Cette FAQ à destination de nos prospects et clients permet à FI Group France, en sus de la Politique de Gouvernance RGPD et de l’Annexe adaptée pré complétée relative à votre prestation que vous pouvez retrouver dans le contrat correspondant, d’identifier les questions récurrentes par des réponses constructives vous permettant d’appréhender quels éléments relatifs à la protection des données personnelles[1] ont été mis en place au sein de la Société.

[1] Les données personnelles sont toute information se rapportant à une personne physique identifiée ou identifiable (nom, numéro de téléphone, adresse email, etc.) La personne physique peut être identifiée directement (avec son nom et son prénom) ou indirectement (numéro de téléphone). Attention, si le croisement de données permet d’identifier la personne physique en question, il s’agit d’une donnée personnelle.

La Gouvernance interne

F. INICIATIVAS A-T-ELLE NOMMÉE UN DPO ?
Oui, une déléguée à la protection des données personnelles ou “data protection officer” en anglais. La DPO a été déclarée à la CNIL depuis Août 2018 et certifiée par l’organisme AFNOR depuis Décembre 2020, numéro de certificat 3002952. La DPO France est aussi DPO Group et gère une équipe DPO que vous pouvez contacter par mail en cas de questions relatives à la protection des données, à l’adresse : dpo@fi-group.com.
Des référents à la protection des données ont également été nommés dans l’ensemble des pays du Groupe.

F. INICIATIVAS A-T-ELLE MIS EN PLACE DES PROCÉDURES RELATIVES À LA CONFORMITÉ DES TRAITEMENTS VISANT A ASSURER UNE PROTECTION DES DONNEES DES CLIENTS ?
Plusieurs process ont été élaborés par l’équipe DPO pour permettre une protection non seulement des données personnelles des clients mais également de celle des collaborateurs portant notamment sur les sujets suivants :
● Les violations de sécurité dès lors qu’un collaborateur a pris connaissance d’un incident ou d’une faille relative aux données personnelles confiées par un responsable de traitement.
● Le client peut exercer ses droits relatifs à ses données personnelles (accès, rectification, opposition, limitation, etc.). C’est un droit que vous avez et dont vous pouvez bénéficier. En sus, des process ont été mis en place par le comité SSI (chiffrement des documents importants documentés et basés sur les recommandations du NIST etc.).

DES CAMPAGNES DE SENSIBILISATION DE TOUS LES COLLABORATEURS AUX OUTILS CONCERNANT LA PROTECTION DES DONNÉES SONT-ELLES MISES EN PLACE ?
Des formations en présentiel par l’équipe DPO, ainsi que des formations RGPD sur notre plateforme de formation interne sont obligatoires pour l’ensemble des collaborateurs et pour les nouveaux arrivants avant la fin de leur période d’essai via l’intranet; En sus, flyers, emails, ou espace interne en ligne dédié permettent la diffusion des bonnes pratiques.

F.INICIATIVAS RECOURT-ELLE À DES SOUS-TRAITANTS POUR LES TRAITEMENTS DE SES MISSIONS ?
Non, le sous-traitant c’est-à-dire FI Group ne recourt pas à des sous-traitants pour les traitements de données personnelles. Conformément à sa Politique, si tel devait être le cas, une autorisation serait d’abord demandée au client.

L’EXERCICE DES DROITS DES TIERS EST-IL RÉPERTORIÉ DANS UN REGISTRE ?
Oui, un registre sur l’exercice des droits est tenu à jour dès lors que l’équipe DPO reçoit une demande d’exercice via une ticket pour les collaborateurs/Via le formulaire sur le site web pour les tiers.
En cas de demande de la part d’un collaborateur de nos clients, nous nous tournons vers le client pour recevoir les instructions nécessaires. Pour plus de détails, consultez la Politique de Gouvernance en son Article 5 – Exercice des droits des collaborateurs du client.

UN REGISTRE DE VIOLATIONS DE DONNÉES PERSONNELLES EST-IL TENU ET MIS À JOUR ?
Le registre des violations (faille de sécurité et incidents de sécurité) est tenu et suivi par l’équipe DPO en tant que Responsable de traitement ou en tant que Sous-traitant.

LES DESTINATAIRES DES DONNÉES COLLECTÉES DANS LE CADRE DE LEUR MISSION SONT-ILS SOUMIS À UNE OBLIGATION DE CONFIDENTIALITÉ ?
Au sein de leur contrat de travail, les collaborateurs ont tous une clause de confidentialité ainsi qu’une clause RGPD afin de s’assurer que l’obligation de confidentialité est remplie.

Conformité sécurité

F. INICIATIVAS RÉALISE-T-ELLE DES ÉTUDES D’IMPACTS (PIA²) POUR LES TRAITEMENTS PRÉSENTANT UN RISQUE SUR LES DROITS ET LIBERTES DES PERSONNES CONCERNEES ?
L’équipe DPO en charge de la réalisation de l’analyse d’impact avant complément et validation par le comité SSI et le responsable de traitement, représenté par son président, réalise des analyses d’impact dès lors qu’un traitement effectué par F. INICIATIVAS sera susceptible d’engendrer un risque3 élevé pour les droits et libertés4 des personnes concernées. Un process est élaboré pour les responsable des traitements présentant un risque afin d’anticiper et suivre la procédure édictée.
Toutefois, après avoir procédé à l’évaluation des critères du G29 compte tenu des données personnelles traitées par F. INICIATIVAS en tant que prestataire de service, elle n’estime que ni les données collectées, ni les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et les personnes. Il a été conclu, que les traitements effectués par F. INICIATIVAS ne remplissent pas les critères du G29.
Si en tant que client, vous souhaitez réaliser une PIA, F.INICIATIVAS se tient à votre disposition.

[2] Process Impact Assessment (PIA) Un PIA est l’outil permettant de réaliser une analyse de risque sur la protection des données personnelles, avant de mettre en place un traitement considéré comme à risque, afin qu’il soit conforme au RGPD et respectueux de la vie privée.
[3] Les risques sont qualifiés au regard de leurs impacts et de leurs probabilités de réalisation. Un risque est composé d’une mesure de danger et se définit par une équation dite d’évaluation des risques : (Risque) = (Probabilité) x (Gravité)
[4] Cette notion fait référence au droit au respect de la vie privée, à la liberté d’expression, la liberté de penser, de conscience et de religion, l’interdiction de discrimination et le droit à la liberté de mouvement.

QUELLES SONT LES PRINCIPAUX MOYENS MIS EN PLACE PERMETTANT LA PROTECTION DES DONNÉES CONTRE LA PERTE, LA DESTRUCTION, LA FALSIFICATION, LES ACCÈS NON-AUTORISÉS ET LES DIFFUSIONS NON-AUTORISÉES ?
Le Plan de Continuité d’Activité mis en place permet de limiter l’interruption des services par un plan de sauvegarde afin de palier à la perte, l’altération, la divulgation non autorisée et la destruction des données. Nous procédons également à une journalisation de l’ensemble des activités des données et également des accès logiques et physiques. Nous avons mis en place une procédure de marquage de l’information (public, restreint et confidentiel), en parallèle de la sensibilisation de l’ensemble des collaborateurs. La méthodologie de gestion des risques Sécurité de l’Information identifie tous les actifs de la société et les classifient en termes de Disponibilité (4 niveaux), Intégrité (3 niveaux) et Confidentialité (3 niveaux).
Par ailleurs, l’infrastructure informatique de FI group est conçue de manière à maximiser le nombre de composants redondés (serveurs, alimentation électrique, équipements réseau, etc.).

QUELS MOYENS SONT MIS EN ŒUVRE EN INTERNE AFIN D’ÉVALUER RÉGULIÈREMENT LE NIVEAU DE SÉCURITÉ TECHNIQUE ?
Une veille informatique régulière, les audits internes et externes et de vulnérabilité technique sont planifiés et réalisés périodiquement.

QUELS SONT LES ENGAGEMENTS EN MATIÈRE DE SÉCURITÉ PRIS AU SEIN DE LA SOCIÉTÉ ?
● A destination de l’interne uniquement un manuel SSI a été élaboré pour permettre de préciser l’ensemble des dispositions mises en place au sein de la société en matière de Sécurité des Systèmes d’Information en conformité avec les exigences des référentiels NF EN ISO/CEI 27001.
Ce manuel est disponible sur le réseau interne pour l’ensemble des collaborateurs. La politique SSI peut en revanche vous être communiquée sur simple demande.
● La société est certifiée ISO 27001 sur la sécurité, la confidentialité et l’intégrité des informations

EXISTE-T-IL UN CONTRÔLE CONTINU PERMETTANT DE VÉRIFIER LA CONFORMITÉ À VOTRE POLITIQUE DE SSI ?
FI Group a formalisé une Politique SSI et celle-ci est disponible sur le réseau interne pour l’ensemble des collaborateurs. Le contrôle continu se caractérise par une revue régulière de la politique lors des réunions du comité SSI.

QUELLES SONT GLOBALEMENT LES MESURES TECHNIQUES ET ORGANISATIONNELLES DE SÉCURITÉ DE F.INICIATIVAS PERMETTANT D’ASSURER UNE PROTECTION DES DONNÉES PERSONNELLES ?
F. Iniciativas est certifiée norme ISO 27001 et 9001.
● Quant à la sécurité physique : Les postes informatique sont protégé par un identifiant et mot de passe individuels (régulièrement modifiés) avec un nombre d’essais limité à 6 tentatives. L’identifiant et le mot de passe sont strictement personnels. Les postes informatiques sont verrouillés en cas d’absence prolongée, les mises à jour sont régulières, protection des applications (installation et désinstallation par l’Administrateur seulement), chiffrage des disques durs.
● Quant à la sécurité logique : Protection du réseau informatique grâce aux antivirus (mise à jour quotidienne), pare-feux, installation et désinstallation des logiciels par l’Administrateur uniquement, identifiant et mot de passe individuels (régulièrement modifiés), VLan, domaine et groupe de sécurité, ainsi qu’une connexion distante par un tunnel VPN dédié, accessible uniquement aux équipements inventoriés par FI group.
● Quant aux mesures de sécurité organisationnelles : Accès limité informatiquement par cloisonnement des lecteurs réseaux par services ou personnes, Charte informatique, formation RGPD pour tous les collaborateurs.

EXISTE-T-IL DES TRANSFERTS DE DONNÉES PERSONNELLES HORS UNION EUROPÉENNE ? SI OUI, LES MÉCANISMES DE PROTECTION DES DONNÉES TRANSFÉRÉES HORS UNION EUROPÉENNE ONT-ILS ÉTÉ INSTAURÉS ?
Par principe, les données personnelles ne sont pas transférées hors de l’Union Européenne et espace assimilé. Lors des contrats internationaux, si un transfert hors UE doit avoir lieu à la demande du client, le contrat sera adapté afin de répondre aux exigences légales.

OÙ LES DONNÉES DE F. INICIATIVAS SONT-ELLES STOCKÉES ? EN EUROPE ? SI OUI, OÙ EXACTEMENT ?
Les serveurs sont localisés en France, à Puteaux. Les back ups se trouvent à Nantes.

EXISTE-T-IL DES MÉCANISMES DE TRAÇABILITÉ DES ACTIONS (JOURNALISATION) ?
L’Utilisateur est informé de la mise en place d’un système de journalisation grâce à la Charte Informatique consultable sur le réseau interne de l’entreprise.

Gouvernance externe et relation avec les tiers

EXISTE-T-IL DES ENGAGEMENTS DE CONFIDENTIALITÉ POUR LES FOURNISSEURS ET PRESTATAIRES DE FI GROUP ?
Oui, il existe des clauses spécifiques liées à la sécurité de l’information.

QUELLE DOCUMENTATION PEUT-ON FOURNIR À NOS CLIENTS AFIN DE PROUVER NOTRE CONFORMITÉ RGPD ?
Une Politique de gouvernance RGPD et son Annexe RGPD pour informer nos clients de la façon dont FI Group gère les données personnelles.
● La Politique RGPD permet d’expliquer les mesures mises en place par FI aux fins de protéger les données personnelles confiées dans le cadre de la mission. Cette Politique permet également une harmonisation des règles applicables par FI. Elle est disponible également en langue anglaise.
● L’annexe à la Politique RGPD indique notamment les données collectées ainsi que les personnes concernées par les traitements de données personnelles, les interlocuteurs, ainsi que les transferts ou non de données personnelles hors Union Européenne. L’annexe permet de respecter le principe de transparence5 vis-à-vis du client et de le rassurer sur les données qui sont collectées.

En l’absence d’instructions spécifiques de la part du client, la politique RGPD que FI Group a mise en place s’applique. Il existe une annexe pré-complétée pour chaque prestation car chaque produit ne nécessite pas que les mêmes données personnelles soient collectées.

[5] Principe de transparence : La personne concernée se doit de recevoir une information concise, compréhensible et aisément accessible sur (i) la raison de la collecte de ses données personnelles (ii) le traitement utilisé et (iii) l’exercice de ses droits.

QUEL ENCADREMENT CONTRACTUEL EST MIS EN PLACE POUR LES DONNÉES PERSONNELLES AMENÉES À ÊTRE ÉCHANGÉES ?
Une clause relative à la protection des données personnelles est mentionnée au sein du contrat faisant référence à la politique RGPD de FI Group dans le but d’informer sur les données qu’il sera amené à nous confier et sur les mesures mises en place par FI Group.

QUELLES SONT LES DUREES DE CONSERVATION DES DONNEES PERSONNELLES DES CLIENTS POUR JUSTIFIER LEUR CIR ?
Nos clients ont l’obligation légale de devoir justifier leur CIR en cas de contrôle fiscal. La durée de conservation de leur données doit s’étendre jusqu’à l’issue de la durée de prescription. L’anonymisation ne permet pas de prouver et de faire valoir ses droits. Il est possible en revanche de pseudonymiser les données personnelles ou de mettre en place des mesures protectrices plus importantes pendant la phase d’archivage. N’oubliez pas que l’anonymisation des données ne doit donc intervenir qu’après la durée de prescription.

Informations de l’utilisateurs

LE SITE INTERNET POSSÈDE-T-IL LES MENTIONS D’INFORMATION PRÉVENANT LES UTILISATEURS DE LA FINALITÉ ET DE LEURS DROITS D’ACCÈS ?
Oui des mentions d’informations existent dans chaque espace de questionnaires/contacts. Un Espace données personnelles « Démarche données personnelles » est dédié à l’information de l’utilisateur quant à la collecte de ses données : https://fr.fi-group.com/demarche-donnees-personnelles/.

QUELS SONT LES DROITS DES UTILISATEURS SUR LE SITE INTERNET FI GROUP ?
FI Group a mis en place une gestion globale des outils permettant aux utilisateurs d’exercer leur droits :
● Procédure de gestion des demandes des personnes concernées (applications de leurs droits)
● Formulaire de contact et outils informatiques permettant de collecter et réceptionner les demandes des utilisateurs
● Process de gestion des réclamations
● Procédure de réponse aux demandes d’accès, de rectification, d’opposition, de limitation et d’effacement
Outils permettant de répondre aux demandes d’accès, de rectification, d’opposition, de limitation et d’effacement (outils web pour les traitements des données d’utilisateurs tiers et outils internes pour les données des collaborateurs).

F. INICIATIVAS POSSÈDE-T-ELLE UN REGISTRE DE TRAITEMENTS6 DES DONNÉES PERSONNELLES ?
Un registre de traitement cartographiant l’ensemble des activités de traitement7 est en cours de déploiement. Une vaste campagne de sensibilisation est de formation sera lancée en ce sens, à destination de tous les manageurs et responsables de BU chargés d’intégrer cette étape dans tous leurs travaux.

[6] Registre de traitement : Consolidation écrite obligatoire des activités de traitement. Il doit être mis à disposition de l’autorité de contrôle sur demande il permet au responsable de traitement d’une part d’avoir une vue d’ensemble sur les données personnelle qu’il traite, et d’autre part de démontrer que les traitements qu’il met en œuvre se font en conformité avec le RGPD.
[7] Activité de traitement :  Opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

F. INICIATIVAS MET-ELLE EN PLACE DES OUTILS RESPECTUEUX DE LA COLLECTE DES DONNÉES PERSONNELLES ?
F. INICIATIVAS dispose de différents outils respectueux de la vie privée afin d’échanger l’information documentaire avec nos clients (courriel, serveur FTP, plateforme d’échange dont par exemple PYDIO (qui permet la distinction des données comptables et techniques, deux dossiers avec deux mots de passe différents et à destination de personnes différentes.

Les petits plus de F.Iniciativas

Le site de FI Group possède un bandeau cookies paramétré avec un plug-in respectueux de la conformité (Privacy by Default / By design8) ainsi que des mentions d’informations permettant à l’utilisateur d’une part de visionner et de choisir les cookies et d’autre part d’être informé de ses droits par des mentions d’informations apparaissant pour chaque formulaire de contact/newsletter/candidature.

[8] Introduits par le RGPD, ces deux principes sont une logique de conception respectueuse de la vie privée, c’est un moyen pour les entreprises de montrer que leurs solutions sont respectueuses de la vie privée et assure un niveau de protection conforme aux obligations du droit de l’Union. S’agissant du concept de Privacy by Design, celui-ci porte sur l’adoption de règles internes qui respectent les principes de protection des données dès la conception du traitement. Quant au concept de Privacy by Default, il signifie que le responsable du traitement doit assurer aux personnes concernées, par défaut, le plus haut niveau de protection c’est-à-dire que des mesures de sécurité et de protection pour les personnes concernées sont prises de façon systématique.

Principales modifications par rapport à la version précédentes :
Version Date de validation Résumé
V0 02/01/2021 Création par l’équipe DPO