Lantek

Informations sur le traitement des données à caractère personnel

À LANTEK SHEET METAL SOLUTIONS, S.L., nous nous soucions des données à caractère personnel que nous traitons et de l'exécution exacte de la réglementation en vigueur en ce qui concerne la protection des données à caractère personnel, parmi d'autres, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques par rapport au traitement des données personnelles et la libre circulation de ces données, abrogeant la Directive 95/46/CE (dorénavant, RGPD).

Nonobstant, il faut prendre en considération que le Considérant 14 du RGPD établit que « la protection conférée par le présent Règlement doit s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, concernant le traitement de leurs données personnelles. Le présent Règlement ne régit pas le traitement des données personnelles associées aux personnes morales et particulièrement aux entreprises constituées en tant que personnes morales, y compris le nom et la forme de la personne morale et ses données de contact ».

Cela implique que cette réglementation et les obligations et droits qu'elle contemple ne s'appliquent pas aux personnes morales.

Dans tous les cas, Lantek informe des questions suivantes associées au traitement des données à caractère personnel:

Responsable du traitement: LANTEK SHEET METAL SOLUTIONS, S.L., dont les données sont disposées au début du présent document.

Données de contact du délégué à la protection des données: pour contacter le délégué à la protection des données, vous pourrez vous diriger à la même adresse indiquée au début du présent document ou bien envoyer un e-mail à dpo@lantek.es.

Finalité du traitement : gérer la maintenance appropriée, le développement, l'exécution et le contrôle de la présente relation contractuelle et des services qu'elle demande.

Par ailleurs, les données d'identification et de contact seront utilisées pour réaliser des enquêtes de satisfaction et pour envoyer, par voie électronique ou non, des informations techniques, opérationnelles et/ou commerciales tant sur les produits et services de Lantek que sur celles d'autres entreprises du Groupe Lantek.

Légitimation du traitement: la base légale ou juridique pour le traitement des données personnelles est l'exécution du présent contrat et la prestation des services demandés.

Pour la réalisation des enquêtes de satisfaction et l'envoi des informations commerciales propres ou d'autres entreprises du Groupe Lantek, la base juridique sera la satisfaction des intérêts légitimes poursuivis par Lantek et/ou par des tiers (d'autres entreprises du Groupe Lantek) conformément à l'article 6.1.f) du RGPD. Cela sera sans préjudice de la possibilité de l'intéressé à s'opposer à l'envoi de ces informations commerciales.

Destinataires des données: les données personnelles seront communiquées, le cas échéant, à l'administration fiscale pour l'exécution des obligations légales et fiscales, ainsi qu'à l'entité financière à travers laquelle Lantek gère les perceptions de ses produits et de ses services.

Les données personnelles de l'intéressé pourront être communiquées à d'autres entreprises du groupe commercial Lantek à des fins administratives internes. De même, concernant la légitimation basée sur les intérêts légitimes poursuivis par Lantek et/ou les entreprises du Groupe Lantek, les données des intéressés pourront être communiquées à n'importe laquelle d'entre elles afin de réaliser des envois d'informations commerciales analogues aux produits ou aux services que l'intéressé a souscrits.

Par ailleurs, divers services sont utilisés qui sont proposés (par exemple, pour la réalisation d'enquêtes de satisfaction ou pour l'envoi des informations techniques ou commerciales, parmi d'autres) par des entreprises qui agissent en tant que sous-traitants du traitement et qui sont situées en dehors de l'Espace économique européen, particulièrement aux États-Unis.

Toutefois, dans ces cas, nous engageons uniquement des entreprises qui font partie du Bouclier de protection UE-États-Unis, de telle sorte qu'elles proposent les garanties offertes par ce cadre.

Délai de conservation des données: les délais où Lantek conservera les données de l'intéressé varient en fonction de la réglementation applicable, étant les suivants:

  • 5 ans: délai correspondant à la prescription des obligations fiscales.
  • Le même délai pour l'exercice des actions personnelles qui n'ont pas de délai de prescription spécial.
  • 6 ans: concernant les livres, la correspondance, la documentation et les justificatifs associés à l'entreprise.

Concernant l'envoi des informations commerciales, les données personnelles identificatrices et de contact seront conservées jusqu'à ce que l'intéressé révoque son accord à cet objet.

Droits quant au traitement de ses données: l'intéressé peut solliciter l'accès à ses données personnelles, la rectification, la suppression, la limitation du traitement, l'opposition ou la portabilité de ses données personnelles en envoyant une demande par écrit dirigée à LANTEK SHEET METAL SOLUTIONS, S.L. au Parc technologique d'Álava, calle Ferdinand Zeppelin, nº 2, Edificio Lantek - C.P. 01510 de Miñano (Álava), ou bien en envoyant un e-mail à info@lantek.es, accompagnant dans tous les cas une photocopie de la carte nationale d'identité.

En tout cas, si vous considérez que Lantek n'a pas traité correctement vos données personnelles ou qu'il n'a pas répondu convenablement à l'exercice de vos droits de protection des données, vous pouvez déposer une plainte auprès de l'autorité de contrôle compétente.

Intervention possible de Lantek en tant que sous-traitant du traitement

Il est possible que, pour l'exécution des services déterminés inclus pendant la durée ou la période de garantie contemplée dans le présent contrat, Lantek ait accès aux données personnelles dont le signataire est responsable (responsables du traitement aux effets de cette clause) du présent contrat (à titre d'exemple et, sans restrictions, il pourrait s'agir de données de clients, de fournisseurs, d'employés ou de contacts professionnels).

En conséquence dans ces cas, Lantek agira en tant que sous-traitant du traitement, raison pour laquelle, conformément à ce qui est disposé dans l'article 28.3 du RGPD, ces situations seraient régies par les aspects suivants:

1. Objet du sous-traitant du traitement: au moyen des clauses présentes, Lantek est habilité, sous-traitant du traitement, à traiter au nom du responsable du traitement, les données à caractère personnel nécessaires pour prêter le service faisant objet du présent contrat.

Le traitement consistera, selon la demande réalisée par le responsable du traitement, en la connexion à distance de la part de Lantek aux systèmes afin de gérer la personnalisation, l'incidence technique communiquée ou, le cas échéant, pour personnaliser le programme ou des fonctionnalités déterminées.

Pour cela, la connexion de la part de Lantek sera réalisée au moyen de programmes de connexion à distance, qu'ils soient propres, de tiers ou même du propre responsable du traitement, toujours avec demande préalable et autorisation de leur part. Dans ce cas, Lantek n'intègrera pas les données à ses systèmes ou supports, différents de ceux du responsable du traitement.

Toutefois, il est possible que la solution correcte de la personnalisation ou de l'incidence technique exige une analyse spéciale, ce qui pourrait impliquer que le responsable du traitement facilite à Lantek la base de données affectée à travers l'espace privé du site Web de Lantek, auquel cas celui-ci l'intègrera à ses systèmes, étrangers à ceux du responsable du traitement, et il l'indiquera dans son Registre des activités du traitement et il adoptera les mesures de sécurité correspondantes à ce traitement.

Dans un cas ou un autre, les traitements à réaliser de la part de Lantek avec les données auxquelles il accède, résultat de la prestation du service engagé seront : le registre, la structuration, la consultation, l'analyse et, le cas échéant, la restitution au responsable du traitement avec sa destruction ultérieure.

2. Identification des informations affectées: pour l'exécution des prestations dérivées du respect de l'objet de cette procédure, le responsable du traitement met à la disposition de Lantek, sous-traitant du traitement, les données identificatrices et professionnelles qui sont hébergées dans les sections correspondantes du programme faisant l'objet du présent contrat, faisant référence principalement aux données de ses clients, fournisseurs, employés et contacts professionnels.

3. Durée: la durée de ce type de traitement de données sera contemplée dans le présent contrat ou dans sa période de garantie.

Une fois le présent contrat terminé, on procèdera alors conformément à ce qu'indique le paragraphe « r » de cette clause.

4. Obligations du sous-traitant du traitement : Le sous-traitant du traitement et tout son personnel s'oblige à :

  • Utiliser les données personnelles faisant l'objet de traitement, ou celles recueillies pour leur inclusion, uniquement pour le but dans le cadre de cette commande. En aucun cas, les données ne pourront pas être utilisées pour leurs propres intérêts ni pour les finalités différentes à celles contemplées dans le présent contrat.
  • Traiter les données conformément aux instructions du responsable du traitement.
    Si le sous-traitant du traitement considère que l'une des instructions enfreint le RGPD ou toute autre disposition en matière de protection des données de l'Union ou des États membres, le sous-traitant en informera immédiatement au responsable.
    Dans le cas où il n'existe pas d'instructions claires du responsable concernant comment le sous-traitant doit agir par rapport aux données à caractère personnel auxquelles il a accès, avant de réaliser le traitement des données, il devra contacter le responsable du fichier et éclaircir les instructions indiquées.
  • Tenir un registre par écrit de toutes les catégories d'activités de traitement effectuées pour le compte du responsable, qui contienne :
    • Le nom et les données de contact du sous-traitant ou sous-traitants et de chaque responsable pour le compte de qui le sous-traitant agit et, le cas échéant, le représentant du responsable ou du sous-traitant et du délégué à la protection des données.
    • Les catégories de traitements effectués pour le compte de chaque responsable.
    • Le cas échéant, les transferts des données personnelles à un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou organisation internationale et, dans le cas des transferts indiqués dans l'article 49 paragraphe 1, second alinéa du RGPD, la documentation des garanties appropriées.
    • Une description générale des mesures techniques et organisationnelles de sécurité associées à:
      • La pseudonymisation et le cryptage des données personnelles.
      • La capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement.
      • La capacité de restaurer la disponibilité et l'accès aux données personnelles de façon rapide, dans le cas d'incident physique ou technique.
      • Le processus de vérification, d'évaluation et de mesure régulières de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
        Afin de pouvoir vérifier que le sous-traitant du traitement propose des garanties suffisantes pour appliquer des mesures techniques et organisationnelles appropriées, de sorte que le traitement soit conforme aux exigences du Règlement européen sur la protection des données et qu'il garantisse la protection des droits de l'intéressé, le responsable du traitement pourra solliciter à Lantek un certificat des mesures de sécurité qu'il intègre par rapport au traitement des données de celles dont il est le responsable.
    • Ne pas communiquer les données à des tiers, sauf s'il possède l'autorisation expresse du responsable du traitement, dans les cas légalement admissibles.
      Le sous-traitant peut communiquer les données à d'autres sous-traitants du traitement du même responsable, conformément aux instructions du responsable. Dans ce cas, le responsable identifiera, préalablement et par écrit, l'entité (raison sociale, SIRET et adresse) à qui il faut communiquer les données, les données à communiquer et les mesures de sécurité à appliquer pour procéder à la communication, l'analyse préalable des risques de la communication indiquée et le type de données à caractère personnel faisant l'objet de transmission.
      Si le sous-traitant du traitement doit transférer des données personnelles à un pays tiers ou à une organisation internationale, en vertu du Droit de l'union ou des États membres qui soit applicable, il informera le responsable du traitement de cette exigence légale préalablement, sauf si ledit Droit l'interdise pour des raisons importantes à intérêt public.
      Concernant le transfert international des données, le sous-traitant du traitement devra notifier le responsable du traitement et accréditer par écrit le respect des critères exigés par la réglementation en vigueur par rapport à la protection des données avant de procéder au transfert, s'assurant que l'entité recevant les données accordera la même sécurité et respectera tous les critères exigés par le Règlement européen sur la protection des données.
    • Sous-traitance. Ne pas sous-traiter aucune des prestations faisant partie de l'objet de ce contrat qui comportent le traitement des données personnelles, sauf les services auxiliaires nécessaires pour le fonctionnement normal des services du sous-traitant.
      S'il était nécessaire de sous-traiter un traitement, ce fait devra être communiqué préalablement et par écrit au responsable, quinze jours à l'avance, indiquant les traitements visant à être sous-traités et identifiant de façon claire et sans équivoque l'entreprise sous-traitante et ses données de contact (au moins la raison sociale, le SIRET, l'adresse et l'objet social). La sous-traitance pourra être effectuée si le responsable ne manifeste pas son opposition dans le délai imparti.
      Le sous-traitant, qui aura également la condition de sous-traitant du traitement, est tout aussi obligé à respecter les obligations établies dans ce document pour le sous-traitant du traitement et les instructions que le responsable dicte. Il appartient au sous-traitant initial de régir la nouvelle relation de sorte que le nouveau sous-traitant soit assujetti aux mêmes conditions (instructions, obligations, mesures de sécurité...) et avec les mêmes exigences formelles que lui, par rapport au traitement approprié des données personnelles et la garantie des droits des personnes affectées. Dans le cas de non-respect de la part du sous-traitant, le sous-traitant initial continuera à être totalement responsable face au responsable concernant le respect des obligations.
    • Maintenir l'obligation de secret concernant les données à caractère personnel auxquelles il a eu accès en vertu de la procédure présente, même après que l'objet ait terminé.
    • Garantir que les personnes autorisées pour traiter les données personnelles s'engagent, de façon expresse et par écrit, à respecter la confidentialité et à respecter les mesures de sécurité correspondantes, dont il faut en informer convenablement.
    • Maintenir à la disposition du responsable la documentation justificative du respect de l'obligation établie dans le paragraphe précédent.
    • Garantir la formation nécessaire en matière de protection des données personnelles des personnes autorisées pour traiter les données personnelles.
    • Assister le responsable du traitement dans la réponse à l'exercice des droits de :
      • Accès, rectification, suppression et opposition.
      • Limitation du traitement.
      • Portabilité des données.
      • Ne pas faire l'objet de décisions individualisées automatisées (y compris l'élaboration de profils).
        Lorsque les personnes affectées exercent les droits d'accès, de rectification, de suppression et d'opposition, de limitation de traitement, de portabilité de données et à ne pas faire l'objet de décisions individualisées automatisées, auprès du sous-traitant de traitement, celui-ci doit le communiquer par e-mail à l'adresse que le responsable du traitement lui indique.
        La communication doit être effectuée immédiatement et en aucun cas, au-delà du jour ouvrable suivant celui de la réception de la demande, si tel est le cas, avec d'autres informations qui peuvent être pertinentes pour résoudre la demande.
    • Droit à l'information. Il appartient au responsable de faciliter le droit à l'information au moment de la collecte des données.
    • Notification des brèches de sécurité des données. Le sous-traitant du traitement notifiera le responsable du traitement sans retard excessif, et dans tous les cas avant le délai maximal de 24 heures, et à travers l'adresse e-mail que le responsable du traitement lui indique, les brèches de sécurité des données personnelles à sa charge portées à sa connaissance, avec toutes les informations pertinentes pour la documentation et la communication de l'incidence.
      La notification ne sera pas nécessaire lorsqu'il est improbable que ladite brèche de sécurité constitue un risque pour les droits et les libertés des personnes physiques.
      Si elles sont disponibles, les informations suivantes seront au moins facilitées:
      • Description de la nature de la brèche de sécurité des données personnelles, y compris, lorsque cela sera possible, les catégories et le nombre approximatif des intéressés affectés, et les catégories et le nombre approximatif de saisies des données personnelles affectées.
      • Le nom et les données de contact du délégué à la protection des données et d'un autre point de contact où il peut obtenir plus d'informations.
      • Description des conséquences éventuelles de la brèche de sécurité des données personnelles.
      • Description des mesures adoptées ou propositions pour remédier à la brèche de sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour atténuer les éventuels effets négatifs.
    • S'il n'est pas possible de faciliter les informations simultanément, et dans la mesure où cela n'est pas possible, les informations seront facilitées progressivement sans retard excessif.
      Il appartient au sous-traitant du traitement de communiquer le plus rapidement possible les brèches de sécurité des données aux intéressés, lorsqu'il est probable que la brèche suppose un risque élevé pour les droits et les libertés des personnes physiques.
      La communication doit être réalisée dans un langage clair et simple et elle devra, au moins:
      • Expliquer la nature de la brèche des données.
      • Indiquer le nom et les données de contact du délégué à la protection des données et d'un autre point de contact où il peut obtenir plus d'informations.
      • Décrire les conséquences éventuelles de la brèche de sécurité des données personnelles.
      • Décrire les mesures adoptées ou propositions par le responsable du traitement pour remédier à la brèche de sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour atténuer les éventuels effets négatifs.
    • Soutenir le responsable du traitement dans la réalisation des évaluations de l'impact associées à la protection des données, si tel est le cas.
    • Soutenir le responsable du traitement dans la réalisation des consultations préalables à l'autorité de contrôle, si tel est le cas.
    • Mettre à la disposition du responsable toutes les informations nécessaires pour démontrer le respect de ses obligations, ainsi que pour la réalisation des audits ou les inspections que le responsable ou un autre auditeur autorisé par lui réalisent.
    • Réaliser une évaluation des risques qui, pour les données personnelles, implique le traitement des données que Lantek réalisera pour le compte du responsable du traitement et instaurer les mesures de sécurité techniques et organisationnelles appropriées pour garantir un niveau de sécurité adéquat au risque.
      En tout cas, il devra intégrer des mécanismes pour:
      • Garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement.
      • Restaurer la disponibilité et l'accès aux données personnelles de façon rapide, dans le cas d'incident physique ou technique.
      • Vérifier, évaluer et mesurer régulièrement l'efficacité des mesures techniques et organisationnelles instaurées pour assurer la sécurité du traitement.
      • Pseudonymiser et crypter les données personnelles, le cas échéant.
    • Désigner un délégué à la protection des données et communiquer son identité et les données de contact au responsable.
    • La destination des données. Détruire les données à caractère personnel et, si tel est le cas, les supports où elles se trouvent, une fois la prestation effectuée.
      Néanmoins, il est indiqué que dans le cas où le responsable du traitement facilite à Lantek des données personnelles pour réaliser une personnalisation, résoudre une incidence technique ou toute autre intervention, elles seront rendues une fois résolues.
      Tout cela sans préjudice que Lantek puisse conserver une copie, avec les données dûment bloquées, tandis que des responsabilités de l'exécution de la prestation puissent être dérivées.

5. Obligations du responsable du traitement: il appartient au client:

  • De remettre au sous-traitant les données auxquelles le paragraphe « 2. Identification des informations affectées » fait référence.
  • De réaliser une évaluation de l'impact dans la protection des données personnelles des opérations de traitement à effectuer par le sous-traitant.
  • De réaliser les consultations préalables qui correspondent.
  • De veiller, préalablement et pendant tout le traitement, au respect du RGPD de la part du sous-traitant.
  • De contrôler le traitement, y compris la réalisation d'inspections et d'audits.