Politique de confidentialité et de protection des données personnelles
La présente politique de protection des données à caractère personnel a pour objectif de vous informer sur les engagements et mesures pratiques pris par le groupe Abilways (EFE, CFPJ, ISM, ACP FORMATION, PYRAMYD, IDCC, IFE Luxembourg, IFE Belgique, ABILWAYS DIGITAL, ABILWAYS LS, Abilways SA) afin de veiller au respect de vos données à caractère personnel, conformément aux législations nationales (française, belge, luxembourgeoise) applicables et européenne (RGPD).
La présente politique pourra être modifiée en fonction des évolutions légales et réglementaires ainsi qu’au regard de la doctrine de la CNIL pour la France, de l’Autorité de protection des données pour la Belgique et de la CNPD pour le Luxembourg. Toute mise à jour sera consultable sur cette même page.
Le groupe Abilways est responsable du traitement de vos données personnelles et en tant que partenaire de confiance, nous voulons que nos clients soient assurés que nous mettons tout en œuvre pour assurer la protection de leurs données personnelles et le respect de leurs droits.
Nous nous sommes engagés dans un programme de conformité RGPD. Tous les processus et pratiques du groupe sont en permanence analysés pour améliorer la protection des données personnelles. Tous les collaborateurs du groupe sont formés pour intégrer leurs nouvelles responsabilités liées au RGPD et les personnes qui ont vocation à traiter des données à caractère personnel ont signé un engagement de confidentialité.
Données collectées et durée de conservation
Le groupe Abilways veille à ne collecter que les données à caractère personnel strictement nécessaires à la finalité des traitements mis en œuvre (notamment vos nom, prénom, civilité, adresse, téléphone, emails professionnels ou personnels, société, fonction), des informations d’utilisateur et de compte comprenant vos mots de passe et identifiants si vous utilisez nos applications et outils digitaux, ainsi que les informations de paiement, certifications et habilitations obtenues, réclamations, historiques d’échange et de commande.
Le groupe Abilways ne conserve vos données à caractère personnel, sur ses bases actives, que pour la durée nécessaire aux opérations pour lesquelles elles ont été collectées ainsi que dans le respect de la législation en vigueur.
Ainsi vos données sont conservées pendant une durée de trois ans à compter de leur collecte ou du dernier contact ou de la fin de la relation commerciale.
Elles sont ensuite archivées dans le respect de la législation en vigueur et pour la durée nécessaire, lorsqu’elles présentent un intérêt administratif, notamment pour l’établissement de la preuve d’un droit ou d’un contrat (dix ans), ou au titre d’une obligation légale, ou pour l’exécution des missions qui relèvent du ministère du Travail, de l’Emploi et de la Formation professionnelle (pas de limitation de durée quant à la preuve de l’obtention des diplômes ou formations certifiantes obtenus).
L’accès à ces archives est restreint et sécurisé : toute consultation des données archivées est tracée.
Les autres données sont définitivement détruites ou anonymisées.
Protection de vos données personnelles
Des mesures de sécurité techniques et organisationnelles sont par ailleurs mises en œuvre afin d’assurer la sécurité et la confidentialité de vos données à caractère personnel et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (cf notre annexe sur les mesures techniques et organisationnelles mises en place).
Pourquoi et comment nous utilisons ou traitons vos données personnelles ?
Ces traitements répondent à une finalité explicite, légitime et déterminée, qu’elle soit contractuelle, commerciale, légale, fiscale, comptable.
Vos données personnelles sont enregistrées dans un fichier informatisé et sont utilisées aux fins suivantes :
- Pour gérer votre inscription et assurer le suivi de votre formation
- Pour vous permettre d’accéder à toutes les modalités distancielles de nos formations et (quizz amont/aval, modules e-learning, vidés, communautés d’apprenants, exercices d’intersession, classes virtuelles post-formation, documentation pédagogique dématérialisée, e-évaluation…) et aux outils digitaux interactifs
- Pour répondre à nos obligations vis-à-vis des instances du ministère du Travail, de l’Emploi et de la Formation professionnelle
- Pour gérer vos achats ou abonnements (ouvrages, revues, vidéos, formations)
- Pour effectuer toute opération relative à la gestion de nos relations commerciales : contrats, commandes, abonnement, livraisons, facturation, comptabilité, gestion de votre compte client, suivi de la relation client, gestion des réclamations, impayés
- Pour fournir les services que vous sollicitez et vous donner accès à nos différents produits (blogs, newsletters, livres blancs, vidéos…)
- Pour vous fournir des informations sur nos produits, services, évènements et à d’autres fins promotionnelles
- Pour la gestion des demandes de droit d’accès, de rectification, d’opposition et de portabilité.
- Pour protéger nos droits, propriété et sécurité. Vos données peuvent être utilisées pour prévenir ou détecter des fraudes, utilisations illicites, violation de nos conditions d’utilisation ou pour se conformer à des décisions de justice ou à la loi.
- Pour faire fonctionner, améliorer, maintenir nos activités, produits et services, pour améliorer votre expérience utilisateur, pour nous permettre de détecter des problèmes techniques ou de service, pour administrer nos sites et applications et élaborer des statistiques commerciales
Si vous êtes actuellement un client du groupe Abilways (EFE, CFPJ, ISM, ACP FORMATION, PYRAMYD, IDCC, IFE Luxembourg, IFE Belgique, ABILWAYS DIGITAL, ABILWAYS LS, Abilways SA) nous pouvons utiliser vos coordonnées mail ou postales pour vous adresser des communications marketing à propos de produits ou services similaires, en lien avec vos centres d’intérêt, à moins que vous les ayez refusées.
Qui a accès à vos données personnelles ?
Seuls ont accès aux données à caractère personnel, dans la limite de leurs attributions respectives, les services du groupe Abilways et les prestataires habilités à traiter vos données, uniquement pour le compte du groupe Abilways.
- le groupe Abilways pour les finalités précisées ci-dessus
- les prestataires de services avec lesquels nous travaillons pour la gestion et le suivi de vos formations, commandes et abonnements, ainsi que pour l’exécution de certains services (pour les finalités précédemment mentionnées et dans la limite des tâches qui leur sont confiées). Nous exigeons de manière stricte de nos prestataires de services qu’ils utilisent vos données personnelles uniquement pour gérer les services que nous leur demandons de fournir et qu’ils agissent toujours en conformité avec les lois applicables en matière de protection des données personnelles et de veiller à la confidentialité et à la sécurité de ces données.
Sur nos sites, vos informations de paiement sont gérées avec l’aide de notre partenaire OGONE (conforme aux règles Payment Card Industry). Cette norme est un standard de sécurité international pour assurer la confidentialité, la protection et l’intégrité des données des porteurs de cartes et sécuriser les transactions
Les instances placées sous l’autorité du ministère du Travail, de l’Emploi et de la Formation professionnelle peuvent également avoir accès à vos données pour l’exécution des missions qui relèvent de nos obligations vis-à-vis d’elles.
Dans le cadre d’une loi ou d’une disposition réglementaire en vigueur, d’une ordonnance judiciaire ou d’une réglementation gouvernementale, ou si cette divulgation est nécessaire dans le cadre d’une enquête ou d’une procédure judiciaire, vos données personnelles peuvent également être communiquées.
Où sont stockées vos données personnelles ?
Vos données personnelles sont stockées soit dans nos bases de données, soit dans celles de nos prestataires, lesquels sont situés au sein de l’Union européenne. Nous mettons en œuvre toutes les mesures appropriées pour empêcher, dans la mesure du possible, toute altération ou perte de vos données ou tout accès non autorisé à celles-ci.
Transfert de données vers des pays tiers
Il existe un flux de données entre le groupe Abilways et un prestataire établi à l’Ile Maurice à des fins de mise à jour de la Base de données des clients du groupe (catégorie, nom, prénom, adresse, email, téléphone).
Afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors de ce flux de données, comme l'exige l'article 26, paragraphe 2, de la directive 95/46/CE, le groupe Abilways a régularisé des clauses contractuelles types avec ce prestataire.
Vos droits concernant vos données personnelles
Conformément à la réglementation française, belge, luxembourgeoise et européenne relative à la protection des données à caractère personnel, vous disposez sur ces informations d'un droit d'accès, de rectification si elles sont inexactes, incomplètes, équivoques ou périmées, de limitation du traitement et d’effacement, d'un droit d'opposition à leur enregistrement pour des motifs légitimes et du droit à la portabilité de vos données. Vous disposez également du droit de définir des directives relatives au sort de vos données après votre décès.
Vous pouvez exercer ces droits par courrier électronique à cette adresse correctionbdd@abilways.com ou par courrier postal à l'adresse suivante : Groupe Abilways Data Protection Officer 18-24 rue Tiphaine 75015 Paris France.
A réception, votre demande sera alors traitée dans un délai d’un mois, sauf difficulté particulière.
Informations complémentaires
Si vous souhaitez de plus amples informations ou introduire une réclamation
France : CNIL - 3 place de Fontenay, 75007 Paris – tél. 01 53 73 22 22
Belgique : Autorité de protection des données - rue de la Presse, 35 – 1000 Bruxelles – tél. +33 2 274 48 00
Luxembourg : CNPD - 1 avenue du Rock’nRoll, L-4361 Esch-sur-Alzette
Annexe 1 : MTO (Mesures techniques et organisationnelles)
Annexe MTO à la Convention relative au traitement des Données personnelles (selon l'Article 28 Paragraphe 3, point c, et l'Article 32 RGPD UE)
1. Contrôle d'accès aux locaux et aux installations où les données sont traitées
L'accès physique non autorisé aux locaux est strictement interdit.
Les Mesures de sécurité suivantes, conformes à l'état de l'art permettant de contrôler l'accès aux locaux et aux installations ont été mises en place :
- Système de contrôle d'accès par lecteur d'identifiant et carte magnétique)
- Verrouillage des portes (ouverture électrique des portes)
- Personnel de sécurité, vigiles.
- Installations de surveillance (système d'alarme, vidéo/CCTV)
- Connexion d'accès au centre de données.
- Revue régulière des autorisations permanentes d'accès. Tenue d’un registre d’intervention.
2. Contrôle d'accès aux systèmes
L'accès non autorisé aux systèmes informatiques est strictement contrôlé.
Les mesures techniques (sécurité des identifiants/mots de passe) et d'identification et d'authentification de l'utilisateur ont été mises en place :
- Procédures de mot de passe (y compris les caractères spéciaux, la longueur minimale, le changement régulier de mot de passe)
- Blocage automatique (mot de passe bloqué après plusieurs tentatives infructueuses)
- Cryptage des supports de données
- Tests de pénétration extérieure afin de vérifier de façon régulière la sécurité des traitements et des données
- Gestion de la réponse aux incidents
3. Contrôle d'accès aux données
Les activités des systèmes informatiques non couvertes par les droits d'accès attribués ne sont pas autorisées.
Les mesures suivantes qui ont été mises en place répondent aux exigences du mécanisme d'autorisation et des droits d'accès d’une part, du contrôle et de l’enregistrement des accès d’autres part :
- Droits d'accès différenciés (profils, rôles, transactions et objets)
- Rapports de connexion et droits d’accès
- Procédure de création, de modification et de suppression des utilisateurs
- Unicité du couple compte/identifiant d'utilisateur
4. Contrôle de divulgation
Les aspects de la divulgation des données à caractère personnel sont contrôlés afin d’empêcher la perte, l'altération ou la divulgation non autorisée.
Les mesures de transport, transmission et communication ou stockage des données sur les supports de données (manuels ou électroniques) ont été mises en place :
- Cryptage/canalisation (VPN=Virtual Private Network)
- Signature électronique
- Connexions sécurisées (https)
- Sécurité du transport (sftp)
5. Contrôle de la saisie
La documentation complète de la gestion et de la maintenance des données est conservée.
Les mesures de vérification ultérieure de la saisie, de la modification ou de l'enlèvement (suppression) des données, et de la personne y ayant procédé ont été mises en place :
- Systèmes de connexion et de reporting
6. Contrôle des activités
Le traitement des données sous-traitées est effectué conformément aux instructions. Aucun traitement de données par des tiers selon l'Article 28 RGPD n’est réalisé sans les instructions correspondantes du responsable de traitement.
Les mesures (techniques/organisationnelles) en vue de séparer les responsabilités entre le Responsable de traitement et le Sous-traitant ont été mises en place :
- Rédaction claire du contrat relatif au traitement (matrice de responsabilité RACI)
- Contrat écrit
- Critères de sélection du sous-traitant
- Contrôle de l'exécution du contrat
- Vérifications (audit) de suivi de surveillance
7. Contrôle de disponibilité
Les données sont protégées contre la destruction ou la perte accidentelle.
Les mesures suivantes (physiques/logiques) visant à assurer la sécurité des données ont été mises en place :
- Procédures de sauvegarde/résilience des systèmes informatiques
- Vérification continue de l’intégrité du système informatique
- Miroitage des disques durs par la technologie RAID
- Maintien permanent de l'alimentation électrique (UPS)
- Stockage des sauvegardes à distance (Remote backup)
- Systèmes de pare-feu/antivirus
- Plan de reprise d'urgence (Mise en place d’un Plan de reprise d’activité, PRA).
8. Contrôle d'isolation
Le traitement isolé des Données collectées à différentes fins a été mis en place :
- Support client multiple
- Bacs à sable
- Anonymisation des environnements dupliqués
9. Contrôle de séparation
Les données collectées à des fins différentes sont traitées séparément.
Les mesures permettant le traitement séparé (stockage, modification, suppression, transmission) de données à différentes fins ont été mises en place :
- Gestion de la mise en place du « client interne »
- Limitation des droits d’utilisation
- Séparation des fonctions (production/test)
10. Documents et/ou certificats correspondants
Les documents et/ou certificats correspondants qui peuvent prouver ou expliquer les mesures mises en œuvre sont mis à disposition des partenaires, à l’exception des documents pouvant compromettre le système de sécurité du Groupe ABILWAYS.