Protection de la Vie Privée et des Données Personnelles

Michelin est convaincu que la protection des données personnelles constitue un vecteur de confiance dans ses relations avec l'ensemble des parties prenantes.

securite_des_clients_opaque@2x

Définition

Une donnée personnelle est une information qui permet d’identifier directement ou indirectement une personne physique.

Cela inclut donc par exemple :

  • pour l’identification directe d’une personne, une photo ou des informations de l’état civil de la personne (nom, prénom, etc.).
  • pour l’identification indirecte : un numéro unique d’identification (plaque d’immatriculation, identifiant Michelin, numéro de téléphone portable…) ou une combinaison d’informations (sexe, âge, profession, ville de résidence, etc.).

Toutes ces informations à caractère personnel doivent être protégées.

Valeurs et Principes d’Action

Les données personnelles des employés, clients, fournisseurs, actionnaires, partenaires ou sous-traitants… doivent être traitées conformément aux lois et réglementations, ainsi qu’aux directives du Groupe applicables en matière de protection des données personnelles.

Dans de nombreux pays, ne pas respecter les réglementations en la matière est passible de sanctions financières très significatives, voire de sanctions pénales.

Le Groupe s’engage à ne collecter et traiter que les seules données nécessaires à ses activités.

Aucune donnée personnelle ne doit être communiquée à des tiers, sauf si cela est nécessaire et autorisé par la loi.

La protection des données personnelles ne peut être assurée qu’avec l’aide de chacun.

Je dois

  • Collecter et manipuler uniquement les données personnelles nécessaires à l’objectif poursuivi. M’assurer que cet objectif est légitime et clairement défini.
  • M’assurer que la collecte et l’usage des données personnelles est conforme à l’information transmise aux personnes concernées.
  • Renseigner uniquement dans les champs de commentaires libres des commentaires pertinents, adéquats et non excessifs ; me demander si je serais à l’aise de communiquer ce commentaire à la personne visée par ce commentaire.
  • Détruire ou corriger les données inexactes ou incomplètes et respecter les droits des personnes sur leurs données.
  • Transmettre les données personnelles aux seules destinataires habilitées en interne et qui ont un besoin légitime d’en avoir connaissance.
  • Transmettre les données personnelles en externe seulement en cas d’obligation légale ou à des sociétés qui ont contracté un accord avec le Groupe.
  • Avoir lu et respecter l’ensemble des engagements applicables au sein du Groupe en cas d’accès autorisé à des données en provenance d’autres pays ou de transferts internationaux, ces documents étant accessibles sur l’intranet (par exemple, règles contraignantes d’entreprise (BCR).
  • Assurer la sécurité et la confidentialité des données personnelles (par exemple, pour les transmissions de documents, en se conformant aux règles de sécurité du Groupe quant au cryptage des fichiers) ;
  • Informer le CERT Michelin (Computer Emergency Response Team - équipe en charge de gérer les incidents de sécurité informatique) conformément à la procédure applicable en cas de violation de données (perte de données, accès non autorisé, publication non autorisée…).
  • Me former régulièrement si les fonctions occupées nécessitent de manipuler des données personnelles. Connaître le cadre applicable à mon activité.

Je ne dois pas

  • Collecter des données personnelles à l’insu de la personne concernée.
  • Collecter des informations dites « sensibles » (état de santé, préférence sexuelle, opinions politiques, convictions religieuses, origine raciale ou ethnique) sans l’accord de la personne ou seulement si la loi l’impose.
  • Donner accès à des données personnelles à une personne située dans un autre pays, sans avoir consulté le Service Juridique.
  • Conserver des données personnelles plus longtemps que nécessaire au regard de l’objectif poursuivi.

Cas pratique 1

Vous faites partie d’une équipe de commerciaux et vous aimeriez créer des relations de proximité avec vos clients. Vous souhaiteriez saisir quelques détails relatifs à leur vie privée dans l’outil de gestion de la relation client du Groupe. Votre remplaçant pourrait ainsi avoir accès à ces informations en votre absence. Cette pratique est-elle autorisée ?

Non. Vous ne pouvez collecter que les informations factuelles en lien avec la sphère professionnelle. En outre, la collecte de certaines informations sensibles (état de santé, religion…) est strictement interdite. Rappelez-vous que votre client peut demander un accès à ses données personnelles.

Cas pratique 2

Un collègue a eu un accident du travail. Vous souhaitez faire un retour d’expérience à l’ensemble des sites industriels. Vous transmettez les informations suivantes : Ronan A., Moniteur, Site de Vannes, ainsi que les détails de ses blessures et le contexte de son accident. Vous ne mentionnez que le prénom de votre collègue, êtes-vous conforme à la réglementation ?

Vous devez vous poser les questions suivantes.

Poursuivez-vous un objectif légitime ? Oui. Il s’agit d’améliorer la sécurité des employés par ce retour d’expérience.

Est-il indispensable de transmettre toutes ces informations ? Non. Le site, le poste, le prénom ne sont pas utiles pour reporter sur cet accident. Pour « anonymiser » les données personnelles, il faut toujours se demander : est-ce que je peux avec les informations communiquées identifier cette personne ? Dans ce cas précis, la réponse est oui (prénom, fonction et mention du site industriel).

Qui contacter ?

  • Votre Manager
  • Votre Service Juridique
  • Votre Privacy Manager Local
  • Le Data Protection Officer du Groupe