Politique de confidentialité
Memo RH SAS et le Client s’engagent à garder strictement confidentielles toutes les informations échangées dans le cadre de la prestation de services de paie. Cette obligation de confidentialité reste en vigueur après la fin du contrat.
Memo RH SAS et le Client s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
1. Description du traitement faisant l’objet de la prestation
Memo RH SAS est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires pour fournir les services définis à l’article 2.
La nature des opérations réalisées sur les données est la suivante :
– Enregistrement des données personnelles dans notre système d’information ;
– Utilisation des données personnelles pour le calcul de la paye et des cotisations ;
– Transmission des données personnelles dans le cadre des déclarations de données sociales obligatoires (DSN).
Les finalités du traitement sont :
– Calculer les salaires et cotisations sociales ;
– Editer les documents obligatoires (Bulletin de salaire, attestations, etc.) ;
– Déclarer les salaires et cotisations sociales.
Les données à caractère personnel traitées sont :
– des données liées à l’identité du salarié ;
– des données liées à l’activité du salarié et ayant des incidences en paye ou devant faire l’objet de déclarations ;
– des données économiques du salarié (RIB).
Les catégories de personnes concernées sont les salariés du Client.
Pour l’exécution du service objet du présent contrat, le client met à la disposition de Memo RH SAS les informations nécessaires définies à l’article 4.
2. Obligations de Memo RH SAS vis-à-vis du Client
Memo RH SAS s’engage à :
– traiter les données uniquement pour les seules finalités qui font l’objet de la prestation ;
– garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
– veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel
– prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
3. Sous-traitance
Memo RH SAS peut faire appel à un sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, il informe le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Les sous-traitants intervenant au traitement de données sont :
- Silae pour l’hébergement des données liées au traitement de la paye ;
Les sous-traitants sont tenus de respecter les obligations du présent contrat pour le compte et selon les instructions du Client. Il appartient à Memo RH SAS de s’assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, Memo RH SAS demeure pleinement responsable devant le Client de l’exécution par le sous-traitant de ses obligations.
4. Droit d’information des personnes concernées
Memo RH SAS, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise.
5. Exercice des droits des personnes
Dans la mesure du possible, Memo RH SAS doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de Memo RH SAS des demandes d’exercice de leurs droits, Memo RH SAS doit adresser ces demandes dès réception par courrier électronique au Client.
6. Notification des violations de données à caractère personnel
Memo RH SAS notifie par courriel au Client toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
7. Aide de Memo RH SAS dans le cadre du respect par Client de ses obligations
Memo RH SAS aide le Client pour la réalisation d’analyses d’impact relative à la protection des données.
Memo RH SAS aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.
8. Mesures de sécurité
Memo RH SAS s’engage à mettre en œuvre les mesures de sécurité nécessaires à la préservation de l’intégrité et la confidentialité des données personnelles traitées.
9. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le Prestataire s’engage à renvoyer toutes les données à caractère personnel au Client.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Prestataire.
10. Registre des catégories d’activités de traitement
Memo RH SAS déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel ;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.