Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

GRC International Group PLC - Politique de confidentialité

v1.2 2019-06-11

Contents


1. Introduction

Nous apprécions la confiance que vous nous portez en partageant avec nous vos données à caractère personnel. La sécurité de ces données est essentielle à nos yeux. Dans ce document, nous expliquons comment nous collectons, utilisons et protégeons vos données à caractère personnel. 

Nous expliquons quels sont vos droits à l'égard de vos données à caractère personnel et comment vous pouvez les exercer.


2. Qui sommes-nous ?

GRC International Group PLC est la société mère de plusieurs organisations, telles que IT Governance Ltd et IT Governance Europe Ltd. La liste complète se trouve en section 3 ci-dessous avec les sites Web associés.
 
GRC International Group PLC est le responsable du traitement des données pour toutes les organisations au sein du groupe. En d'autres termes, GRC International Group PLC détermine les données à collecter pour chaque organisation au sein du groupe ainsi que la manière dont elles sont utilisées et protégées.

Notre siège social se trouve à :

GRC International Group PLC

Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA

Royaume-Uni

Pour toute question concernant la manière dont nous traitons les données à caractère personnel ou si vous souhaitez exercer vos droits en tant que personne concernée, veuillez nous envoyer un e-mail à privacy@grci.group.


3. Entreprises et sites Web concernés

Les entreprises et sites Web suivants sont concernés par cette politique relative à la vie privée :

GRC International Group PLC www.GRCI.group

IT Governance Ltd

www.itgovernance.co.uk,
www.itgovernance.asia, (Singapore)
IT Governance Europe Ltd www.itgovernance.eu
IT Governance Inc www.itgovernanceusa.com (United States)
IT Governance Publishing Ltd www.itgovernancepublishing.co.uk
GRC E-Learning Ltd www.grcelearning.com
GRCI Law Ltd www.grcilaw.com
Vigilant Software Ltd www.vigilantsoftware.co.uk

 

Sauf mention spécifique, nous estimons que ces sites Web sont basés au Royaume-Uni ; voir section 6 ci-dessous pour en savoir plus sur le traitement des données non-UE.

Cette politique couvre également toutes les données à caractère personnel additionnelles collectées via les applications Web en ligne suivantes :
 

Portail Cyber essentials  https://ces.itgovernance.co.uk/
GRC eLearning Management System www.users.grcelearning.com
CyberComply et tous es modules  www.cybercomply.co.uk

 

Il s'agit de toutes les données à caractère personnel collectées sur nos sites Web, par téléphone, via LiveChat et avec toute application de réseaux sociaux connexe.


4. Collecte de données à caractère personnel

Nous collectons certaines de vos données à caractère personnel pour l'une ou plusieurs des raisons suivantes :

  • 1. Pour vous procurer des informations que vous avez demandées ou dont nous pensons qu'elles sont pertinentes sur un sujet pour lequel vous avez manifesté un intérêt ;
  • 2. Pour initier et finaliser des transactions commerciales avec vous ou l'entité que vous représentez, pour l'achat de produits ou services ;
  • 3. Pour respecter un contrat conclu avec vous ou l'entité que vous représentez. Dans ce cas, il peut s'agir de votre entité, plutôt que vous, qui nous avez fournit vos données personnelles.
  • 4. Pour assurer la sûreté et le fonctionnement en toute sécurité de nos sites Web et de l'infrastructure d'affaires sous-jacente ; et
  • 5. Pour gérer toutes les communications entre vous et nous.

Le tableau en Section 5 ci-dessous vous offre plus de détails sur les données que nous collectons pour chacun de ces objets, la base légale pour le faire et la période pendant laquelle nous conservons chaque type de données.

Informations techniques

En outre, et afin d'assurer que chaque visiteur de l'un de nos sites Web peut utiliser et parcourir le site efficacement, nous collectons les suivantes :

  • Informations techniques notamment l'adresse IP utilisée pour la connexion de votre dispositif à Internet ;
  • Vos informations de connexion, type et version de navigateur, fuseau horaire ainsi que types et versions de modules de navigateur ;
  • Système d'exploitation et plateforme ;
  • Informations sur votre visite, notamment le flux de clics des URL vers, dans et depuis notre site.

Notre politique relative aux cookies, que vous pouvez consulter sur la page d'accueil de chacun de nos sites Web, décrit en détails notre manière d'utiliser les cookies.

En Section 8 ci-dessous, nous identifions vos droits concernant les données à caractère personnel que nous collectons et décrivons comment vous pouvez les exercer.


5. Base légale de traitement des données à caractère personnel

Le tableau suivant décrit les diverses formes de données à caractère personnel que nous collectons et la base légale de leur traitement. Notre architecture d'entreprise, notre infrastructure de comptabilité et de systèmes et notre organisation de conformité signifient que toutes les données à caractère personnel sont traitées sur des plateformes communes à l'échelon du Groupe. Nous disposons de processus assurant que seules les personnes de notre organisation nécessitant un accès à vos données peuvent y accéder. Plusieurs éléments de données sont collectés à de multiples fins, comme le tableau suivant le révèle. Certaines données peuvent être partagées avec des tiers et, cela est également identifié ci-dessous, lorsque c’est est le cas.

Lorsque nous traitons des données sur la base légale de l'intérêt légitime, nous appliquons le test suivant afin de déterminer le caractère approprié :

Le test de l'objet – existe-t-il un intérêt légitime derrière le traitement ?

Le test de la nécessité – le traitement est-il nécessaire pour cet objet ?

Le test de l'équilibre – l'intérêt légitime est-il soumis, ou non, aux intérêts, droits et libertés individuels ?

 

Objet de la collecte

Catégorie d'information

Données collectées

Objet de la collecte

Base légale du traitement

Partage de données avec ? 
 

Période de conservation

1. Pour vous procurer des informations

Informations de sujet en question

Pour procurer des informations appropriées, en ligne ou par e-mail, sur les produits et services demandés - qui peuvent avoir été capturés par vos données de Calling Line Indicator (CLI)  

Pour procurer des informations appropriées, en ligne ou par e-mail, sur les produits et services demandés

Exécution de contrat

Interne uniquement

Maximum 8 ans depuis la date de collecte des informations.
 
6 mois si l'e-mail de marketing n'a pas été ouvert

Pour procurer des informations approfondies connexes, en ligne ou par e-mail, et des infos d'actualités courantes liées au domaine d'intérêt identifié.

Intérêt légitime

Interne uniquement

Numéro de téléphone - qui peuvent avoir été capturés par vos données de Calling Line Indicator (CLI)  

Suivi pour s'assurer que les informations demandées correspondent aux besoins et identification d'exigences additionnelles

Intérêt légitime

Interne uniquement

Coordonnées de contact personnelles procurées via les formulaires de site Web, salons professionnels ou autres moyens.

Abonnement à une liste de publipostage générale

Consentement

Interne uniquement

2. Informations transactionnelles

Détails de transaction

Nom, adresse physique, adresse e-mail, numéro de téléphone, coordonnées bancaires (pour les comptes de crédit) ou autre medium de fourniture de contenu

Pour traiter les transactions d'achat de produits et services avec les clients et s'assurer que toutes les questions relatives aux transactions sont gérables.

Exécution de contrat

Interne uniquement

Maximum 8 ans depuis la date de conclusion du contrat.

6 mois depuis la date de saisie par la personne concernée des informations personnelles mais sans traitement de transaction.

8 ans pour les dossiers de TVA depuis la date de conclusion du contrat

À des fins comptables et fiscales

Obligation légale

Interne et conseillers professionnels

Documentation nécessaire en cas de réclamation contractuelle juridique

Intérêt légitime

Interne et conseillers professionnels

Données de carte de paiement

PAN (Primary account number - Numéro de compte principal), nom de titulaire de carte, code de service, date d'expiration

Pour donner suite aux demandes d'achat avec des cartes de paiement

Exécution de contrat

Sociétés de carte de paiement, conformité complète avec la PCI DSS

Conservation uniquement en attente d'autorisation.

3. Informations d'exécution

Données d'exécution

Nom, régime alimentaire

Organisation de restauration appropriée pour les cours de formation

Exécution de contrat

Interne et sites de formation

Maximum 6 ans depuis la date de conclusion du contrat.

Nom, coordonnées de contact

Accès aux formations, registres de présence

Exécution de contrat

Interne et sites de formation

Nom et coordonnées de contact et d'identification

Présence aux examens, résultats des examens et certifications

Exécution de contrat

Examinateurs et surveillants internes et externes et organismes de certification

Nom, coordonnées de contact

Détails de licence nécessaires pour l'affectation et la préservation d'une licence acquise d'usage d'un logiciel ou de produits connexes, téléformation et e-formation.

Exécution de contrat

Interne et tout tiers dont vous pouvez avoir acheté les produits ou services auprès de nous.

Nom, adresse(s), adresse e-mail, coordonnées de contact

Fourniture réelle de produits ou services, sous forme physique ou numérique, que vous pouvez avoir achetés auprès de nous.

Exécution de contrat

Interne et toute société prestataire ou de logistique de tiers sous contrat avec nous afin d'exécuter ces exigences

4. Sécurité

Informations de sécurité

Informations techniques, comme décrites précédemment, plus toute autre information pouvant être nécessaire à cet effet

Pour protéger nos sites Web et infrastructure des cyberattaques ou autres menaces et pour signaler et gérer tout acte illégal.

Intérêt légitime

Interne, scientifique et autres organisations sous contrat avec nous à cet effet.

Règles de prescription pertinentes

5. Communications

Coordonnées de contact

Noms, coordonnées de contact, coordonnées d'identification

Pour communiquer avec vous sur toute question que vous évoquez auprès de nous ou suite à une interaction entre nous.

Intérêt légitime

Interne et, si nécessaire, avec des conseillers professionnels.

Règles de prescription pertinentes.

6. Développement produit

Données liées à une étude

Noms, coordonnées de contact, coordonnées d'identification

Pour développer les produits existants ou de nouveaux produits répondant aux attentes et aux exigences de nos clients.

Consentement

Interne et, pour des raisons marketing lorsque le consentement est accordé.

Si anonymisé pour des raisons de recherche statistique, ces données peuvent être conservées indéfiniment.

Si non-anonymisé, les données seront conservées sur une durée maximale d'1 an.

 

6. Conservation des données à caractère personnel

GRCI est une organisation domiciliée au Royaume-Uni dont le siège principal se trouve au Royaume-Uni.

  • Pour leur majorité, nos sites Web et applications Web sont hébergés dans l'UE et seul notre personnel basé dans l'UE y accède.
  • Quatre de nos sites Web, identifiés en section 2 précédente, ciblent des clients hors UE et notre personnel hors UE y accède. Notre site Web aux États-Unis est le seul de nos sites Web aussi hébergé hors de l'UE. Dans tous les cas, nous disposons des mesures contractuelles et de sécurité afin d'assurer la protection des données à caractère personnel.
  • Les systèmes de gestion de la relation clientèle, de marketing et de comptabilité pour toutes nos entreprises sont soit basés dans l'UE, soit hébergés par des entreprises participant au Cadre de travail du Bouclier de protection des données UE-États-Unis.
  • Nous employons une ample palette de prestataires de services Cloud (PSC) dans le cadre de notre environnement de traitement. Sauf spécification contraire, nous sommes le responsable du traitement des données pour tous ces PSC.
  • Sauf spécification contraire, tous les PSC que nous employons utilisent des sites de traitement basés dans l'UE.
  • Nos sous-traitants de paiement et arrangements bancaires sont basés dans l'UE et, pour notre site Web américain, aux États-Unis.
  • Nous expédions et livrons des produits physiques dans le monde entier. De ce fait, nous employons des entreprises logistiques basées hors de l'UE et travaillant dans d'autres pays. Nous disposons de relations de sécurité et juridiques appropriées avec ces partenaires.
  • Nous revendons les produits fournis par des organisations hors de l'UE. Cela peut signifier que notre partenaire de revente dispose d'un accès aux informations sur les personnes concernées qui achètent ses produits.
  • Nous appliquons une politique de conservation des données couvrant toutes les données, papier ou numériques, et leurs aspects relevant des données à caractère personnel sont mentionnés dans le tableau 5 précédent.


7. Mesures de sécurité

Notre système de gestion de la sécurité de l'information (ISMS) est certifié ISO/IEC 27001. Notre entreprise au RoyaumeUni est aussi certifiée Cyber Essentials Plus et l'ensemble de notre traitement de carte de paiement est conforme avec la PCI DSS.

Nous comptons sur ce que nous pensons être des contrôles de sécurité appropriés afin de protéger les données à caractère personnel. L'appréciation du risque, notamment des risques pour les droits et libertés des personnes concernées, est au cœur de notre ISMS. Cependant, nous ne disposons d'aucun contrôle sur ce qui se passe entre votre dispositif et les limites de notre infrastructure de l'information. Vous devriez être conscient des nombreux risques pesant sur la sécurité de l'information et des mesures appropriées de protection de vos propres informations. Nous déclinons toute responsabilité envers tout manquement échappant à notre sphère de contrôle.


8. Vos droits en tant que personne concernée

En tant que personne concernée dont nous détenons les informations personnelles, vous disposez de certains droits. Si vous souhaitez exercer l'un de ces droits, veuillez envoyer un e-mail à privacy@grci.group ou utiliser les informations fournies dans la section Contact ci-dessous.  Afin de traiter votre requête, nous vous demandons de fournir deux formes valides d'identification à des fins de vérification. Vos droits sont les suivants :

  • Le droit d'être informé​
    En tant que responsable du traitement des données, nous sommes tenus de procurer des informations claires et transparentes sur nos activités de traitement des données. Elles sont fournies par cette politique relative à la vie privée et toutes les communications connexes que nous pouvons vous envoyer.

  • Le droit d'accès

    Vous pouvez demander à titre gratuit une copie des données à caractère personnel que nous détenons sur vous. Dès que nous avons vérifié votre identité et, si cela s'avère pertinent, l'autorité de tout demandeur tiers, nous offrons un accès aux données à caractère personnel que nous détenons sur vous mais aussi les informations suivantes :

    a) Les fins du traitement
    b) Les catégories de données à caractère personnel concernées
    c) Les destinataires auxquels les données à caractère personnel ont été dévoilées
    d) La période de conservation ou la période de conservation envisagée pour ces données à caractère personnel
    e) Si elles ont été collectées auprès d'un tiers, la source des données à caractère personnel
     

    Si certaines circonstances exceptionnelles nous obligent à vous refuser ces informations, nous vous les expliquons. En cas de demande futile ou vexatoire, nous nous réservons le droit de ne pas donner suite. Si la réponse à une demande devait impliquer un délai additionnel ou entraîner des dépenses déraisonnables (que vous pourriez devoir couvrir), nous vous en informons.

  • Le droit de rectification
    Si vous pensez que nous détenons des informations personnelles inexactes ou incomplètes vous concernant, vous pouvez exercer votre droit de corriger ou de compléter ces données. Il peut être exercé conjointement avec le droit de limitation du traitement afin de vous assurer que des informations incorrectes/incomplètes ne sont pas traitées avant leur correction.

  • Le droit d'effacement (ou ‘droit à l'oubli’)
    Si aucune base juridique ne s'y oppose ou si aucune raison légitime ne demeure pour le traitement des données à caractère personnel, vous pouvez nous demander de supprimer les données à caractère personnel. Il s'agit notamment des données à caractère personnel qui peuvent avoir été traitées illégalement. Nous prenons toutes les mesures raisonnables pour assurer l'effacement.

  • Le droit de limitation du traitement
    Vous pouvez nous demander de cesser le traitement de vos données à caractère personnel. Nous continuons à conserver les données mais ne les traiterons plus. Ce droit est une alternative au droit d'effacement. Si l'une des conditions suivantes s'applique, vous pouvez exercer le droit de limitation du traitement :

    a) L'exactitude de vos données à caractère personnel est contestée.
    b) Le traitement des données à caractère personnel est illégal.
    c) Nous n'avons plus besoin des données à caractère personnel pour le traitement mais elles sont nécessaires dans le cadre d'une procédure juridique.
    d) Le droit d'objection a été exercé et le traitement est limité en attente d'une décision sur le statut du traitement.

  • Le droit de portabilité des données
    Vous pouvez demander que l'ensemble de vos données à caractère personnel soit transféré à un autre responsable du traitement des données ou sous-traitant des données sous un format lisible par une machine et d'usage commun. Le droit est accessible uniquement si le traitement initial reposait sur la base du consentement, si le traitement emploie des moyens automatisés et si le traitement repose sur l'accomplissement d'une obligation contractuelle.

  • Le droit d'objection
    Vous avez le droit d'objecter à notre traitement de vos données si :

    • Le traitement repose sur un intérêt légitime ;
    • Le traitement a pour objet le marketing direct ;
    • Le traitement a pour objet des recherches scientifiques ou historiques ;
    • Le traitement implique un profilage et une prise de décision automatisée.


9. Contact 

Vous pouvez envoyer tout commentaire, question ou suggestion sur cette politique relative à la vie privée ou à notre traitement de vos données à caractère personnel par e-mail à privacy@grci.group

Vous pouvez également nous contacter à notre siège global à l'adresse postale ou aux numéros de téléphone suivants :

GDPR Compliance Manager
GRC International Group PLC
Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA

Royaume-Uni
 

Téléphone : +44 (0)333 800 7000
Fax: +44 (0) 1353 662667

Notre standard téléphonique est ouvert de 9 h 00 à 17 h 30 (GMT), du lundi au vendredi. Notre équipe du standard prendra un message et s'assurera que la personne appropriée y réponde dans les meilleurs délais.


10. Réclamations

Si vous souhaitez discuter d'une plainte, merci de nous contacter via les coordonnées ci-dessus. Toute plainte sera traitée de manière confidentielle.

Si vous n'êtes pas satisfait par notre gestion de vos données ou de toute réclamation que vous nous avez communiquée sur notre gestion de vos données, vous avez le droit de soumettre votre réclamation auprès d'une autorité de contrôle au sein de l'Union Européenne. Pour la France, il s'agit de la CNIL qui est aussi notre principale autorité de contrôle. Vous trouverez ses coordonnées de contact sur https://www.cnil.fr/fr/vous-souhaitez-contacter-la-cnil.