DISPOSITIONS GENERALES

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel. Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Par la suite, et pour implémenter les modifications du RGPD, la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés a fait l’objet d’une modification par la loi n°2018-493 du 20 juin 2018 par l’ordonnance n°2018-1125 du 12 décembre 2018 relatives à la protection des données.

 

La règlementation applicable à la protection des données à caractère personnel s’entend ainsi des textes suivants :

-           le RGPD ;

-           la loi Informatique et libertés à jour des textes précités ;

-           les recommandations de la Cnil.

 

L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

Les personnes concernées auxquels s’adresse la présente politique sont l’ensemble des de Distribution Casino France (ci-après appelés « l’entreprise ») rattachés à ses fournisseurs, qu’ils soient salariés, prestataires ou dirigeants, et dont elle traite les données à caractère personnel à l’occasion des contrats conclus avec lesdits fournisseurs.

 

Aucun traitement n’est mis en œuvre par notre entreprise concernant des données vous concernant s’il ne porte pas sur des données à caractère personnel collectées par ou pour ses services ou traitées en relation avec ses services et s’il ne répond pas aux principes généraux du RGPD.

 

Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des fournisseurs par le biais d’une modification de la présente politique.

 

  1. 1.     OBJET

Pour satisfaire à son bon fonctionnement, notre entreprise est tenue de mettre en œuvre des traitements de données à caractère personnel relatifs aux salariés de ses fournisseurs dans le cadre des relations commerciales et des contrats conclus avec ces derniers.

 

La présente politique a pour objet de satisfaire à notre obligation d’information et de rappeler les droits dont disposent les salariés de nos fournisseurs s’agissant du traitement de leurs données à caractère personnel.

 

  1. 2.    QUALITE DE RESPONSABLE DE TRAITEMENT

Notre entreprise est responsable du traitement, c’est-à-dire la personne ayant déterminé les finalités et les moyens des traitements effectués pour exécuter les contrats avec ses fournisseurs.

 

Notre entreprise peut faire appel à des sous-traitants pour assurer l’exécution de certaines prestations de service (ex : comptabilité). Dans ce cas, le sous-traitant est soumis aux exigences de protection imposées par le RGPD.

 

Pour rappel, le fournisseur est, de son côté, le responsable des traitements qu’il effectue pour gérer ses stocks, gérer les commandes des clients ou encore pour gérer le suivi des paiements, ou de manière générale, pour gérer son activité. À ce titre, le fournisseur doit respecter l’ensemble des exigences du RGPD notamment auprès de ses salariés et de ses sous-traitants.

 

En aucun cas, notre entreprise et le fournisseur ne peuvent être considérés comme étant responsables conjoints au sens du RGPD. Il s’agit uniquement d’une relation de responsable du traitement à responsable du traitement.

 

  1. 3.    BASE LEGALE DES TRAITEMENTS

Les traitements relatifs aux interlocuteurs rattachés à nos fournisseurs ont toujours pour base légale l’exécution des contrats conclus entre notre entreprise et ses fournisseurs, à l’occasion desquels nous sommes susceptibles de traiter les données des interlocuteurs rattachés auxdits fournisseurs.

 

  1. 4.   FINALITES DES TRAITEMENTS

Les cas d’usage des données des salariés de nos fournisseurs sont les suivants : 

 

Finalités

Commentaire

Échanges précontractuels

Nous traitons des données des personnes qui interagissent avec nous lorsque leur structure souhaite devenir un de nos fournisseurs.

Contrat et suivi du contrat

Nous traitons les données de nos interlocuteurs rattachés à nos fournisseurs dans le cadre du suivi des relations contractuelles qui nous lient aux fournisseurs concernés.

Gestion des commandes

Nous sommes amenés à traiter les données des interlocuteurs avec lesquels nous travaillons au quotidien pour assurer la gestion des contrats fournisseurs.

Facturation, paiement et comptabilité

Nous traitons les données de nos interlocuteurs dans le cadre de la facturation et du paiement des commandes effectuées.

Gestion de l’annuaire de nos fournisseurs

Nous tenons à jour un annuaire des principaux fournisseurs avec lesquels nous avons l’habitude de travailler, ce qui implique la mention de nos principaux interlocuteurs auprès de ces derniers.

Sélection de nos fournisseurs

Nous sommes susceptibles de procéder à des vérifications auprès de nos fournisseurs afin de sélectionner ces derniers ou de décider de poursuivre les relations contractuelles avec eux (ex : procédure KYC, Know Your Customer).

Gestion des accès du personnel tiers

Nous traitons les données de nos interlocuteurs accédant à nos locaux afin de sécuriser l’accès à ces derniers (ex : tenue d’un registre, badges d’accès…).

vidéosurveillance du personnel tiers

Certains de nos bâtiments tels que les entrepôts font l’objet d’un dispositif de vidéosurveillance, ce d’où il résulte le traitement des données des tiers susceptibles d’être filmés.

 

 

  1. 5.   CATEGORIES DE DONNEES COLLECTEES ET ORIGINE DES DONNEES 

Les données sont essentiellement collectées directement auprès des interlocuteurs des fournisseurs de notre entreprise.

 

En conséquence, nous ne collectons et n’utilisons que les données nécessaires à l’exécution du contrat, à savoir :

-              l'identité du ou des interlocuteurs en charge d’un dossier (ex : civilité, nom, prénom) ;

-              les coordonnées professionnels du ou des interlocuteurs en charge d’un dossier (ex : email professionnel, adresse postale professionnelle, numéro de téléphone professionnel fixe ou mobile, numéro fax) ;

-              les informations professionnelles du ou des interlocuteurs en charge d’un dossier (ex : poste, grade, fonction);

-              les images du ou des interlocuteurs en charge d’un dossier (ex : dans le cas d’un accès à nos locaux).

 

  1. 6.    DESTINATAIRES DES DONNEES

Nous veillons à ce que les données collectées et traitées dans le cadre des contrats conclus avec nos fournisseurs ne soient accessibles qu’à des destinataires internes et externes habilités, et notamment, aux destinataires suivants :

 

-              le personnel des services compétents habilités à gérer la relation avec nos fournisseurs dans le cadre de l’exécution des contrats en cours et leurs responsables hiérarchiques ;

-              le personnel des services supports, soit les services administratifs, les services logistiques et informatiques et leurs responsables hiérarchiques ;

-              les autorités compétentes au  cas où nous serions tenus de partager certaines données à des auxiliaires de justice, à la police ou encore à des officiers ministériels ;

-              en cas de visite des locaux de Distribution Casino France, le personnel de l’accueil, qui collecte les données des visiteurs dans un registre.

 

S’agissant des destinataires internes, nous décidons quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation et nous assurons qu’ils sont soumis à une obligation de confidentialité.

 

S’agissant des destinataires externes, nous vous informons que les données à caractère personnel des fournisseurs pourront ainsi être communiquées à certains de nos prestataires (comptabilité fournisseurs externalisée, recouvrement de créances, etc.) ou à toute autorité légalement habilitée à en connaître (autorités fiscales et sociales notamment). Dans ce cas, Distribution Casino France n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

 

  1. 7.    DUREES DE CONSERVATION

Nous définissons la durée de conservation des données de nos interlocuteurs auprès de nos fournisseurs au regard des contraintes légales et contractuelles qui pèsent sur nous et à défaut en fonction de nos besoins et notamment selon les principes suivants :

 

Traitement

Durée de conservation

Données relatives à l’exécution des commandes et au suivi des relations contractuelles

Pendant toute la durée du contrat prolongée de la durée contractuelle de garanties ainsi que de la durée légale de prescription en cas de litige.

Images de caméras de vidéoprotection

Pendant une durée d’un mois maximum.

Accès aux bâtiments

Pendant une durée d’un mois maximum.

 

L’ensemble des durées indiquées sont nécessairement prolongées pour la durée légale de prescription, à titre de preuve en cas de litige. Dans cette dernière hypothèse, la durée de conservation est rallongée pour toute la durée du litige.

Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.

Il est rappelé que la suppression ou l’anonymisation sont des opérations irréversibles et que Distribution Casino France n’est plus, par la suite, en mesure de les restaurer.

 

  1. 8.    GESTION DES DROITS DES PERSONNES

 

8.1   DROIT D’ACCES  ET DROIT DE COPIE

Nos fournisseurs disposent du droit de nous demander si nous traitons effectivement des données concernant leurs membres (personnel, dirigeant, etc.) dans le cadre des contrats conclus avec ces derniers.

 

Nos fournisseurs peuvent également nous demander que leur soit fournie une copie des données de leurs membres faisant l’objet d’un traitement.

 

Toutefois, en cas de demande de copies supplémentaires, nous pouvons exiger que nos fournisseurs prennent en charge le coût que représenterait cette nouvelle copie.

 

Si les demandes de nos fournisseurs sont effectuées par voie électronique, les informations demandées seront fournies sous une forme électronique d’usage courante, sauf demande contraire.

 

Nos fournisseurs sont informés que ce droit d’accès ne peut pas porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

 

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser la bonne exécution de nos services.

 

8.2 DROIT DE RECTIFICATION

Nos fournisseurs disposent du droit de nous demander de rectifier certaines données concernant leurs membres qui seraient obsolètes ou erronées.

 

8.3 DROIT A L’EFFACEMENT

Nos fournisseurs ne peuvent invoquer le droit à l’effacement s’agissant des données de leurs membres que dans les cas suivants :

-           le contrat a été résilié et n’a plus d’effet entre Distribution Casino France et ses fournisseurs ;

-           les membres dont les données sont traitées ne font plus partie des effectifs d’un de nos fournisseurs et souhaitent en conséquence être supprimés de notre base de données fournisseurs.

 

8.4 DROIT A LA LIMITATION

Nos fournisseurs sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où le traitement que nous mettons en œuvre est licite et que les données à caractère personnel de leurs membres que nous traitons sont nécessaires à l’exécution du contrat conclu avec nos  fournisseurs. 

  

8.5 DROIT A LA PORTABILITE

Nos fournisseurs sont informés que ce droit n’a pas vocation à s’appliquer dans la mesure où les conditions requises par la règlementation applicable ne sont pas remplies s’agissant du traitement que nous faisons des données à caractère personnel de leurs membres.  

 

8.6 EXERCICE DES DROITS DE NOS INTERLOCUTEURS

Pour pouvoir exercer leurs droits, nos fournisseurs doivent nous contacter soit par écrit soit par voie postale soit par email aux adresses suivantes :

Distribution Casino France

Site internet 1000pro.fr – Casino proximités

1 cours Antoine Guichard – BP 306 – 42008 Saint Etienne Cedex 2

 

Nous faisons notre possible pour répondre aux demandes dans un délai raisonnable et, au mieux, dans un délai d’un mois à compter de la réception de la demande.

Toutefois, dans le cas où le traitement des demandes s’avèrerait complexe ou que nous ferions face à un nombre élevé de demandes d’exercice de droits simultanément, le délai du traitement pourrait être porté à deux mois.

 

  1. 9.    SOUS-TRAITANCE

Nous sommes susceptibles de faire intervenir tout sous-traitant de notre choix dans le cadre du traitement des données à caractère personnel de nos interlocuteurs auprès de nos fournisseurs.

Dans ce cas, nous nous assurons du respect par le sous-traitant de ses obligations en vertu du RGPD.

Nous nous engageons à signer avec tous nos sous-traitants un contrat écrit et leur imposons les mêmes obligations en matière de protection des données que celles que nous nous imposons. De plus, nous nous réservons le droit de procéder à un audit auprès de nos sous-traitants afin de nous assurer de leur respect des dispositions du RGPD.

 

  1. 10.  SECURITE

Nous mettons en œuvre les mesures techniques de sécurité physique ou logique que nous estimons appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

 

Parmi ces mesures figurent principalement :

-           gestion des habilitations pour l’accès aux données ;

-           mesures de sauvegarde interne ;

-           processus d’identification ;

-           conduite d’audits de sécurité et de tests de pénétration ;

-           l’adoption d’une politique de sécurité des systèmes d’information ;

-           l’adoption de plans de continuité / de reprise d’activité ;

-           l’utilisation d’un protocole ou de solutions de sécurité.

 

  1. 11.    VIOLATION DE DONNEES

Nous nous engageons à notifier à la Cnil toute violation de données que nous pourrions subir dans les conditions prescrites par la règlementation en matière de données à caractère personnel.

Nos interlocuteurs auprès de nos fournisseurs sont informés de toute violation de données qui pourrait porter un risque élevé pour leur vie privée.

 

  1. 12.  DELEGUE A LA PROTECTION DES DONNEES

Nous avons désigné un délégué à la protection des données qu’il est possible de contacter aux coordonnées suivantes  pour toutes questions relatives au traitement des données : Informatique-et-libertes@groupe-casino.fr.

 

  1. 13.  REGISTRE DES TRAITEMENTS

Nous nous engageons, en note qualité de responsable du traitement, à tenir à jour un registre de toutes les activités de traitement effectuées.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par la société Distribution Casino France en tant que responsable du traitement.

Nous nous engageons à fournir à la Cnil, à première demande, les renseignements lui permettant de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

 

14. DROIT D’INTRODUIRE UNE RECLAMATION AUPRES DE LA CNIL

Nos interlocuteurs auprès de nos fournisseurs disposent d’un droit d’introduire une plainte auprès d'une autorité de contrôle, à savoir la Cnil en France, dès lors qu’ils estiment que le traitement de données à caractère personnel les concernant n'est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes

3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Tél : 01 53 73 22 22

 

 

  1. 15.  ÉVOLUTION

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.

 

Toute nouvelle version de la présente politique sera portée à la connaissance de nos interlocuteurs auprès de nos fournisseurs par tout moyen en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

 

  1. 16.  POUR PLUS D'INFORMATIONS

Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la Cnil www.cnil.fr.