Data Protection Policy

Politique de protection des données à caractère personnel

1 - Nos engagements en matière de RGPD

1.1 – Mise en conformité

LSTI collecte des données personnelles dans le respect des règles édictées d’une part par les normes internationales liées à la certification de conformité notamment la norme ISO/IEC 17024 – « Exigences générales pour les organismes de certification procédant à la certification de personnes », les règles édictées par l’ANSSI pour l’évaluation des auditeurs PASSI, analystes PRIS et autres experts et les exigences du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Par la présente politique, nous souhaitons présenter dans un format concis, clair, transparent et facilement accessible, les traitements de données à caractère personnel que nous réalisons dans le cadre de nos prestations.

La stratégie de protection des données à caractère personnel de LSTI est intégrée et alignée à celle du Groupe auquel elle est affiliée : Apave. Cette stratégie repose sur l’audit du système de management de la protection de la vie privée mené et les exigences imposées par la Direction des Systèmes d’Information (DSI). Cette stratégie a pour objectif de garantir une conformité du Groupe aux lois sur la protection des données dans le monde entier et d’intégrer une culture de la sécurité conforme à nos valeurs de maîtrise des risques.

Par conséquent, les principes généraux de nos actions reposent sur le Système de management de la protection de la vie privée, organisé en 14 domaines clés :

  • La gouvernance ;
  • La sensibilisation et la formation
  • La cartographie des données
  • Le partage, le transfert et la divulgation
  • La licéité des traitements
  • L’information et le droit des personnes concernées
  • Le privacy by design et by default
  • L’accountability
  • La gestion des violations de données et la réponse aux incidents
  • Le legal
  • Les mesures techniques et organisationnelles de sécurité
  • La gestion des audits et des contrôles de conformité
  • La relation et le contrôle avec les autorités
  • La continuité et l’amélioration

1.2 – Quelques définitions

Données personnelles

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne physique peut-être identifiée directement (via son nom, prénom) ou indirectement (via son identifiant).

Traitement des données personnelles

Un traitement de données personnelles est « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement) ». Le traitement peut être informatisé ou papier.

Délégué(e) à la protection des données

Le ou la délégué(e) à la protection des données (ci-après « DPD » ou « DPO ») est « chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme ».

LSTI a désigné une déléguée à la protection des données à caractère personnel dont les coordonnées sont les suivantes :

  • Email : dpo@apave.com
  • Par voie postale : 6 Rue du général Audran, 92400 Courbevoie, France

2 - Notre conformité au RGPD

2.1 – Gouvernance

Le système de management de la protection de la vie privée de LSTI est supervisé par la DPO rattachée au Secrétariat Général du Groupe Apave.

La DPO coordonne la mise en conformité dans chaque entité du Groupe avec l’aide des Correspondants DPO pour chaque entité légale et délégataires de Apave. Les Correspondants DPO sont nommés par chaque Directeurs Généraux et participent activement à la mise en conformité de leur entité de rattachement grâce au Système de Management de la Protection de la Vie Privée et au suivi des plans d’actions. Les Correspondants DPO assurent la liaison avec le DPO du groupe pour garantir l’alignement stratégique et l’efficacité de la mise en conformité mondiale de protection des données et de la vie privée.

2.2 – Plan de sensibilisation et de formation

La sensibilisation et la formation de l’ensemble des collaborateurs de LSTI est pilotée au niveau du Groupe Apave et est un élément clé du Système de Management de la Protection de la Vie Privée. Chaque année, un plan de sensibilisation et de formation est élaboré autour de ces objectifs

  • Amélioration des connaissances pour réduire les risques et appliquer les bonnes pratiques
  • Elaboration d’une culture de la sécurité
  • Respect des obligations de conformité à la protection des données à caractère personnel

A cet effet, divers moyens de communication sont employés afin d’avoir un réel impact multi-canal : formations e-learning à destination des collaborateurs et des dirigeants, campagnes de simulation d’hameçonnage, communication intranet, sensibilisation en groupe restreint, etc.

Ces communications qui peuvent avoir une portée nationale ou internationale, viennent souligner les risques possibles pour le Système d’Information de LSTI. Elles permettent aussi d’informer sur les solutions pour remédier à ces risques en cas d’incident, mais surtout sur les méthodologies simples à appliquer pour assurer une protection des données à caractère personnel.

3

3.1 – Nature des traitements

Les traitements de données personnelles que nous réalisons englobent un large éventail d’opérations, notamment : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, l’utilisation, la limitation, l’effacement ou la destruction.

Les personnes concernées par ces traitements sont les Clients, leurs collaborateurs et les Clients de nos Clients.

Nous nous engageons à ne collecter et utiliser que les données personnelles strictement nécessaires et pertinentes au regard des finalités de nos traitements. Nous mettons en place des procédures de contrôle pour nous assurer de cela et nous adaptons régulièrement nos services pour minimiser la collecte de données.

3.2 – Finalités et bases

juridiques des traitements
Chaque traitement de données personnelles que nous mettons en œuvre repose sur une finalité précise, légitime et explicite, ainsi que sur une base juridique conforme à la réglementation en vigueur (RGPD).

Nous collectons des données personnelles directement auprès de vous, de votre employeur ou d’une personne dûment autorisée, pour les finalités suivantes :

  • Exécution du contrat ou des conditions générales : suivi du contrat de certification, préparation et réalisation des formations certifiantes, évaluation, contrôle qualité, bilan de la certification, communication des observations, délivrance de l’attestation de certification.
  • Obligations légales et réglementaires : respect des obligations légales et réglementaires auxquelles nous sommes soumis.
  • Consentement : réalisation de finalités spécifiques après avoir obtenu votre consentement explicite et positif.
  • Intérêts légitimes : personnalisation de nos offres en fonction de vos besoins, sécurité de notre système d’information.

3.3 – Détail des traitements et données collectées

Nous nous engageons à ne collecter et utiliser que les données personnelles strictement nécessaires à la gestion administrative, à l’organisation et à la réalisation de la certification.

a) Traitement des données relatives à l’inscription à un examen :

Nous conservons les données personnelles, pour la durée de la validité de la certification (3 ans),

  • Sur notre site internet : les candidats consentent à nous fournir les données personnelles suivantes : nom, prénom, adresse e-mail, numéro de téléphone, informations partagées volontairement, cookies, données d’ordre économiques et financières.
  • Par le biais d’un organisme de formation : nous collectons les données suivantes : nom, prénom, adresse e-mail du candidat, fonction, signature, temps supplémentaire requis pour le passage de l’examen, historique des certifications déjà obtenues.
  • Par le biais de l’entreprise du candidat (évaluation des compétences sur les référentiels ANSSI) : l’entreprise nous transmet le nom, prénom, date et lieu de naissance, CV, diplômes, ainsi que l’attestation employeur. Les candidats renseignent également leur signature, ainsi que leur adresse email.
  • Par le biais de l’entreprise du candidat (certification des compétences) : nous collectons les données suivantes : nom, prénom, adresse e-mail du candidat, fonction, signature, temps supplémentaire requis pour le passage de l’examen, historique des certifications déjà obtenues.


b) Traitement des données relatives au passage de l’examen :

Nous conservons les données personnelles, pour la durée de la validité de la certification (3 ans),

  • Vérification d’identité : nous consultons les documents d’identité que les candidats présentent pour vérifier leur identité avant l’examen. Les données sont consultées par nos évaluateurs externes ou internes.
  • Examens en ligne : nous collectons le nom, prénom, données de connexion, images et vidéos de télésurveillance, ainsi que l’évaluation du candidat via notre outil Tixeo.
  • Examens en présentiel : nous collectons le nom, prénom et l’évaluation du candidat.
  • Délivrance de la certification : nous utilisons les données personnelles générées à la suite de la certification : date de délivrance du certificat, évaluation, certification. L’identité du candidat certifié peut être publiée sur le site internet LSTI en vertu d’une obligation COFRAC.

c) Le traitement de données pour gérer la relation client et la gestion des affaires

Nous conservons les données personnelles pour la durée du contrat, ainsi que 2 ans à compter de la fin du contrat.

Nous utilisons vos données de contact (nom, prénom, coordonnées professionnelles, fonctions), pour assurer le suivi et la gestion du contrat et des prestations qui y sont liées. Cela nous permet également de planifier les interventions et de préparer les éléments de reporting, le cas échéant.

Nous stockons également vos consentements à recevoir des informations (par exemple pour l’actualité à laquelle vous vous abonnez), ainsi que vos retraits de consentement aux traitements et opposition pour les actions de prospection commerciale.

d) Recrutement externe

Dans le cadre de notre processus de recrutement externe via notre site internet, nous collectons et traitons les données personnelles que vous nous fournissez volontairement. Ces données incluent :

  • Données d’identification : Nom, prénom, adresse électronique, numéro de téléphone, etc.
  • Données relatives à votre vie professionnelle : Curriculum vitae, lettre de motivation, diplômes, expériences professionnelles, compétences, etc.

La collecte de ces informations est nécessaire pour évaluer votre candidature et vous proposer des offres d’emploi correspondant à votre profil. Nous conservons vos données personnelles pendant une durée de deux ans à compter de votre candidature, afin de pouvoir vous recontacter pour d’éventuelles opportunités. Au terme de cette période, vos données seront supprimées, sauf si vous nous autorisez à les conserver pour une durée supplémentaire.

3.4 – Destinataires des données personnelles

Les données personnelles que nous collectons sont destinées aux services internes de LSTI en charge de la réalisation des prestations. Nous veillons à ce que seules les personnes habilitées, dans le cadre de leurs fonctions, aient accès aux données, de manière temporaire ou permanente.

Nous pouvons être amenés à partager des données personnelles pour respecter des obligations légales, réglementaires ou administratives, ou pour détecter, prévenir ou traiter des activités frauduleuses, des atteintes à la sécurité ou des problèmes techniques.

Les collaborateurs de LSTI autorisés à accéder aux données personnelles sont soumis à une obligation de confidentialité, notamment par le biais de leur contrat de travail, de la Charte Informatique et du règlement intérieur.

Nous transmettons également des données à des tiers de confiance qui les traitent pour notre compte, selon nos instructions, conformément au RGPD et dans le respect de toute mesure de sécurité et de confidentialité appropriée. Nous faisons notamment appel à :

  • des fournisseurs de services pour assurer la sauvegarde et l’hébergement des données ;
  • des évaluateurs externes habilités par LSTI ;
  • des prestataires de services pour assurer le passage des examens en ligne ;

La liste à jour des destinataires est disponible sur demande.

3.5 Transferts des données hors de l’UE

L’ensemble des données personnelles traitées par LSTI et ses sous-traitants sont hébergées en France ou dans l’Union Européenne. En fonction des prestations et de la localisation du client, des données peuvent être transmises en dehors de l’Union Européenne.

Dans l’éventualité selon laquelle LSTI est tenue de procéder à un transfert de données personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle informera le Client ou la personne concernée de cette obligation juridique avant chaque transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

3.6 Privacy by design and by default

La méthodologie de projet du Groupe Apave inclut dans ces processus une première analyse sommaire des impacts relatifs à la protection des données pour tout nouveau projet. Cette première étape permet d’assurer notre responsabilité. En cohérence avec la notion d’accountability présentée par le RGPD, le Groupe Apave s’engage, au- delà de sa mise en conformité, à être en capacité de prouver cette conformité ainsi que la mise en œuvre des processus nécessaires à la maîtrise des données personnelles. Cela passe par l’application de deux principes clés :

  • La protection des données dès la conception du projet (privacy by design)
  • La protection des données prises en compte par défaut (privacy by default)

Le cas échéant, une analyse d’impact relative à la protection des données (AIPD) est réalisée de façon plus poussée. Cette analyse permettra de construire un traitement conforme au RGPD et respectueux de la vie privée. Le recours à ce type d’analyse de risques se fait uniquement lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits de vos données ainsi que pour les libertés des personnes concernées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

4 - Les droits des personnes concernées

Les personnes concernées par le traitement de leurs données personnelles réalisé par LSTI disposent de droits afin de garder la maîtrise de leurs données. A ce titre, nous nous engageons à respecter :

  • Un droit à l’information du traitement des données de façon claire, loyale et transparente ;
  • Un droit d’accès aux données transmises : la personne concernée peut obtenir de la part de LSTI, la confirmation que ses données sont traitées ou non, les finalités du traitement, le destinataire des données, le transfert éventuel de celles-ci ainsi qu’une copie desdites données
  • Un droit de rectification des données inexactes ou incomplètes : la personne concernée peut obtenir de notre part la rectification de ses données si celles-ci s’avèrent être erronées ou inexactes ;
  • Un droit d’opposition à certains traitements notamment ceux ayant pour finalité la prospection commerciale ;
  • Un droit de retrait du consentement à un traitement de données, sans que les effets de ce retrait soient rétroactifs ;
  • Un droit d’effacement des données faisant l’objet d’un traitement illicite : la personne concernée dispose d’un droit à l’oubli, seulement lorsque le traitement de ses données ne concerne pas l’exécution du contrat et que ledit contrat a été résilié;
  • Un droit à la portabilité permettant de recevoir dans un format utilisable les données fournies afin de les transmettre à un autre prestataire. La portabilité des données ne s’exerce que sur les données concernant la personne, sur les données transmises directement, et uniquement si le traitement est fondé sur le consentement ou le contrat ;
  • Un droit à la limitation du traitement ;
  • Un droit de donner des directives relatives à la conservation, à l’effacement et à la communication des données après décès.

Pour exercer ses droits, il suffit de contacter notre DPO :

  • Par le biais du formulaire suivant ;
  • À l’adresse : dpo@apave.com,
  • ou par courrier à l’attention de la DPO à l’adresse suivante : APAVE, 6 Rue du Général Audran, 92400 Courbevoie.

Il existe également la possibilité d’introduire une réclamation auprès d’une Autorité de contrôle de la Protection des Données, en France, il s’agit de la CNIL.

5 - Les mesures de sécurités techniques et organisationnelles

Nous mettons en place les mesures de sécurités organisationnelles et techniques nécessaires et appropriées contre tout accès, toute modification, divulgation ou destruction non autorisée des données que nous stockons. La Politique de Sécurité du Système d’Information (PSI) peut être transmise pour obtenir plus de détails sur ces mesures. La PSI a pour objectif de définir les fondamentaux de la sécurité de l’Information du groupe Apave, afin de préserver la confidentialité, l’intégrité et la disponibilité du patrimoine Informationnel (données personnelles, données de nos clients & partenaires, données opérationnelles et stratégiques etc..), avec pour constante motivation le maintien d’un service de qualité et sécurisé auprès de nos clients.

Ces mesures sont notamment les suivantes :

  • Nous ne collectons que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées.
  • S’agissant des collaborateurs, sous-traitants, prestataires et interlocuteurs de LSTI qui ont besoin d’accéder aux données à caractère personnel, pour exercer leurs rôles, fonctions et responsabilités
    • Ils y sont habilités et ont un accès qui leur est strictement réservé ;
    • Ils sont sensibilisés et/ou formés, selon leurs rôles, fonctions et responsabilités ;
    • Ils ont signé un engagement de confidentialité et ont été informés des risques et sanctions en cas de manquement à cette obligation.
  • Nous chiffrons les données lorsque cela est nécessaire

En cas de violation des données personnelles de la personne concernée, susceptible d’engendrer un risque pour ses droits et libertés, notre DPO notifie la violation à la CNIL dans les meilleurs délais, et, si possible 72 heures au plus tard après en avoir pris connaissance. LSTI informera également la personne concernée, dans les meilleurs délais, conformément aux dispositions de l’article 34 du RGPD.

Gardons contact
Linkedin Envelope
Scroll to top