Définitions

Les définitions suivantes des termes utilisés dans ce document sont prises dans l’art. 4 du Règlement général sur la protection des données (RGPD) et de la législation italienne sur le sujet (décret législatif n° 196 du 30 June 2003) :
Données personnelles : désigne toute information concernant une personne physique identifiée ou identifiable (« sujet des données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier en référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Catégories spéciales de Données personnelles : ces données sont, par leur nature, particulièrement sensibles relativement aux droits et aux libertés fondamentaux et elles méritent une protection spécifique étant donné que le contexte de leur traitement pourrait créer des risques importants pour les droits et les libertés fondamentaux. Ces catégories de données doivent inclure les données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, la qualité de membre d’un syndicat, ainsi que les données génétiques, les données biométriques afin d’identifier de manière unique une personne physique, les données concernant la santé ou les données concernant la vie sexuelle d’une personne physique ou son orientation sexuelle.
Contrôleur : désigne la personne physique ou morale, l’autorité publique, l’agence ou autre organisme qui, seul ou conjointement avec les autres, détermine l’objectif et les moyens du traitement des données personnelles.
Préposé au traitement : désigne une personne physique ou morale, une autorité publique, une agence ou autre organisme qui traite les données personnelles pour le compte du Contrôleur.
Traitement : désigne une opération ou un ensemble d’opérations réalisées sur les données personnelles ou sur les ensembles de données personnelles, par des moyens automatisés ou pas, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, dissémination ou autrement la mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
Anonymisation : désigne une désidentification irréversible des données personnelles de telle manière qu’elles ne puissent plus être attribuées à un sujet spécifique des données sans l’utilisation d’informations supplémentaires, pourvu que ces informations supplémentaires soient conservées séparément et soient soumises à des mesures techniques et organisationnelles pour s’assurer que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable. D’autre part, la pseudonymisation réduit mais n’élimine pas totalement la possibilité de connecter les données personnelles au sujet des données. Comme les données pseudonymisées sont toujours des données personnelles, le traitement des données pseudonymisées doit avoir lieu conformément aux principes de traitement des Données personnelles.
Traitement transfrontalier : désigne le traitement des données personnelles qui survient dans le contexte des activités des établissements dans plus d’un Etat membre d’un Contrôleur ou Préposé au traitement dans l’Union où le Contrôleur ou le Préposé au traitement est établi dans plus d’un Etat membre ; ou le traitement des données personnelles qui survient dans le contexte des activités d’un seul établissement d’un Contrôleur ou Préposé au traitement dans l’Union mais qui affecte sensiblement ou est susceptible d’affecter sensiblement les sujets des données dans plus d’un Etat membre.
Autorité de supervision : désigne une autorité publique indépendante établie par un Etat membre conformément à l’Article 51 du RGPD de l’UE ;
Autorité principale de supervision : désigne l’autorité de supervision responsable au final de la gestion d’un traitement transfrontalier, par exemple quand un sujet des données dépose une réclamation concernant le traitement de ses données personnelles. L’autorité principale de supervision est également responsable de la réception des rapports sur les violations des données et les activités de traitement à risque, et a l’autorité totale concernant ses fonctions pour assurer la conformité envers le RGPD de l’UE ;
Chaque « autorité de supervision locale » conserve dans tous les cas la juridiction sur son territoire et contrôle le traitement des données locales qui affecte les sujets des données ou qui est réalisé par un Contrôleur ou un Préposé au traitement au sein de l’Union européenne ou en dehors de l’Union européenne si leur traitement concerne des sujets de données résidant sur son propre territoire. Leurs tâches et leurs pouvoirs comprennent la réalisation d’enquêtes et l’application de mesures et de pénalités administratives, la sensibilisation du public aux risques, aux règles, à la sécurité et aux droits liés au traitement des données personnelles, et l’accès aux installations du Contrôleur ou du Préposé au traitement des données, notamment aux outils ou aux moyens de traitement.
« Principal établissement d’un Contrôleur » avec des établissements dans plus d’un Etat membre, désigne le lieu de son administration centrale dans l’Union, sauf si les décisions sur les buts et les moyens du traitement des données personnelles sont prises dans un autre établissement du Contrôleur dans l’Union et ce dernier établissement a le pouvoir d’appliquer ces décisions, auquel cas l’établissement ayant pris ces décisions doit être considéré comme l’établissement principal ;
« Principal établissement d’un Préposé au traitement » avec les établissements dans plus d’un Etat membre, désigne le lieu de son administration centrale dans l’Union, ou, si le Préposé au traitement n’a aucune administration centrale dans l’Union, l’établissement du Préposé au traitement dans l’Union où les principales activités de traitement dans le contexte des activités d’un établissement du Préposé au traitement ont lieu, dans la mesure où le Préposé au traitement est soumis à des obligations spécifiques dans le cadre de ce Règlement;
« Groupe d’entreprises »: désigne un groupe composé d’une entreprise contrôlante et ses entreprises contrôlées.

1. Objectif du Groupe

Conformément aux principes fondamentaux et aux codes de conduite décrits dans ses règlements internes, et les politiques et pratiques en vigueur (amendées, appliquées et complétées au fil du temps, en particulier depuis la prise de contrôle par les actionnaires actuels du Groupe), le Groupe Fedrigoni souhaite tenir son engagement de protéger les principes de protection, confidentialité et défense de l’individualité et de la dignité humaine relativement au traitement et à la protection des données personnelles. À cet effet, le Groupe Fedrigoni s’engage spécifiquement à continuer de :

– protéger et sauvegarder les données personnelles de chaque individu ;

– assurer la confidentialité de la vie personnelle et privée de chaque individu ;

– respecter les libertés fondamentales garanties par la constitution ;

– respecter l’identité, la personnalité et la dignité de chaque être humain ;

– protéger la confidentialité des informations concernant les employés, les clients, les fournisseurs, toutes les tierces parties opérant en tant qu’individus et tous ceux engagés dans des relations avec les entreprises individuelles du Groupe.

 

2. Engagement du Groupe

Le Groupe Fedrigoni s’engage, en conformité totale avec les règlements appropriés, à améliorer continûment la protection des données personnelles en :

a) augmentant la sensibilisation entre les employés, les fournisseurs, les clients et toutes les parties concernées des engagements entrepris concernant la protection des données personnelles et la sécurité des informations ;
b) identifiant les représentants avec les exigences, l’expertise et les pouvoirs nécessaires pour assurer le fonctionnement correct du système de traitement des données ;
c) adoptant un système de documents intégré, géré de manière organique (procédures, instructions opérationnelles et modèles uniformes et standardisés dans toute l’entreprise) ;
d) lorsque le traitement de données personnelles survient, intégrant totalement la définition, l’intégration, l’ajustement et la révision des processus de l’entreprise conformément aux principes législatifs qui régissent ce traitement ;
e) définissant un modèle organisationnel pour la confidentialité qui offre une protection effective et préventive dans le traitement des données personnelles concernant les divers processus de l’entreprise.
f) adoptant les meilleures techniques disponibles, en tenant compte de leur durabilité économique, pour minimiser les dommages en cas d’incident ou d’événement négatif lors du traitement des données personnelles, notamment en adoptant des méthodes appropriées pour réparer en cas de dommage et/ou de perte accidentels ;
g) promouvant le dialogue et la discussion, sur la base d’une transparence mutuelle, avec toutes les parties prenantes, tels que les clients et les collaborateurs externes, en tenant compte de leurs demandes et de leurs attentes relativement au traitement des données personnelles, conformément aux moyens de participation et de communication adoptés par le Groupe.

3. Politique relative à la vie privée

Les entreprises du Groupe Fedrigoni s’engagent à protéger les données personnelles traitées pour une raison quelconque, en agissant en conformité avec les principes généraux illustrés ci-dessous, les Règlements sur l’utilisation des systèmes informatiques et Internet au travail et toute autre politique ou réglementation interne qui régit directement ou indirectement les questions relatives à la protection des données personnelles.

 

3.1 Principes et politiques relatifs au traitement
Le Groupe Fedrigoni s’engage à traiter les données conformément aux principes appropriés et en conformité totale envers la législation en vigueur.
Les données sont toujours traitées conformément aux principes suivants :

  1. collecte des données à des fins spécifiques, explicites et légitimes, et traitement successif des données d’une manière compatible à ces fins;

Réf.: principe de limitation des fins

  1. collecte et traitement des données selon les mesures adéquates de sécurité et de prévention conçues sur la base d’une évaluation des risques et appliquées avant de commencer le traitement, en réalisant toutes les actions nécessaires pour s’assurer que les données sont protégées par des mesures organisationnelles et techniques qui garantissent leur confidentialité et leur intégrité;

Réf.: principe de sécurité

  1. traitement des données de manière licite, juste et transparente concernant le sujet des données, en lui fournissant des informations appropriées sur la façon dont les données seront utilisées et en obtenant son consentement pour tout traitement inutile ou pour le traitement de types particuliers de données, par exemple les données pouvant révéler l’état de santé du sujet des données, son origine raciale, ses convictions religieuses, etc.

Réf.: principes de légalité, justesse et transparence

  1. vérification que les méthodes utilisées pour traiter les données sont pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées;

Réf.: principe de minimisation des données, de pertinence, de proportionnalité et de confidentialité par défaut

  1. si nécessaire, prendre toutes les mesures raisonnables pour s’assurer que les données qui ne sont pas pertinentes quant aux fins pour lesquelles elles ont été traitées sont rapidement effacées ou rectifiées;

Réf.: principes de précision, de nécessité, de non-excessivité et d’essentialité

  1. conserver les données sous une forme qui permets l’identification des sujets des données aussi longtemps que cela est nécessaire aux fins pour lesquelles les données personnelles sont traitées. Les données personnelles peuvent être enregistrées pour des durée prolongées pourvu que les données personnelles soient traitées uniquement à des fins d’archivage dans l’intérêt public, scientifique ou à des fins de recherche historique ou statistiques;

Réf.: principe de limitation d’enregistrement et droit à l’oubli

  1. traiter les données d’une manière qui assure une sécurité appropriée des données personnelles, notamment une protection contre un traitement non autorisé et illicite et contre toute perte, destruction ou dommage accidentels, en utilisant des mesures techniques ou organisationnelles appropriées;

Réf.: principes d’intégrité et de confidentialité

  1. s’assurer que les sujets des données ont l’opportunité de demander toutes les données qu’ils ont fournies;

Réf.: principe de portabilité des données

  1. s’assurer que toute nouvelle forme de traitement des données est conçue de façon à garantir la sécurité nécessaire selon les risques auxquels elles est exposée avant sa mise en application. Les systèmes informatiques doivent par conséquent également être conçus selon ce principe;

Réf.: principe de confidentialité par conception

  1. s’assurer que, après le traitement, les données ne puissent plus être attribuées à un individu spécifique sans utiliser d’informations supplémentaires, pourvu que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles conçues pour s’assurer que ces données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable;

Réf.: pseudonymisation

  1. gérer le traitement des données de façon à ce qu’une violation de sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée, ou l’accès aux données personnelles, quelle qu’en soit la raison, soit notifiée aux autorités compétentes and, dans les cas graves, au sujet des données, dans les délais fixés par la loi.

Réf.: principe de violation des données

3.2 Collecte et traitement des informations
Toutes les entreprises du Groupe adoptent des mesures et des précautions pour vérifier que les informations contenant des données personnelles sont pertinentes, précises, complètes et courantes, comme cela est requis aux fins pour lesquelles elles seront utilisées. Les données personnelles sont traitées conformément au principe de minimisation des données requis par l’art. 5, par. 1, lettre c), du Règlement et la législation italienne sur le sujet (décret législatif du 30 juin 2003, n° 196), qui stipule que la collecte et le traitement successif des données personnelles doivent avoir lieu de façon à réduire au minimum l’utilisation des données personnelles qui peuvent identifier un sujet des données.

Lorsque certaines opérations de traitement, ou processus ou stades d’un processus, ne nécessitent pas un affichage clair des données personnelles et d’identification des sujets des données, ces opérations de traitement doivent être effectuées en utilisant les données rendues anonymes ou au moins codées.

Pour mieux comprendre l’esprit du RGPD de ce point de vue, nous devons considérer le principe fondamental du Règlement et de la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196), c’est-à-dire le principe de responsabilité : toutes les entreprises du Groupe qui sont tenues d’adopter et de se conformer aux règles et aux principes du RGPD doivent d’abord être totalement informées quant au contexte dans lequel elles opèrent, les équipements auxquels elles ont accès et le contenu de leurs activités. C’est seulement en réalisant cette enquête interne pour connaître leur structure qu’il est possible d’apprécier réellement le statut de l’entreprise quant à la « confidentialité ».
En termes pratiques, pour assurer la conformité envers le principe de responsabilité, les entreprises du Groupe doivent toujours être capables de justifier les décisions qu’elles prennent sur la base du Règlement, en particulier relativement aux inspections.

3.3 Intégrité des données
Conformément à l’art. 5 du Règlement européen et sur la base de la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196), le Groupe Fedrigoni traite les données personnelles selon les critères généraux suivants :
• les opérations de traitement doivent être réalisées de manière licite, transparente et correcte ;
• les données traitées doivent être collectées et enregistrées à des fins spécifiques, explicites et légitimes, et utilisées de manière compatible avec ces fins ;
• les données traitées doivent être précises et, le cas échéant, tenues à jour ;
• les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées ;
• les données traitées doivent être conservées sous une forme qui permet l’identification des sujets des données aussi longtemps que cela est nécessaire aux fins pour lesquelles les données personnelles sont traitées ;
• les données doivent être traitées afin d’assurer une sécurité adéquate des données personnelles, notamment la protection contre la perte, la destruction ou un dommage accidentel, par des mesures techniques et organisationnelles appropriées pour les protéger contre tout traitement non autorisé ou illicite (« intégrité et confidentialité »).

3.4 Choix et consentement
Les entreprises du Groupe s’engagent à se conformer à l’obligation d’obtenir l’accord comme cela est stipulé dans l’art. 6 et l’art. 7 du Règlement et dans la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196). Le Groupe s’assure que l’accord est donné de manière valable en garantissant ce qui suit :

• des informations correctes et complètes sur la confidentialité sont fournies avant l’accord ;
• l’accord est donné librement et sans équivoque ;
• l’accord fait référence seulement à une opération spécifique du traitement ;
• l’accord est documenté par écrit même en ce qui concerne le type de données collectées (par ex., utilisation de données sensibles).

Conformément à l’art. 6, par. 1, lettre b) – f) du Règlement et de la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196), l’accord n’est pas requis lorsque :
• le traitement est nécessaire pour l’exécution d’un contrat dont le sujet des données est une partie ou pour l’exécution de mesures précontractuelles adoptées à sa demande ;
• le traitement est nécessaire afin de se conformer à une obligation légale à laquelle le Contrôleur est soumis ;
• le traitement est nécessaire pour protéger les intérêts vitaux du sujet des données ou d’une autre personne physique.

3.5 Informations relatives à la vie privée
Le Groupe Fedrigoni travaille pour s’assurer que toutes les opérations de traitement ont lieu conformément à l’art. 13 et l’art. 14 du Règlement (Information) et à la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196). Les sujets des données doivent toujours recevoir des informations adéquates quand leurs données sont collectées ; quand cela n’est pas possible car les données personnelles sont collectées à des tierces parties, le sujet des données doit recevoir des informations dès que possible, ou dans tous les cas dans un délai d’un mois à compter de la collecte des données ou au moment du premier contact avec le sujet des données.
Le contenu des informations qui doivent être fournies est listé dans l’art. 13, par. 1, et l’art. 14, par. 1, du Règlement et la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196), comme indiqué ci-dessous, et il doit être fourni sous une forme concise, transparente, intelligible et facilement accessible, en utilisant une langue claire et directe.

Le Groupe comprend les éléments suivants dans les informations qu’il fournit aux sujets des données :
• l’identité et les informations de contact du Contrôleur et, le cas échéant, du représentant du Contrôleur ;
• les informations de contact du responsable de la protection des données, le cas échéant ;
• les objectifs du traitement auquel les données personnelles sont destinées, ainsi que la base légale du traitement ;
• une description des intérêts légitimes du Contrôleur ou des tierces parties, lorsque l’opération de traitement a cette base légale ;
• les destinataires ou les catégories de destinataires des données personnelles ;
• le cas échéant, que le Contrôleur souhaite transférer les données personnelles à un destinataire dans un pays tiers ou une organisation internationale et les dispositions de protection des données liées à ce transfert ;
• la période pour laquelle les données personnelles seront enregistrées, ou si cela n’est pas possible, les critères utilisés pour déterminer cette période ;
• comment exercer leurs droits comme cela est prévu par le RGPD ;
• le droit de déposer une réclamation auprès d’une autorité de supervision ;
• si la fourniture des données personnelles est une exigence statutaire ou contractuelle, ou une exigence nécessaire pour conclure un contrat, et si le sujet des données est tenu de fournir les données personnelles et les conséquences possibles de la non-fourniture de ces données ;
• l’existence d’une prise de décision automatique, avec le profilage, et des informations significatives sur la logique impliquée, ainsi que l’importance et les conséquences envisagées de ce traitement pour le sujet des données.

Le Groupe n’autorise pas un accord tacite ou présumé.

3.6 Accès aux données personnelles et autres droits du sujet des données
Le Groupe Fedrigoni garantit à chaque sujet des données dont les données personnelles sont traitées le libre exercice des droits prévus dans les articles 15-22 du Règlement et de la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196).

Plus spécifiquement, le sujet des données a le droit de :
• obtenir une confirmation sur le fait que les données personnelles le concernant sont traitées ou pas, et, lorsque cela est le cas, l’accès aux données personnelles ;
• objecter à une opération spécifique de traitement des données personnelles pour des raisons légitimes afin que le traitement cesse définitivement ;
• retirer son accord à tout moment, sans affecter la légalité du traitement basée sur le consentement avant son retrait ;
• obtenir du Contrôleur sans délai indu la rectification des données personnelles imprécises le concernant et faire compléter les données personnelles incomplètes, notamment en fournissant une déclaration supplémentaire ;
• demander que ses données soient traitées uniquement à des fins d’enregistrement, excluant toute autre opération de traitement ;
• obtenir l’effacement de ses données personnelles lorsque les motifs appropriés existent.

3.7 Transferts des données personnelles
Toutes les entreprises du Groupe s’engagent à adopter les mesures nécessaires pour s’assurer que les transferts des données personnelles ont lieu conformément aux lois applicables, même lorsqu’ils sont effectués par des tierces parties agissant comme des sous-traitants. Conformément au principe du libre mouvement des données personnelles, le Règlement régit le transfert des données entre les Etat membres de l’Union européenne et l’Espace économique européen (Norvège, Islande, Lichtenstein).

Pour les transferts de données dans des pays qui n’appartiennent pas à l’UE/EEE, au moins l’une des conditions suivantes doit exister :
• le système légal du pays de destination ou de transit des données garantit un niveau de protection des personnes considéré « adéquat » par la Commission européenne
• des instruments contractuels fournissant des garanties adéquates (clauses contractuelles standard, règles exécutoires de l’entreprise, etc.) ont été adoptés ;
• le sujet des données a explicitement exprimé son accord au transfert (par écrit pour les données spécifiques) proposé, après avoir été informé des risques possibles de ces transferts pour le sujet des données, en raison de l’absence d’une décision d’adéquation et de protections appropriées ;
• le transfert est nécessaire pour l’exécution d’un contrat entre le sujet des données et le Contrôleur ou l’application de mesures précontractuelles prises en réponse à la demande du sujet des données ;
• le transfert est nécessaire pour la conclusion ou l’exécution d’un contrat conclu entre le Contrôleur et une tierce partie dans l’intérêt du sujet des données ;
• le transfert est nécessaire pour des raisons importantes d’intérêt public ;
• le transfert est nécessaire pour l’établissement, l’exercice ou la défense de revendications légales ;
• le transfert est nécessaire pour protéger les intérêts vitaux du sujet des données ou d’une autre personne, quand il est physiquement ou légalement incapable de donner son accord.

 

4. Pénalités administratives

Le non-respect des dispositions du Règlement et de la législation italienne sur le sujet (Décret législatif du 30 juin 2003, n° 196) donne lieu à l’application de pénalités administratives allant jusqu’à 20 000 euros pour le Contrôleur.
L’art. 83 du RGPD prévoit deux types de pénalités administratives financières pour toutes les violations du Règlement – les moins graves et les plus graves.
Par exemple, selon l’art. 83, lettre a), par. 4, le non-respect de ses obligations par un Contrôleur ou un Préposé au traitement donne lieu à une pénalité administrative de 10 millions d’euros ou, pour les entreprises, 2% du chiffre d’affaires annuel total pour l’exercice précédent, si ce montant est supérieur.
La lettre b), par. 5 de l’art. 83 du RGPD indique qu’une violation des droits du sujet des données, comme cela est indiqué dans les clauses 15-22, est considérée comme une violation plus grave et est soumise à des pénalités allant jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4% du chiffre d’affaires annuel total pour l’exercice précédent, si ce montant est supérieur.

 

5. Supervision et audits

Avec cette politique relative à la vie privée, le Groupe Fedrigoni s’engage à superviser le respect de la politique et des documents de l’entreprise connexes, également en ce qui concerne l’application de mesures techniques pour assurer un niveau de traitement correct ; les dispositions contenues dans cette politique doivent être respectées par tous les destinataires. Cette politique est distribuée aussi largement que possible par la publication sur des panneaux d’information réservés au personnel ; une copie est également fournie aux nouveaux employés et collaborateurs. Tout amendement et/ou ajout à la politique doit être approuvé par le responsable conformité du Groupe, qui coordonne les activités pour assurer la conformité envers les règles, collabore avec le comité de direction et informe rapidement les services de l’entreprise de tout changement.