L’enseigne Générale des Services propose des services aux particuliers dans de nombreuses régions en France à travers un réseau d’agences en franchise. Chaque franchise est une entreprise juridiquement et financièrement indépendante du franchiseur.

Dans cette politique de confidentialité, nous utiliserons le nom « franchisé Générale des Services » pour désigner une agence membre du réseau.

Cette politique de confidentialité documente la politique « vie privée » des franchisés Générale des Services en tant que responsable de traitement, c’est-à-dire pour les traitements pour lesquels les franchisés Générale des Services définissent les finalités et les moyens du traitement.

Dans le cadre de son activité et notamment pour la procédure de recrutement, le franchisé Générale des Services collecte, stocke et utilise des données liées à des personnes.

Cette politique de confidentialité du candidat pour la procédure de recrutement concerne ce traitement et est conforme à la Réglementation Générale sur la Protection des Données (RGPD). Cette politique est applicable pour tous les franchisés Générale des Services.

Quelles données personnelles sont collectées sur les candidats pendant la procédure de recrutement ?

Pour chaque candidat, le franchisé Générale des Services peut collecter les informations suivantes :

– Civilité
– Nom + Prénom
– Code postal + Ville
– Téléphone
– Adresse e-mail
– CV (source + info)
– Photo
– Document: CV
– Document: Diplôme, lettre de motivation
– Document: Photo
– Document: Copie de la carte d’identité (dans certains cas uniquement)

Pourquoi le franchisé Générale des Services collecte et utilise ces données personnelles ?

Le franchisé Générale des Services garde des données sur les professionnels qui recherchent du travail dans le secteur des services aux particuliers.

Ces données personnelles ne sont utilisées que pour évaluer la capacité d’un candidat (formation, expérience…) à occuper un poste proposé par le franchisé Générale des Services. Cela implique les traitements suivants :

– Communiquer vers les candidats (demande complémentaire, informations sur une mission…)
– Gérer les documents des candidats (photo, diplôme, lettre de motivation…)
– Gérer les CV des candidats

Si le profil d’un candidat correspond à la recherche, il sera contacté par l’équipe de recrutement pour discuter de l’opportunité.

Les données sur les candidats ne sont utilisées que pour ces finalités.

Comment le franchisé Générale des Services collecte ces données personnelles ?

Le franchisé Générale des Services récolte des données sur les candidats via différentes sources d’information :

– Les candidats envoient un mail au franchisé Générale des Services
– Les candidats postulent directement via les formulaires de contact du site internet
– Un partenaire (Pole Emploi…) fournit les informations sur le candidat

Qui traite les données personnelles des candidats ?

Le département recrutement du franchisé Générale des Services est le destinataire principal des données personnelles des candidats pour les finalités décrites plus haut dans cette politique de confidentialité. Pendant la procédure de recrutement, il est possible que la candidature soit également transférée au service Ressource Humaine du groupe GDS Expansion afin d’accompagner le franchisé Générale des Services dans son recrutement.

Chaque employé du franchisé Générale des Services a signé une politique de confidentialité et de protection des données pour assurer que les traitements effectués dans la société ne sont effectués que pour les finalités définies par le franchisé Générale des Services.

Comment le franchisé Générale des Services collecte et stocke les consentements des candidats ?

Chaque candidat est clairement informé des utilisations qui peuvent être faites de ses données personnelles au moment où celui-ci les fournit et tel que décrit dans cette politique de confidentialité.

Combien de temps le franchisé Générale des Services garde-t-elle les données personnelles des candidats et sur quelle base légale ?

Après avoir reçu le consentement du candidat, le franchisé Générale des Services garde les données pendant 2 ans sur base des recommandations des autorités compétentes et du consentement explicite du candidat.

Droit des personnes concernées ?

Dans le respect du Règlement Général sur la Protection des Données personnelles (RGPD), les utilisateurs ont les droits suivants en ce qui concernent les données que le franchisé Générale des Services collecte à leur sujet :

– Droit d’accès
– Droit à la rectification
– Droit d’effacement (droit à l’oubli)
– Droit à la limitation
– Droit à la portabilité

Pour toute demande qui concerne ces droits, les candidats peuvent envoyer un mail à rgpd@generaledesservices.com avec l’objet de sa demande. Le franchisé Générale des Services répondra à la demande adressée en rapport avec les droits énumérés ci-dessus sous un mois calendaire après réception de la demande. Si le franchisé Générale des Services reçoit de nombreuses demandes ou des demandes complexes, le temps de réponse peut augmenter pour un maximum de 2 mois supplémentaire.

Pour des raisons de sécurité, pour chaque demande en rapport avec ces droits, le franchisé Générale des Services procédera à une vérification de l’identité de la personne qui soumet la demande. Pour ce faire, la personne concernée sera invitée à :

– Envoyer une copie d’un document officiel (carte d’identité, passeport) et une copie d’une facture de service (téléphone, électricité…) qui mentionne clairement le nom et l’adresse de la personne concernée.

Le franchisé Générale des Services répondra à la demande seulement après une identification positive.

Sous-traitant ?

Le franchisé Générale des Services ne partage pas de données personnelles avec d’autres entreprises à l’exception des sous-traitants identifiés. Lors de la procédure de recrutement et de devis les sous-traitants des données personnelles sont :

– Xelya
– Microsoft Office
– Groupe GDS Expansion

L’hébergement du site Web est confié à la société Viaduc et la gestion de notre outil de relation client (hebergement et maintenance) à la société Xelya.

En tant que sous-traitants, ils garantissent avoir mis en place toutes les mesures techniques et organisationnelles nécessaires pour protéger les données tel que l’exigence le Règlement Général de la Protection des Données Personnelles (RGPD) qui remplace la directive 95/46/CE.

Informations techniques sur les mesures de sécurité

Liste des mesures de sécurité

Le  franchisé Générale des Services utilise une infrastructure informatique en réseau, permettant à son personnel d’interagir en interne et d’utiliser des applications et des services. Le franchisé Générale des Services a mis en place différentes mesures de sécurité couvrant les domaines suivants :

– Sensibiliser les utilisateurs
– Authentifier les utilisateurs
– Gérer les habilitations
– Tracer l’accès et gérer les incidents
– Sécuriser les postes de travail
– Protéger le réseau informatique
– Sécuriser les serveurs
– Sécuriser les sites Web
– Enregistrer et planifier la continuité des activités
– Archiver en toute sécurité
– Encadrer la maintenance et la destruction des données
– Gérer la sous-traitance
– Garantir la sécurité des échanges avec d’autres organisations
– Protéger les locaux

Brèche de sécurité

Détection d’une brèche de sécurité

Tout événement présentant une menace potentielle pour les données personnelles doit être considéré comme une atteinte à la sécurité. Une menace peut être de différentes natures : perte, modification, corruption ou exposition à des tiers.

Voici quelques exemples d’événements qui doivent être considérés comme une menace :

– Intrusion d’un tiers dans le réseau de l’entreprise
– Infection d’un ou plusieurs appareils par un logiciel malveillant, y compris un virus, un rootkit, …
– Perte d’une clé USB contenant des fichiers contenant des données personnelles.
– Perte d’un PC, d’une tablette ou d’un smartphone contenant ou pouvant accéder à des fichiers contenant des données personnelles.
– Brèche de sécurité dans l’un des Data Center de Xelya

Le franchisé Générale des Services a pris un certain nombre de mesures pour détecter ces événements sans délais.

Évaluation des risques

Lors de l’analyse des risques, le franchisé Générale des Services identifie d’abord les dommages potentiels (dommages physiques, matériels ou moraux) associés à une activité de traitement. Ensuite, nous évaluons la gravité des dommages qui pourraient en résulter. Enfin, le franchisé Générale des Services évalue la probabilité de l’événement en analysant les vulnérabilités de leurs systèmes et opérations ainsi que la nature des menaces. Les risques sont catégorisés par «risque élevé», «risque» et «risque faible».

Notification des brèches de sécurité aux autorités compétentes

Si la brèche de sécurité peut entraîner une menace pour les personnes concernées, telles que, par exemple, vol d’identité, fraude, perte financière ou impact sur l’influence, le franchisé Générale des Services en informera les autorités.

Cette notification doit avoir lieu dans les 72 heures suivant l’identification positive de la menace de sécurité. Si ce délai est dépassé, le délai supplémentaire doit être justifié.

Notification des brèches de sécurité aux personnes concernées

Si le risque pour les personnes concernées est jugé élevé, elles doivent également être informées. En cas de doute sur le degré de risque, les autorités peuvent être contactées pour vérification.
Si la situation nécessite une notification aux personnes concernées, il faut également leur fournir des directives sur la façon d’atténuer le risque.

Définitions

– Responsable de traitement

« Responsable de traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. »

GDPR, Art.4 (7)

– Sous-traitant

« Le sous-traitant est une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

Un employé du responsable de traitement de données n’est pas considéré comme un sous-traitant.

GDPR, Art.4 (8)

– Traitement

« Un traitement désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou altération, récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. »

GDPR, Art.4 (2)

– Données personnelles

« Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable (« personne concernée »), une personne identifiable pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification , les données de localisation, les identifiants en ligne ou un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne. »

Source: GDPR, Rec.26; Art.4 (1)

– Données personnelles sensibles

“ Données personnelles sensibles : données personnelles, révélatrices d’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance à un syndicat, données sur la santé ou la vie sexuelle et l’orientation sexuelle, données génétiques ou données biométriques. sont traitées séparément (le droit pénal ne relevant pas de la compétence législative de l’UE). « 

Source: GDPR, Rec.10, 34, 35, 51; Art.9 (1)

Document de référence

– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 / CE (Règlement général sur la protection des données) http://eur-lex.europa.eu/eli/reg/2016/679/oj

Autorités compétentes en matière de protection de la vie privée

France

Commission Nationale de l’Informatique et des Libertés (CNIL) , 3 Place de Fontenoy, TSA 80715
F-75334 Paris Cedex 07, France, Téléphone +33 1 53 73 22 22

Europe

European Data Protection Supervisor, https://edps.europa.eu