plus longtemps que nécessaire ; être traitées dans le respect des droits de la personne concernée ; faire l objet de mesures de sécurité appropriées ; et être uniquement transférées hors du pays d origine si le pays vers lequel elles sont transférées dispose d un niveau de protection adéquat et si la personne concernée a remis un accord écrit préalable non équivoque. Le niveau de protection adéquat est défini par les autorités de protection des données de chaque pays et au niveau de l UE. Les lois s appliquent-elles uniquement aux fichiers informatiques? Les lois relatives à la protection des données couvrent le traitement des données automatisées (conservées sur ordinateur) et des données manuelles (détenues sur papier) lorsque ces données sont conservées dans un «système de fichiers pertinent» (cf. la procédure sur les Registres manuels Partie 4). Un système de fichiers pertinent est un ensemble de données concernant des personnes physiques qui est structuré : par référence à la personne physique (le nom ou le code de cette personne physique) ; ou par référence à des critères relatifs aux personnes physiques (par exemple, l âge, le type de poste, les congés) ; de sorte que les informations spécifiques concernant une personne physique sont facilement accessibles. Cette définition est assez large et il est difficile de concevoir un système de fichiers utile contenant des informations relatives à des personnes physiques qui ne serait pas couvert par les lois relatives à la protection des données. 66FitzPatrick & Associates 4/5/04 6 Document confidentiel Version 4.0

8 PARTIE 3 Questions relatives à l organisation 77FitzPatrick & Associates 4/5/04 7 Document confidentiel Version 4.0

9 PARTIE 3 Questions relatives à l organisation Manitowoc a l obligation de traiter les données à caractère personnel conformément aux lois relatives à la protection des données. En conséquence, chaque employé qui traite des données à caractère personnel doit se familiariser avec les obligations d organisation concernant la protection des données. Responsabilité de la direction La direction est responsable de ce qui suit : expliquer aux employés et aux membres de l équipe de direction l importance de la protection des données et du respect de toutes les lois relatives à la protection des données en vigueur ; offrir aux employés et aux dirigeants une formation, des informations, instructions et un contrôle adéquats pour veiller à ce que les données à caractère personnel soient traitées conformément aux lois relatives à la protection des données en vigueur. Considérant qu il est irréaliste de s attendre à ce que tous les employés soient des experts des lois des pays concernés, une documentation et des ressources seront mises à disposition ; assumer la responsabilité globale du respect des lois relatives à la protection des données ; choisir une personne qui sera responsable de veiller au respect des lois relatives à la protection des données ; veiller à la mise en place de contrats adaptés avec les tiers chargés de traiter des données à caractère personnel pour le compte de Manitowoc («sous-traitant») (y compris pour les cas où le responsable du traitement serait une autre société du groupe Manitowoc) ; et tenir un registre sur la façon dont les données à caractère personnel sont tenues et traitées et informer le Commissaire de protection des données de chaque pays concerné et au niveau de l UE conformément aux lois relatives à la protection des données. Responsabilité de l employé Les employés doivent : avoir connaissance des questions relatives à la protection des données ; tenir compte des droits des personnes concernées qui peuvent être affectées par leurs actes ; traiter les données à caractère personnel conformément à la présente politique et aux autres instructions qui leur sont à tout moment données ; et signaler toutes demandes d accès d une personne concernée ou autres questions concernant la protection des données à l organe compétent, tel qu un responsable interne de protection des données, un déontologue ou une personne désignée. 88FitzPatrick & Associates 4/5/04 8 Document confidentiel Version 4.0

10 PARTIE 4 Procédure et politiques spécifiques relatives à la protection des données 99FitzPatrick & Associates 4/5/04 9 Document confidentiel Version 4.0

11 PARTIE 4 Procédures et politiques spécifiques relatives à la protection des données 1. Traitement des données à caractère personnel 2. Information, instruction et contrôle 3. Compétence pour les tâches et la formation 4. Contrôle de l utilisation des données à caractère personnel 5. Traitement et stockage des données à caractère personnel et sécurité des données 6. Traitement des demandes d accès de la personne concernée 7. Registres manuels 8. Données sensibles à caractère personnel 9. Données relatives aux employés 10. Données à caractère personnel autres que les données relatives aux employés 11. Suppression des données 12. Utilisation de la TCF 1010FitzPatrick & Associates 4/5/04 10 Document confidentiel Version 4.0

12 1. Traitement des données à caractère personnel 1.1 Toutes les données à caractère personnel doivent être traitées conformément aux lois relatives à la protection des données et à la présente politique. 1.2 Une donnée à caractère personnel est une information qui est identifiable à une personne physique ou permet d identifier une personne physique. Les données relatives aux employés en font partie. N en font pas partie les données relatives à une société ou une organisation ; toutefois les données relatives à des personnes physiques au sein de sociétés ou d organisations en font partie. 1.3 Des exemples de données à caractère personnel sont les informations relatives aux employés, tels que les registres relatifs aux employés (cf. la section sur les Données relatives aux employés), les noms et adresses et autres informations relatives à des personnes physiques, y compris les informations relatives aux fournisseurs, à un tiers et des informations enregistrées (conformément aux lois locales), y compris des conversations téléphoniques enregistrées ou des images de TCF. 1.4 Les employés doivent supposer que quoi qu ils fassent avec des données à caractère personnel, ce sera considéré comme un traitement conformément aux lois relatives à la protection des données et ils doivent en conséquence uniquement traiter des données à caractère personnel : s ils ont un accord écrit exprès à cet égard ; ou s il est nécessaire d exécuter une obligation contractuelle (qu un employé a acceptée par écrit). Veuillez vous reporter à la Partie 2 pour obtenir une explication plus détaillée du traitement des données au titre des lois relatives à la protection des données. 1.5 Si le paragraphe 1.4 n est pas satisfait, les employés doivent contacter le Responsable de protection des données avant de traiter des données à caractère personnel. 2. Information, instruction et contrôle 2.1 Un exemplaire de la Politique relative à la protection des données de Manitowoc doit être conservé dans chaque emplacement Manitowoc dans le monde entier. 2.2 Un conseil relatif à la protection des données peut être obtenu auprès du Responsable de protection des données qui pourra obtenir des conseils par des conseillers extérieurs si nécessaire. 2.3 Tout le nouveau personnel, particulièrement celui ayant accès aux registres relatifs aux employés ou autres registres du personnel, doit être formé quant à la politique de Manitowoc et aux lois relatives à la protection des données dès que possible après son embauche. A la fin de la formation, il sera demandé à tous les employés de signer le document relatif au respect des données associé à la formation. Le niveau de formation de chaque membre individuel ou employé dépendra du niveau d accès et de responsabilité pour le traitement des données à caractère personnel. Veuillez également vous reporter à la section 3 sur la «Compétence pour les tâches et la formation». FitzPatrick & Associates Vs

13 3. Compétence pour les tâches et la formation 3.1 Manitowoc reconnaît que les membres du personnel sont essentiels à l exploitation efficace de la société. La continuité du succès de Manitowoc dépend de la qualité de ses employés. En conséquence, Manitowoc encourage la formation et le développement de ses employés de sorte que toutes les personnes concernées puissent s attendre à ce que leurs données à caractère personnel seront traitées conformément aux lois relatives à la protection des données. 3.2 Tout d abord, les employés recevront une orientation «sur place» au sein de Manitowoc. L orientation couvrira la protection des données, si le poste l impose. 3.3 Tous les nouveaux employés identifiés comme requérant une formation particulière concernant les questions de protection des données exécuteront une période d essai sous le contrôle d un employé expérimenté jusqu à ce qu ils atteignent les normes et l efficacité requises d un employé de Manitowoc. Une formation additionnelle relative aux questions de protection des données peut être apportée s il y a lieu. 4. Contrôle de l utilisation des données à caractère personnel 4.1 Manitowoc s engage à veiller à ce que la présente Politique relative à la protection des données soit mise en place et que les pratiques de travail appropriées soient suivies. A cette fin, les mesures suivantes seront prises : tous les employés qui traitent des données à caractère personnel doivent avoir connaissance de toutes les questions de protection des données et doivent s efforcer d améliorer continuellement le traitement des données à caractère personnel ; les employés qui manient des données à caractère personnel de manière régulière ou qui traitent des données à caractère personnel sensibles ou confidentielles seront contrôlés plus étroitement ; tous les employés doivent s assurer que les données à caractère personnel qu ils détiennent sont traitées conformément à la présente politique. Les employés doivent s assurer que les données inexactes, excessives ou qui ne sont pas à jour sont supprimées conformément à la présente politique Les audits légalement requis peuvent être réalisés par des représentants autorisés de Manitowoc et/ou des autorités de protection des données ; et Le Responsable de la protection des données de chaque pays, si la loi le prescrit, doit soumettre à la direction de la société un rapport, entre autre, sur le niveau de conformité ou d écart par rapport aux bonnes pratiques en matière de protection des données. Le Vice-président des Ressources humaines et le personnel de l administration détermineront, le cas échéant, les mesures nécessaires afin d améliorer la performance de la protection des données. 4.2 Le Responsable de la protection des données de chaque pays, si la loi le prescrit, sera responsable d enregistrer toutes plaintes concernant le traitement des données à caractère personnel et de nommer un expert extérieur pour enquêter sur ces dernières afin de déterminer les améliorations qui peuvent être apportées pour éviter la récurrence des violations de la politique. Le résultat de ces enquêtes sera transmis au Responsable de la protection des données qui sera tenu de faire mettre en œuvre ces améliorations. FitzPatrick & Associates Vs

14 Le registre doit contenir les informations suivantes : le nom de la personne physique formulant la plainte ; la date de la plainte ; la nature de la plainte ; et la mesure prise en conséquence de la plainte, le cas échéant. 5. Traitement et stockage des données à caractère personnel et sécurité des données 5.1 Manitowoc doit prendre des mesures techniques et d organisation pour empêcher tout traitement non autorisé ou illicite des données à caractère personnel. Les registres manuels doivent être conservés en toute sûreté dans des classeurs ou salles fermant à clef. L accès à ces registres doit être contrôlé. Si un registre manuel est utilisé constamment, des mesures de sécurité appropriées doivent être prises : par exemple mettre les registres en sûreté lorsque l on quitte son bureau, pendant les déjeuners et après les heures de bureau. Les fichiers informatiques doivent être protégés par un mot de passe au moins au moment de l entrée dans le système et la sortie du système doit avoir lieu chaque fois que l on quitte le bureau où l ordinateur est situé. Les télécopieurs qui envoient et reçoivent des données à caractère personnel doivent être situés dans des zones sûres où l accès est réservé aux personnes ayant un besoin de savoir professionnel légitime et auxquelles le droit d accès aux données à caractère personnel a été accordé en fonction de leurs responsabilités. 5.2 Les mesures qui précèdent doivent protéger les données à caractère personnel contre toute perte accidentelle, destruction ou tout dommage. Les mesures prises doivent correspondre au préjudice qui serait causé par une perte accidentelle, une destruction ou un dommage. En conséquence, un soin particulier doit être apporté aux registres contenant des données sensibles, tels que les registres relatifs aux employés. 5.3 Les données à caractère personnel doivent être stockées de manière à ce qu elles puissent être traitées conformément aux lois relatives à la protection des données. Les fichiers doivent indiquer les informations qu ils contiennent et être facilement accessibles (sous réserve des mesures de sécurité appropriées) afin que les demandes d accès de la personne concernée soient traitées conformément à la présente politique (cf. la section 6 concernant le traitement des demandes d accès de la personne concernée). 5.4 Manitowoc doit veiller à ce que la personne qui traite les données à caractère personnel soit formée et contrôlée de manière adéquate. 5.5 Manitowoc doit veiller à ce que les mots de passe et les mesures de sécurité physique soient en place afin d empêcher toute divulgation non autorisée. 5.6 Un soin particulier doit être apporté aux données sensibles dans le pays d origine et les mesures de sécurité doivent refléter l importance de conserver ces données sensibles en toute sécurité (cf. section 8 "Données sensibles") Les données sensibles ne doivent en aucune circonstance être accessibles sous quelque format que ce soit par une personne physique hors du pays d origine ou par une personne non autorisée à accéder aux données. FitzPatrick & Associates Vs

15 5.7 Toutes les politiques et procédures de sécurité doivent être régulièrement contrôlées et révisées pour s assurer que les données sont conservées en toute sécurité. Si les politiques et procédures s avèrent inadéquates, des mesure promptes et appropriées doivent être prises pour corriger ces imperfections, notamment en révisant les dispositifs de sécurité et en faisant des propositions pour corriger ces imperfections. 5.8 Lorsque des données à caractère personnel doivent être supprimées ou détruites, des mesures adéquates doivent être prises pour que ces données soient supprimées de manière appropriée et en toute sécurité. Ceci inclut la destruction des fichiers et fichiers de sauvegarde et la destruction physique des fichiers manuels. Un soin particulier doit être apporté à la destruction de données sensibles manuelles (registres écrits), ce qui peut inclure leur déchiquetage ou leur remise à des entrepreneurs spécialisés. FitzPatrick & Associates Vs

16 6. Traitement des demandes d accès de la personne concernée 6.1 Une demande d accès d une personne concernée est une demande écrite d une personne concernée qui indique qu elle souhaite connaître les informations la concernant qui sont conservées. 6.2 Le personnel doit être formé à reconnaître une demande d accès d une personne concernée. Les demandes d accès d une personne concernée sont transmises pour traitement au Responsable de la protection des données. 6.3 Les demandes d accès d une personne concernée doivent être traitées sans délai et dans les délais définis par les lois relatives à la protection des données locales et/ou la Directive UE. Des exceptions existent, notamment lorsque la personne physique responsable de fournir les informations au demandeur est absente du bureau pendant un certain moment. Si toutes les mesures raisonnables ont été prises et que les délais ne peuvent être satisfaits, le demandeur et la personne responsable du traitement de la demande doivent convenir d une date alternative pour satisfaire la demande. 6.4 De manière générale, Manitowoc ne facturera aucun frais pour le traitement d une demande d accès d une personne concernée. Toutefois, des frais, ne dépassant pas 10 (TVA incluse) sont autorisés au Royaume-Uni. 6.5 Manitowoc établira une lettre de réponse standard pour traiter les diverses demandes d accès. 6.6 A réception d une demande écrite d accès d une personne concernée, sous réserve que la personne concernée ait payé les frais, le cas échéant, la personne physique doit : être informée si Manitowoc ou un tiers traite les données à caractère personnel de cette personne ; recevoir une description : (a) des données à caractère personnel ; (b) des objets pour lesquels elles sont traitées ; (c) des personnes et organisations auxquelles les données à caractère personnel peuvent être divulguées ; et (d) recevoir une copie des informations sous forme lisible. 6.7 Toutes les données à caractère personnel concernant une personne physique doivent être examinées pour confirmer qu il s agit de données détenues dans un système de fichiers pertinent. La personne traitant les données, l autorité de protection des données compétente ou le représentant d un comité d entreprise nommé par l intégralité du comité d entreprise peut procéder à cet examen. Il ne sera fait appel à un représentant d un comité d entreprise que pour les cas de violation dénoncés par un employé ou en cas de signalement au comité d entreprise d un potentiel détournement des données si des preuves existent. 6.8 Les demandes d accès internes d une personne concernée (soit les demandes d accès d un employé de Manitowoc concerné) seront considérées comme d importance égale aux demandes d accès externes d une personne concernée. FitzPatrick & Associates Vs

17 6.9 Si Manitowoc reçoit une demande d accès d une personne concernée se rapportant à une autre personne physique, Manitowoc s efforcera raisonnablement, y compris par contact téléphonique et lettre à tout contact connu de l autre personne physique, de contacter cette personne en vue d obtenir son accord écrit. Aucune information ne sera diffusée sans l accord exprès de la personne concernée. Manitowoc ne divulguera aucune donnée à caractère personnel à une autre personne (qui n a pas été antérieurement autorisée à obtenir cette information) sans l accord exprès de la personne concernée. Ceci est particulièrement important lorsque la personne physique demandant l information est un tiers, tel qu un établissement financier, un prêteur hypothécaire et la vérification du travail au-delà de la confirmation des heures travaillées, etc Lors de la réponse aux demandes d accès d une personne concernée, le Responsable de la protection des données devra veiller à ce que les informations relatives à une personne physique, autre que la personne concernée faisant la demande, ne soient pas divulguées sauf : si l autre personne physique a accepté cette divulgation, auquel cas une preuve écrite de cet accord doit être obtenue et conservée ; s il est raisonnable dans les circonstances données de faire suite à la demande sans accord. Ce peut être le cas uniquement lorsque les informations sont déjà disponibles au public ou si elle sont liées à une activité criminelle possible ou pour garantir la sécurité du pays ; ou si la demande d informations émane d un tribunal dans le cadre d une affaire juridique ou pénale potentielle ou d un bureau gouvernemental en qualité officielle relativement à une obligation légale Pour estimer ce qui est raisonnable, le Responsable de la protection des données doit tenir compte : de toute obligation de confidentialité due à l autre personne physique ; des mesures prises pour obtenir l accord ; si la personne physique concernée peut donner son accord ; et du refus exprès de cette personne physique de donner son accord (dans ce cas, les données à caractère personnel ne peuvent pas être mises à disposition, sauf prescription de la loi) Si des copies des informations sont demandées, il convient de tenir compte des efforts qui seraient requis pour copier les informations. Si les efforts sont disproportionnés en raison de la taille ou de l ampleur des données, Manitowoc peut informer la personne concernée que des copies ne seront pas fournies, mais que les informations seront transmises par d autres moyens tel que par téléphone ou en invitant la personne concernée à venir dans les locaux de Manitowoc pour consulter les dossiers Toutes les demandes d une personne concernée sont enregistrées. Le registre contient les détails suivants : le nom de la personne faisant la demande ; la date de la demande ; FitzPatrick & Associates Vs

18 le moyen par lequel la demande a été faite (par exemple, courrier électronique, lettre) ; et la nature de la demande (soit une demande concernant toutes les informations ou une demande relative à une information spécifique) Si Manitowoc a antérieurement répondu à une demande d accès d une personne concernée, Manitowoc n est pas tenue de répondre à une demande similaire ultérieure de cette personne avant l expiration d une durée de 3 6 mois (en fonction de la loi locale). Cette période peut varier en fonction des circonstances de la demande. Toute modification de cette période doit être soumise à l approbation du Responsable de la protection des données Toutes les données à caractère personnel doivent être stockées de manière à permettre au Responsable de la protection des données de remettre sans délai les détails de ces données à caractère personnel à une personne concernée et, en tout état de cause, dans le délai prévu par les lois relatives à la protection des données (cf. section 5 "Traitement et stockage des données à caractère personnel et la sécurité des données"). FitzPatrick & Associates Vs

19 7. Registres manuels 7.1 Une donnée manuelle désigne une donnée à caractère personnel sous forme écrite enregistrée dans un système de fichiers pertinent ou avec l intention qu elle en fasse partie. 7.2 Un système de fichiers pertinent est un ensemble d informations relatives à des personnes physiques qui est structuré par référence aux personnes physiques ou par référence à des critères relatifs aux personnes physiques de sorte que des informations spécifiques relatives à une personne physique donnée soient facilement accessibles ; par exemple, les registres relatifs aux employés et les registres relatifs aux clients. 7.3 Tous les registres écrits contenant des données à caractère personnel sont périodiquement examinés et une liste de tous les registres de données à caractère personnel est établie. 7.4 Les registres manuels contenant des données à caractère personnel doivent être examinés pour s assurer que les données qui y sont contenues sont exactes, non excessives, à jour et adéquates pour leur objet. Tous les dossiers doivent être examinés au moins une fois tous les deux ans. FitzPatrick & Associates Vs

20 8. Données sensibles 8.1 Les données sensibles à caractère personnel sont toutes les informations relatives à une personne physique concernant : l origine raciale ou ethnique de la personne concernée ; ses opinions politiques ; ses croyances religieuses ; son appartenance à un syndicat ; sa santé ou son état physique ou mental ; ses préférences sexuelles ; la commission ou commission alléguée par elle d une infraction ; et toute procédure pour infraction commise ou prétendument commise par elle. Habituellement, la pratique de Manitowoc veut que ces informations ne soient pas collectées, sauf prescription de la loi locale. 8.2 Un soin particulier doit être apporté aux données sensibles à caractère personnel et le personnel qui a accès à ces données sensibles doit veiller à les traiter de manière appropriée et conformément aux lois relatives à la protection de données. Les employés doivent s assurer qu ils ont l accord exprès d une personne physique avant de traiter des données sensibles la concernant. Toutes les données sensibles à caractère personnel doivent être stockées avec des mesures de sécurité adéquates en vue d empêcher toute divulgation non autorisée. Ces mesures sont au minimum des classeurs fermant à clef et une protection par mot de passe des données automatisées. Les données sensibles à caractère personnel ne peuvent être stockées dans un système mondial ou rendues accessibles hors du pays d origine. Si un ressortissant étranger d un pays est embauché dans un autre pays, l accès aux données sensibles à caractère personnel n est pas autorisé sauf si la personne concernée a donné son accord écrit exprès ou si les données sensibles sont nécessaires au titre de la loi en vue de protéger les intérêts du pays. 8.3 Toutes les demandes d accès aux données sensibles à caractère personnel émanant d organes, d agences ou de personnes extérieures seront traitées par le Responsable de la protection des données. Toutes ces demandes seront enregistrées par ces personnes dans un système approprié. Le registre doit indiquer la personne qui a fait la demande, la date de la demande, la nature de la demande et la personne à laquelle elle se rapporte. FitzPatrick & Associates Vs

21 9. Données relatives aux employés 9.1 Toutes les données relatives aux employés sont potentiellement des données à caractère personnel couvertes par les lois relatives à la protection des données. 9.2 Tous les registres relatifs aux employés, y compris les formulaires de candidature, les notes d entretien, les notes de maladie, les informations de congés annuels, les notes de promotion et d évaluation, les registres de formation, les notes et rapports disciplinaires et de licenciement, les références (confidentiels ou non ou autres et données ou reçues) et les notes générales du fichier du personnel doivent être traités conformément aux lois relatives à la protection des données. 9.3 Toutes les annonces de recrutement doivent contenir des informations permettant aux candidats d identifier Manitowoc. 9.4 Les notes d entretien concernant toutes les candidatures doivent être écrites en sachant que ces notes équivalent à des données à caractère personnel au titre des lois relatives à la protection des données. Toutes les notes d entretien doivent en conséquence constituer une représentation équitable et exacte de l entretien. Les opinions exprimées doivent être incluses de manière à ce qu il apparaisse qu elles peuvent être divulguées à une date ultérieure. 9.5 Si un candidat passe un entretien mais si Manitowoc souhaiter proposer à cette personne un poste différent de celui pour lequel elle postule, il convient de s assurer que la personne physique a accepté que ses données à caractère personnel soient utilisées à cette fin. 9.6 Si une personne physique présente sa candidature à Manitowoc, les informations relatives au candidat peuvent être partagées avec d autres sociétés du groupe Manitowoc conformément à l accord spécial avisé du candidat. Cet accord peut être obtenu au moment de la candidature et/ou au moment où le CV est présenté et peut être facilement obtenu si le recrutement a lieu en ligne. 9.7 Toute décision de sélection ou de refus des candidats à une date donnée, si cette décision est prise par écrit, doit être prise de manière équitable et licite. 9.8 Le membre du personnel nouvellement embauché doit être informé des informations le concernant qui seront conservées, de la source auprès de laquelle elles sont obtenues, de la façon dont elles seront utilisées et si elles seront divulguées à quelqu un. 9.9 Si des données sensibles à caractère personnel doivent être utilisées dans le pays d origine, l employé doit en être informé et donner son accord exprès préalable à cette utilisation Les registres du personnel et toutes les informations écrites concernant un employé doivent être établis d une manière qui envisage la possibilité de leur divulgation en tant que donnée à caractère personnel au titre des lois relatives à la protection des données. Tous les registres doivent en conséquence être clairs et équitables, et si des opinions sont exprimées, elles doivent y figurer comme telles Toutes les mesures disciplinaires, commentaires et rapports (y compris les rapports relatifs au licenciement d une personne) doivent être écrits de manière équitable et exacte Les registres relatifs aux employés doivent être examinés régulièrement pour s assurer qu ils sont exacts, non excessifs, à jour et adéquats pour leur objet. Un employé doit être en mesure de demander une copie de sa fiche de base en vue d identifier toute inexactitude. FitzPatrick & Associates Vs

22 9.13 Si des registres relatifs aux employés sont tenus en vue d une analyse professionnelle, les données à caractère personnel doivent être limitées à ce qui est nécessaire à l objet pour lequel les registres sont tenus. Chaque fois possible, ces données doivent être anonymes. Conservation des registres 9.14 Les registres de maladie sont susceptibles de contenir des données sensibles et des données à caractère personnel et ces registres doivent uniquement être tenus si l accord exprès de chaque employé a été obtenu ou si l une des autres conditions pour le traitement des données sensibles est satisfaite. Les registres de maladie seront, si nécessaire, tenus localement et ne seront pas partagés ou transférés hors du pays d origine sans l accord exprès de l employé Des normes de sécurité appropriées doivent s appliquer en vue d empêcher un accès non autorisé ou une perte ou destruction accidentelle des registres des employés. Ces normes peuvent inclure l établissement de contrôles d accès et de mots de passe aux registres des employés en attachant une attention particulière à l utilisation des courriers électroniques. Toutefois, le contrôle de l utilisation du courrier électronique est soumis aux lois relatives à la protection des données et aux lois relatives au balayage et repérage Internet (non applicables aux citoyens des Etats-Unis) Les règles suivantes sont définies par l Union européenne et doivent être suivies, sauf si les lois d un pays donné ont des règles différentes : Formulaire de candidature Durée du contrat de travail Références reçues 1 an Informations salariales et fiscales 6 ans Registres de maladies 3 ans Registres de congés annuels 2 ans Registres de congés non payés / spéciaux 3 ans Registres d évaluation annuelle 5 ans Registres relatifs à la promotion, au transfert, à la formation, aux questions disciplinaires Références données / information permettant la remise de références Résumé de l ancienneté ; par exemple le nom, le poste occupé, les dates d embauche Registres relatifs à un accident ou un préjudice corporel 1 an à compter de la fin du contrat de travail 5 ans à compter de la référence / fin du contrat de travail 7 ans à compter de la fin du contrat de travail 10 ans FitzPatrick & Associates Vs

23 9.17 Les délais de conservation susvisés peuvent être modifiés en fonction de l usage prévu des informations par Manitowoc et de l acceptation par la personne concernée des délais de conservation prorogés. Manitowoc doit tenir compte des besoins spécifiques qu elle peut avoir lorsqu elle conserve des registres pour un employé ou groupe d employés particulier. Si les dispositions légales prescrivent la tenue de registres pendant une durée fixe, Manitowoc et tenue de se conformer à ces obligations Manitowoc ne doit pas conserver les registres plus longtemps que les délais de conservation standards, sauf s il existe un motif légal justifiable pour ce faire ou sauf si l employé a donné son autorisation à Manitowoc à cet égard. Veuillez également vous référer à la section 11 "Suppression des données" Les registres qui ne sont plus nécessaires doivent être supprimés de manière appropriée et sûre. Les registres papier doivent être supprimés de manière sûre et les fichiers informatiques doivent être supprimés de sorte que le système informatique ne conserve aucune copie et qu un système ou fichier de sauvegarde ne conserve aucune copie. Veuillez également vous reporter à la section 5 "Traitement et stockage des données à caractère personnel et sécurité des données" Manitowoc sait que les obligations en matière de protection des données envers des anciens employés sont égales à celles envers des employés actuels. Toutes les demandes de références ou autres informations relatives à d anciens employés doivent être traitées conformément à la présente politique. Si un employé quitte Manitowoc, Manitowoc expliquera la façon dont elle traite les demandes et obtiendra l accord de cet employé quant aux divulgations auxquelles Manitowoc a l intention de procéder. FitzPatrick & Associates Vs

24 10. Données à caractère personnel autres que les données relatives aux employés 10.1 Toutes les données à caractère personnel détenues par Manitowoc sont potentiellement des données à caractère personnel couvertes par les lois relatives à la protection des données. Le fait que Manitowoc exige que les informations spécifiques à caractère personnel doivent satisfaire les obligations légales ne signifie pas que la société peut ignorer les lois relatives à la protection des données Tous les registres de Manitowoc contenant des données à caractère personnel, les renseignements concernant des personnes physiques qui sont des fournisseurs et les notes de dossier se référant à des personnes physiques (qu il s agisse d employés de Manitowoc, de clients, de membres du public ou autres) doivent être traités conformément aux lois relatives à la protection des données chaque fois qu ils sont stockés dans un système de fichiers pertinent (manuel et/ou électronique) Manitowoc ne doit pas conserver de données à caractère personnel autres que les données relatives aux employés plus longtemps que les délais de conservation standards, sauf s il existe un motif légal justifiable pour ce faire. Veuillez également vous référer à la procédure "Suppression des données" (Section 11). FitzPatrick & Associates Vs

25 11. Suppression des données 11.1 Toutes les données à caractère personnel détenues par Manitowoc ne doivent être conservées qu aussi longtemps que cela est nécessaire pour leur traitement approprié. Veuillez vous reporter aux procédures sur les "Données relatives aux employés" (Section 9) et les "Données à caractère personnel autres que les données relatives aux employés" (Section 10) Toutes les données à caractère personnel doivent être examinées périodiquement et évaluées pour s assurer que les données inexactes, excessives et qui ne sont pas à jour sont détruites. La destruction et la suppression des données doivent être réalisées conformément aux procédures relatives au "Traitement et stockage des données à caractère personnel et sécurité des données" Chaque année, chaque [service] doit envoyer au Responsable de la protection des données une note d audit des données à caractère personnel. Cette note doit confirmer que toutes les données à caractère personnel détenues par le [service] ont été évaluées conformément à la présente politique relative à la protection des données et que les données à caractère personnel inexactes, excessives ou qui ne sont pas à jour ont été dûment supprimées. FitzPatrick & Associates Vs

26 12. Utilisation de la TCF 12.1 Les systèmes de télévision en circuit fermé (TCF) traitent les données à caractère personnel. Manitowoc doit veiller à ce que toutes les données à caractère personnel enregistrées par ces systèmes soient traitées conformément à la présente politique. Tous les employés (à l exclusion des citoyens des Etats-Unis) doivent être informés de l utilisation de la TCF Un registre relatif à tous les systèmes de TCF exploités par Manitowoc doit être tenu. Ce registre doit contenir les informations suivantes : le type et l emplacement des caméras ; l objet du système de TCF, y compris une évaluation du procédé et les motifs d installation du système ; et la confirmation que le système de TCF a été notifié au Commissaire à l information, comme prescrit par la loi locale L équipement de TCF doit être situé de manière à n enregistrer que les informations qui sont nécessaires à son objet. Il convient de veiller à ce qu aucune image des zones domestiques ne soit prise et, si des images sont prises, Manitowoc les limitera autant que possible Toutes les zones couvertes par la TCF doivent comporter des panneaux indiquant que les personnes pénètrent dans une zone TCF. Ces panneaux doivent être visibles et lisibles Les panneaux doivent indiquer : le nom de Manitowoc ; l objet du système (cf. ci-dessous) ; et les informations de contact. Par exemple, un panneau pourra indiquer «Les images sont contrôlées à des fins de sécurité, de prévention des délits et de sécurité du public. Veuillez contacter [Manitowoc] à ou au [numéro de téléphone] pour obtenir de plus amples informations» Les images de la TCF ne doivent pas être conservées plus longtemps que nécessaire. Les images filmées dans un dépôt doivent uniquement être conservées pendant la durée de validité d un contrat ou s il est clair qu aucun délit n a été commis L utilisation de la TCF en Allemagne est soumise aux restrictions de la Loi sur la gestion du travail et aux lois de co-détermination. FitzPatrick & Associates Vs