Le Règlement Général sur la Protection des Données (RGPD ou GDPR au niveau de l’Europe), est entré en vigueur le 25 mai 2018. Cette règle s’applique lorsque qu’une société du groupe Supporter effectue des traitements portant sur des données à caractère personnel, tels qu’ils sont définis dans la Loi du 6 janvier 1978, dite « Informatique et Libertés » et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « Règlement européen sur la protection des données »), ensemble la « Règlementation Applicable ». Supporter est, depuis sa conception, engagé dans la protection des données personnelles, et dans le respect de la vie privée de ses clients et de ses employés.

1- Respect de la législation

Supporter traitera les Données Personnelles pour la ou les seule(s) finalité(s) qui fait/font l’objet de ses prestations. Supporter ne traitera pas les données personnelles pour celui d'un tiers. Supporter garantit qu'elle traitera les Données Personnelles conformément à la Réglementation Applicable, notamment en ce qui concerne la confidentialité et la sécurité desdites données.

2- Sécurité des données

Supporter mettra en œuvre toutes les mesures appropriées pour assurer la protection des Données Personnelles. Elle prendra dans ce cadre toutes les mesures pour assurer la sécurité de ces Données Personnelles et empêcher leur accès par des tiers non autorisés. Elle s’engage en particulier à mettre en œuvre les règles de l’art les plus strictes et les bonnes pratiques émises par les autorités de contrôle et agences nationales de sécurité (ou organismes équivalents) en matière de sécurité informatique et de sécurité des locaux pour prémunir les Données Personnelles contre tout risque de malveillance, de vol, de détournement, d’altération ou de divulgation. A ce titre, Supporter s’engage notamment à :

• Mettre en place un système d’habilitation de son personnel et à ne donner accès aux données qu’aux seuls membres de son personnel dûment habilités et dont l’accès est nécessaire pour la bonne exécution des prestations.
• Mettre en place des mesures de gestion des accès physiques à ses locaux pour empêcher tout accès par des personnes non autorisées
• Protéger les accès logiques à son système informatique, pour empêcher tout accès par des personnes non autorisées
• Assurer la maintenance et la mise à jour de ces systèmes informatiques afin notamment d’éliminer toutes les failles de sécurité connues des systèmes d’exploitation et des logiciels
• Veiller au strict respect, par son personnel ainsi que par ses éventuels sous-traitants, des règles et procédure de sécurité destinées à garantir la sécurité et la confidentialité des Données Personnelles
• Mettre en place tous les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
• N’effectuer aucune copie sauf pour les seuls besoins de l’exécution des prestations
• Mettre en place un mécanisme de purge des Données Personnelles conformément aux périodes de couverture des prestations.
• Mettre en place un effacement des Données Personnelles systématique 1 an après la fin d’un contrat

Supporter veille à ce que les personnes autorisées à traiter les Données Personnelles en vertu de la présente POLITIQUE DONNEES PERSONNELLES :

• S’engagent à respecter la confidentialité
• Reçoivent l’information nécessaire en matière de traitement et protection des Données Personnelles.

Supporter s’engage à tenir à jour une documentation décrivant les mesures techniques et organisationnelles ainsi mises en œuvre :

• Nomination d’un DPO (Data Protection Officer : dpo@supporter.fr)
• Réalisation de l’inventaire des traitements de données personnelles mis en œuvre
• Évaluation de leurs pratiques et mise en place des procédures formalisées correspondantes
• Identification des risques associés aux opérations de traitement et prise des mesures nécessaires à leur prévention
• Plan de sensibilisation et de formation
• Maintien d’une documentation assurant la traçabilité des mesures

Supporter s’engage à tenir informé les clients de ses services web :

• Pour respecter le consentement utilisateur, nous recueillons son consentement pour le stockage de cookies liés au fonctionnement :
• Des contrôles de cohérence des données saisies s’assurent du respect des formats réglementaires.
• Une information sur la collecte des données est diffusée à l’enregistrement des données saisies.

Des procédures de surveillance d'incidents de sécurité sont en place, qui peuvent déclencher des processus d'alerte des abonnés impactés, voire des incidents CNIL en cas de perte de confidentialité avérée. Un plan de sensibilisation à la sécurité est en place et inclus les aspects de protection de données spécifiques au RGPD depuis la mise en vigueur de ce dernier.

3- Devoir de coopération

Supporter s’engage à coopérer pleinement et de bonne foi avec l’Enseigne afin qu’elle puisse répondre à toutes les obligations lui incombant du fait de la Règlementation Applicable. En particulier, Supporter apportera toute son aide à l’Enseigne pour répondre à des demandes de droits d’accès formulées par des personnes concernées, ou relativement à la réalisation d’analyses d’impact relative aux traitements des Données Personnelles, pour répondre à des demandes d’autorités de contrôle ainsi que pour la réalisation de toute consultation préalable éventuelle des autorités de contrôle. Supporter s’engage à répondre aux demandes de l’Enseigne ou du Client dans les meilleurs délais et au plus tard dans un délai de dix (10) jours à compter de la demande qui lui serait adressée. Supporter s'engage à coopérer avec les autorités de contrôle, notamment en cas de demande d'information qui pourrait lui être adressée ou en cas de contrôle.

4- Sous-traitance

Supporter a elle-même recours à des sous-traitants pour servir les consommateurs, qui sont parfois amené à traiter des Données Personnelles des Clients de Supporter. Cette information indique clairement, pour chaque sous-traitant, les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant, les lieux où sont réalisés les traitements et les dates du contrat de sous-traitance. Cette information est stockée dans les Serveurs de Supporter Supporter est pleinement responsable de l'exécution par ces sous-traitants de leurs obligations en matière de protection des données personnelles. Supporter s’assure que ses sous-traitants présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences de la Réglementation Applicable. Supporter s’engage à reporter dans les engagements qu’elle contractera avec des sous-traitants les obligations qui lui incombent au titre des présentes et s’engage à s’assurer de façon régulière que lesdits sous-traitants se conforment à leurs obligations.

5- Droit d’information des personnes concernées

Sauf disposition contraire, il appartient à l’Enseigne de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données soit l’adhésion à un service Supporter).

6- Exercice des droits des personnes

Supporter aidera l’Enseigne à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Supporter communiquera dans ce cadre à l’Enseigne l’ensemble des informations en sa possession relatives à la personne concernée, dans les meilleurs délais et au plus tard dans un délai de cinq (5) jours à compter de la demande qui lui serait adressée par la personne ou l’Enseigne. Ces demandes devront être adressées à l’adresse suivante : mesdonneespersonnelles@supporter.fr

7- Localisation des traitements

Supporter s’engage auprès de l’Enseigne à ce que les Données Personnelles soient uniquement traitées en Union Européenne et hébergées sur des serveurs localisés en Union Européenne par elle-même comme par ses sous-traitants. Tout traitement ou hébergement de Données Personnelles en dehors de l’Union Européenne, qui aurait été autorisé dans les conditions susvisées, devra être réalisé conformément à la Réglementation Applicable et devra en particulier être opéré vers un pays ou une organisation reconnue par la Commission comme assurant un niveau de protection adéquat ou être encadré par des garanties appropriées.

8- Violations de Données Personnelles

Dès qu’elle est informée d’une violation de Données Personnelles, Supporter procède à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dans un délai aussi rapide que possible, de faire en sorte d’en diminuer l’impact pour les personnes concernées et de s’assurer qu’une telle situation ne se reproduira pas. Supporter s’engage à collaborer activement avec l’Enseigne pour qu’elles soient en mesure de répondre à leurs obligations réglementaires et contractuelles et en particulier dans le cadre des actions mises en œuvre à la suite d’une violation. Supporter se réserve le droit de modifier la présente POLITIQUE DONNEES PERSONNELLES à tout moment et en informera l’Enseigne par écrit.