Bové Montero
Bové Montero Cerrar

Politique de Confidentialité

  1. Accueil
  2. Politique de Confidentialité

Introduction

L’objectif de cette Politique est d’établir les lignes directrices que tous les niveaux de l’Entreprise devront suivre en matière de Protection des Données à caractère Personnel.

Cette Politique contient une description des éléments clés, tant humains qu’organisationnels, technologiques et documentaires, que l’Entreprise applique pour protéger les données à caractère personnel, en évitant toute violation des droits et libertés des personnes concernées.

À tous les niveaux de l’Entreprise, il sera veillé à l’application réelle et effective des directives établies dans cette Politique en matière de protection des données, afin que ce système d’autorégulation permette d’éliminer les comportements pouvant mettre en danger les données personnelles traitées par l’Entreprise.

1. Champ d’application

  • Champ sociétal – Cette Politique s’appliquera à BOVÉ MONTERO Y ASOCIADOS, S.L. (ci-après, « l’entité »).
  • Champ personnel – Cette Politique s’appliquera à tous les niveaux de l’entité, y compris les organes d’administration, les cadres dirigeants, les organes de contrôle et l’ensemble du personnel.
  • Champ relationnel – Le champ d’application de cette Politique s’étendra, dans la mesure du possible, aux fournisseurs, conseillers, clients et autres tiers de l’Entreprise.
  • Champ géographique – Cette Politique s’appliquera aux relations publiques et privées établies par l’Entreprise dans tout cadre géographique.

2. Réglementation applicable

Cette Politique est adaptée à la réglementation suivante :

  • Règlement Général sur la Protection des Données de l’UE (RGPD)
  • Loi Organique 3/2018, du 5 décembre, sur la Protection des Données Personnelles et la garantie des droits numériques
  • Loi 34/2002, du 11 juillet, sur les services de la société de l’information et du commerce électronique
  • Loi Organique 1/1982, du 5 mai, sur la protection civile du droit à l’honneur, à l’intimité personnelle et familiale et à l’image personnelle

Des adaptations nécessaires seront apportées à cette Politique en fonction des évolutions législatives, ainsi que des critères établis par :

  • Les guides, rapports et résolutions de l’Agence Espagnole de Protection des Données
  • Les guides, rapports et résolutions des autorités de contrôle des autres États membres de l’Union Européenne
  • Le Groupe de Travail de l’Article 29
  • Les arrêts de la Cour de Justice de l’Union Européenne
  • Les arrêts de l’Audiencia Nacional, de la Cour Suprême et du Tribunal Constitutionnel

3. Risques commerciaux en matière de protection des données

L’Entreprise exerce son activité principale en tant qu’entreprise prestataire de services dans le domaine de l’audit, du conseil, de l’expertise comptable, du conseil juridique, fiscal et social.

La nature particulière des données personnelles, la complexité de la réglementation applicable et l’importance des sanctions prévues par celle-ci engendrent des risques tels que l’accès non autorisé, la copie non autorisée, la communication ou le transfert à des tiers et d’autres infractions prévues par le RGPD et la réglementation locale.

Les risques liés au non-respect des obligations légales en matière de protection des données sont les suivants :

  1. Sanctions administratives
  2. Infractions contre la vie privée
  3. Indemnisation des dommages et intérêts
  4. Atteintes à la réputation

La protection des données personnelles est l’une des valeurs fondamentales de l’entité et constitue un objectif prioritaire pour l’Entreprise, nécessitant l’adoption de mesures juridiques, techniques et organisationnelles, résumées dans cette Politique et détaillées dans ses normes et procédures internes.

4. Objectifs de la protection des données

Les objectifs de l’Entreprise en matière de protection des données sont alignés sur ceux de l’activité, en donnant la priorité au respect des obligations légales applicables aux activités exercées.

La protection des données est considérée comme un avantage concurrentiel, car elle permet de différencier l’Entreprise de ses concurrents qui ne respectent pas la confidentialité de leurs clients et collaborateurs ou qui traitent leurs données de manière inappropriée, s’exposant ainsi à des sanctions économiques importantes ayant un impact majeur sur leur réputation.

Le respect du Règlement Général sur la Protection des Données de l’Union Européenne (RGPD) et de la Loi Organique sur la Protection des Données Personnelles et la garantie des droits numériques sera considéré comme un objectif prioritaire en matière de protection des données.

À tous les niveaux de l’Entreprise, il y aura un engagement à respecter les objectifs fixés en matière de protection des données ainsi que les principes et obligations établis dans cette Politique.

L’Entreprise pourra élaborer des normes et des procédures détaillant et précisant la présente politique.

5. Principes de la protection des données

La stratégie de l’Entreprise en matière de protection des données respectera les principes suivants :

  • Principe de licéité : le traitement des données personnelles sera licite s’il repose sur le consentement de la personne concernée ou sur une autre base légale prévue par la loi.
  • Principe de transparence : la personne concernée devra être informée de toutes les circonstances relatives au traitement de ses données.
  • Principe de loyauté : les données personnelles ne pourront pas être traitées dans des conditions différentes de celles qui ont été communiquées.
  • Principe de limitation de la finalité : les données personnelles seront collectées pour des finalités spécifiques, explicites et légitimes, et ne seront pas traitées ultérieurement d’une manière incompatible avec ces finalités.
  • Principe de minimisation des données : les données personnelles devront être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce principe, ainsi que celui de limitation de la finalité, s’applique également aux évaluations d’impact fondées sur les principes de nécessité et de proportionnalité.
  • Principe d’exactitude : les données personnelles devront être exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables seront prises pour que les données inexactes soient supprimées ou rectifiées sans délai.
  • Principe de limitation de la conservation : les données personnelles devront être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités du traitement.
  • Principe d’intégrité et de confidentialité : les données personnelles devront être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou l’endommagement accidentel, grâce à l’application de mesures techniques ou organisationnelles adéquates. Les données personnelles ne seront accessibles qu’aux utilisateurs autorisés et ne pourront être communiquées à des tiers sans autorisation.
  • Principe de responsabilité proactive : l’Entreprise sera responsable du respect des dispositions de la réglementation sur la protection des données et devra être en mesure de démontrer ce respect.
  • Protection des données dès la conception et par défaut : avant la mise en œuvre de nouveaux traitements, projets, services et produits, une évaluation préalable de leur impact sur la protection des données sera réalisée.

6. Rôles et responsabilités

Tous les rôles et responsabilités seront différenciés et, dans la mesure du possible, attribués individuellement dans la description de poste. En plus de cette répartition individuelle, toutes les personnes appartenant à l’Entreprise, quel que soit leur niveau, seront tenues de respecter les normes, procédures et contrôles établis en matière de sécurité de l’information.

La responsabilité principale du contrôle en matière de protection des données incombera au Comité de Protection des Données et de Sécurité de l’Information.

L’entité dispose de normes et de procédures définissant les obligations du personnel en matière de protection des données.

L’Entreprise adoptera les mesures nécessaires pour que le personnel comprenne clairement les obligations en matière de protection des données qui concernent l’exercice de ses fonctions, ainsi que les conséquences d’un éventuel non-respect.

7. Registre des Activités de Traitement

L’Entreprise disposera d’un registre des traitements où figureront les détails des traitements autorisés en tant que Responsable du Traitement, ainsi qu’un autre registre des traitements réalisés en tant que Sous-traitant.

Conformément au principe de protection des données dès la conception et par défaut, et étant donné l’impossibilité pour les organes de contrôle de connaître en détail toutes les activités de traitement des données personnelles menées au sein de chaque département, tout nouveau traitement ou toute modification des attributs et caractéristiques d’un traitement inscrit au registre devra être communiqué au Responsable de la Protection des Données afin qu’il puisse l’évaluer et l’autoriser s’il ne présente pas de risque pour les droits et libertés des personnes concernées.

Par ailleurs, l’Entreprise informera toutes les personnes concernées du traitement de leurs données personnelles via des clauses informatives et des formulaires de consentement, conformément aux articles 13 et 14 du RGPD.

8. Analyse des risques

Tous les traitements soumis à cette Politique de Sécurité devront faire l’objet d’une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera répétée périodiquement.

L’Entreprise réalisera périodiquement une analyse des risques et des menaces affectant la protection des données.

L’analyse des risques sera effectuée à travers une cartographie des risques inhérents, où seront évalués les risques bruts existants avant l’application des contrôles de prévention, de détection et d’atténuation. Ensuite, une cartographie des risques résiduels sera réalisée, où les risques nets existants après l’application des contrôles seront évalués de manière automatisée.

9. Directives pour minimiser les risques

Pour la gestion et la minimisation des risques, l’entité appliquera des mesures de sécurité physiques, sur le personnel, administratives et sur le réseau, telles que :

  • Sécurité de l’accès logique : l’Entreprise applique des mesures de sécurité pour la protection des accès logiques.
  • Accès logique des personnes aux systèmes informatiques : L’entité appliquera un système d’authentification à double facteur. D’une part, l’utilisateur sera attribué par l’Administrateur du Système et c’est l’utilisateur lui-même qui définira son propre mot de passe. D’autre part, l’utilisateur recevra un code pour valider ladite authentification.

Le mot de passe sera toujours inintelligible, même pour l’Administrateur. En cas de nécessité (par ex., si l’utilisateur l’a oublié), l’Administrateur du Système pourra forcer un processus de changement de mot de passe par l’Utilisateur sans besoin du mot de passe précédent.

  • Contrôle d’accès aux données et aux ressources

L’Entreprise élaborera les normes et procédures qui développeront, préciseront et détailleront les mesures de contrôle indiquées dans cette section.

  • Systèmes d’exploitation : Tous les systèmes d’exploitation utilisés dans les systèmes informatiques de l’Entreprise nécessitent une validation et une authentification pour leur accès et leur utilisation.
  • Virus et malware : Tous les ordinateurs de l’Entreprise auront un logiciel antivirus et antimalware installé, qui sera mis à jour périodiquement. Des pare-feux seront également mis en place pour contrôler le trafic réseau et détecter les intrusions non autorisées.

Les utilisateurs seront informés régulièrement des mesures de base à adopter afin de prévenir l’entrée de virus et de malware.

  • Gestion des utilisateurs : La liste des utilisateurs du réseau ayant un accès autorisé au système d’information devra être mise à jour, en précisant leurs niveaux d’accès afin de garantir la confidentialité et l’intégrité. De plus, l’Entreprise réalisera des contrôles d’accès et une surveillance des systèmes informatiques mis à disposition des employés afin de protéger l’information.
  • Limitation d’accès : Pour accéder aux ressources informatiques, il est nécessaire d’avoir préalablement un compte utilisateur attribué et d’être enregistré sur les serveurs de domaine. L’autorisation d’accès définira le profil nécessaire, configurant les fonctionnalités et privilèges disponibles dans les applications selon les compétences de chaque utilisateur, en adoptant une politique d’attribution des privilèges minimums nécessaires pour l’exécution des fonctions assignées. Un système d’authentification à double facteur est également utilisé pour l’accès aux serveurs de domaine.
  • Sécurité Wi-Fi et réseaux sans fil : L’Entreprise appliquera les mesures adéquates pour protéger l’accès non autorisé au Wi-Fi de l’Entité.
  • Serveurs et supports physiques : Toutes les informations confidentielles ainsi que les données à caractère personnel sont stockées sur des serveurs de fournisseurs externes offrant un niveau de conformité adéquat en matière de protection des données et de sécurité de l’information.
  • Copies de sauvegarde : Toutes les copies de sauvegarde réalisées par des tiers couvrent toutes les informations nécessaires pour récupérer le service en cas de corruption ou de perte des données (données, programmes, fichiers de configuration et même l’image de certains serveurs). Elles incluent également les protocoles relatifs aux copies de sauvegarde et à la récupération des données.

Pour tous les systèmes pertinents, les standards de sécurité définiront au minimum les éléments suivants : la fréquence des copies de sauvegarde, les périodes de rétention des copies, l’emplacement des supports de sauvegarde, les procédures de récupération de l’information, ainsi que les procédures de restauration et de vérification de l’intégrité des données sauvegardées.

  • Authentification : Les identifiants et mots de passe des utilisateurs sont personnels et intransmissibles. L’Utilisateur est le seul responsable des conséquences pouvant résulter d’un usage inapproprié, d’une divulgation ou d’une perte de ces derniers.
  • Sécurité sur le poste de travail : Les employés seront informés des normes établies par l’Entreprise en matière de sécurité sur le poste de travail, notamment :
  • Le verrouillage automatique des dispositifs nécessitant une activation via mot de passe après un certain temps d’inactivité.
  • L’application d’une politique zéro papier sur les bureaux de travail.
  • Dispositifs mobiles : L’Entreprise mettra en place les mesures de sécurité appropriées pour les dispositifs mobiles professionnels.

Les utilisateurs disposant d’un dispositif mobile professionnel devront respecter les règles d’utilisation spécifiques et appliquer les mesures de sécurité correspondantes.

10. Obligations contractuelles

En plus des exigences légales en matière de protection des données, l’Entreprise devra également respecter les exigences spécifiques imposées par ses clients et fournisseurs en ce qui concerne les données personnelles auxquelles elle accède dans le cadre de ses relations contractuelles.

L’Entreprise accordera une attention particulière aux obligations contractuelles impliquant le traitement de données personnelles.

L’Entreprise établira et maintiendra un registre mis à jour des obligations contractuelles liées à la protection des données personnelles qu’elle traite.

Elle vérifiera régulièrement que ces obligations sont connues et respectées à tous les niveaux de l’organisation

11. Contrôle des fournisseurs du point de vue de la confidentialité

L’Entreprise tiendra un registre de tous les fournisseurs traitant des données personnelles pour son compte ou ayant un accès direct ou indirect aux données personnelles qu’elle gère.

Si la souscription d’un nouveau service impliquant le traitement de données est nécessaire, l’Entreprise effectuera une sélection et une évaluation des fournisseurs en fonction des garanties requises par la loi en matière de protection des données.

La priorité sera donnée aux fournisseurs offrant les meilleures garanties en matière de protection des données.

Les relations avec les fournisseurs ayant accès aux données personnelles seront toujours encadrées par un contrat comprenant une section spécifique sur leurs obligations, incluant au minimum celles prévues à l’article 28 du RGPD.

12. Délais de conservation des données

Les données personnelles seront conservées uniquement pendant la durée nécessaire aux finalités du traitement.

L’Entreprise établira et maintiendra un tableau indiquant les délais de conservation des données en tenant compte des prescriptions légales, des obligations sectorielles et contractuelles, ainsi que des délais communiqués aux personnes concernées.

La destruction des documents devra garantir la confidentialité tout au long du processus.

13. Gestion des violations et incidents de sécurité

Toute situation compromettant la confidentialité, l’intégrité, la disponibilité, l’authenticité ou la traçabilité des informations sera considérée comme une violation de sécurité.

L’Entreprise mettra en place des mesures de cybersécurité contre les menaces issues des réseaux, comme les cyberattaques, les accès non autorisés et les ransomwares.

Toute personne ayant connaissance ou suspicion d’un incident devra le signaler immédiatement via les canaux établis.

Si l’incident présente un risque pour les droits et libertés des personnes, il devra être notifié à l’Autorité de Contrôle, l’Agence Espagnole de Protection des Données, dans un délai maximal de 72 heures.

L’entité dispose d’un protocole définissant la gestion des incidents et vulnérabilités afin d’assurer l’enregistrement, la résolution et la mise en place de mesures correctrices.

14. Formation et sensibilisation

Tout le personnel doit connaître et respecter la Politique de Protection des Données.

L’Entreprise organisera des sessions de formation en présentiel ou en e-learning et utilisera divers supports de sensibilisation sur les risques liés aux infractions.

Chaque employé sera responsable de respecter cette politique et de signaler les incidents de sécurité détectés.

15. Prévention des infractions

L’objectif principal de l’Entreprise avec cette Politique et ses normes, procédures et contrôles qui la développent est de prévenir les infractions aux droits et libertés des personnes concernées et de se conformer à la réglementation sur la protection des données à caractère personnel.

Le principal cadre de référence pris en compte pour atteindre cet objectif sera le RGPD, qui établit deux groupes d’infractions : les graves et les très graves.

Les infractions graves peuvent être sanctionnées jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’Entreprise. Ce groupe inclut, par exemple, des mesures techniques ou organisationnelles inadéquates, la sous-traitance à des responsables de traitement sans garanties suffisantes, l’absence de notification d’une violation de données, etc. Les infractions très graves peuvent être sanctionnées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’Entreprise. Cette catégorie inclut les cas de traitement illicite, de consentement illicite, de violation du devoir de confidentialité, etc.

16. Mise à jour et amélioration de cette Politique

Cette Politique sera mise à jour périodiquement afin d’intégrer les évolutions en matière de protection des données. BOVÉ MONTERO Y ASOCIADOS, S.L. effectuera un suivi régulier des mesures de prévention et de contrôle, proposant les ajustements nécessaires en cas d’infractions, de changements importants ou de modifications des systèmes d’information.