Protection de la Vie Privée et des Données personnelles
Michelin est convaincu que la protection des données personnelles constitue un vecteur de confiance dans ses relations avec les parties prenantes. Le Groupe s’engage à ne collecter et ne traiter que les seules données nécessaires à ses activités.
Définition et contexte
Une donnée personnelle est une information qui permet d’identifier directement ou indirectement une personne physique.
Cela inclut donc, par exemple :
- pour l’identification directe d’une personne : une photo ou des informations de l’état civil de la personne (nom, prénom…) ;
- pour l’identification indirecte : un numéro unique d’identification (plaque d’immatriculation, identifiant Michelin, numéro de téléphone portable) ou une combinaison d’informations (sexe, âge, profession, ville de résidence, etc.).
Ces données personnelles doivent être protégées.
Le nombre de réglementations visant à protéger la vie privée et les données personnelles a très fortement augmenté dans le monde ces dernières années. Dans de nombreux pays, ne pas respecter ces réglementations est désormais passible de sanctions financières très significatives (et souvent relayées dans la presse), voire de sanctions pénales.
Principes d’action
Les données personnelles des employés, clients, fournisseurs, actionnaires, partenaires ou sous-traitants doivent être traitées conformément aux lois et réglementations ainsi qu’aux directives du Groupe applicables en matière de protection des données personnelles.
Le Groupe s’engage à ne collecter et traiter que les seules données nécessaires à ses activités.
Aucune donnée personnelle ne doit être communiquée à des tiers, sauf si cela est nécessaire et autorisé par la loi.
Michelin est par ailleurs convaincu que la protection des données constitue un atout compétitif majeur et un vecteur de confiance dans les relations avec l'ensemble des ses parties prenantes.
La protection des données personnelles ne peut être assurée qu’avec l’aide de chacun.
Je dois
- Collecter et manipuler uniquement les données personnelles nécessaires à l’objectif poursuivi. M’assurer que cet objectif est légitime et clairement défini.
- M’assurer que la collecte et l’usage des données personnelles est conforme à l’information transmise aux personnes concernées ; si cela est requis, je m'assure d'obtenir le consentement de la personne pour la collecte et l’usage de ses données.
- Renseigner uniquement dans les champs de commentaires libres des commentaires pertinents, adéquats et non excessifs ; me demander si je ne serais pas gêné(e) communiquer ce commentaire à la personne visée.
- Détruire ou corriger les données inexactes ou incomplètes, et respecter les droits des personnes sur leurs données.
- Transmettre les données personnelles aux seuls destinataires habilitées en interne et qui ont un besoin légitime d’en avoir connaissance.
- Transmettre les données personnelles en externe seulement en cas d’obligation légale ou à des sociétés qui ont contracté un accord avec le Groupe.
- Avoir lu, et respecter l’ensemble des engagements applicables au sein du Groupe en cas d’accès autorisé à des données en provenance d’autres pays ou de transferts internationaux, ces documents étant accessibles sur l’intranet (par exemple, les règles contraignantes d’entreprise "BCR").
- Assurer la sécurité et la confidentialité des données personnelles - par exemple, en se conformant aux règles de sécurité du Groupe lors de leur transmission (à savoir : en cryptant le fichier de données).
- Informer le CERT Michelin (Computer Emergency Response Team - équipe en charge de gérer les incidents de sécurité informatique) conformément à la procédure applicable en cas de violation de données (perte de données, accès non autorisé, publication non autorisée, etc.).
- Me former régulièrement si les fonctions occupées nécessitent de manipuler des données personnelles. Connaître le cadre applicable à mon activité.
Je ne dois pas
- Collecter des données personnelles à l’insu de la personne concernée.
- Collecter des informations dites « sensibles » (état de santé, préférence sexuelle, opinions politiques, convictions religieuses, origine raciale ou ethnique) sans l’accord de la personne ou seulement si la loi l’impose.
- Donner accès à des données personnelles à une personne située dans un autre pays, sans avoir consulté la fonction juridique.
- Conserver des données personnelles plus longtemps que nécessaire au regard de l’objectif poursuivi.
Cas pratique 1
Vous faites partie d’une équipe de commerciaux et vous aimeriez créer des relations de proximité avec vos clients. Vous souhaiteriez saisir quelques détails relatifs à leur vie privée dans l’outil de gestion de la relation client du Groupe. Votre remplaçant pourrait ainsi avoir accès à ces informations en votre absence. Cette pratique est-elle autorisée ?
Non. Vous ne pouvez collecter que les informations factuelles en lien avec la sphère professionnelle. En outre, la collecte de certaines informations sensibles (état de santé, religion…) est strictement interdite. Rappelez-vous que votre client peut demander un accès à ses données personnelles.
Cas pratique 2
Un collègue a eu un accident du travail. Vous souhaitez faire un retour d’expérience à l’ensemble des sites industriels. Vous transmettez les informations suivantes: Ronan A., Moniteur, Site de Vannes, ainsi que les détails de ses blessures et le contexte de son accident. Vous ne mentionnez que le prénom de votre collègue, êtes-vous conforme à la règlementation ?
Vous devez vous poser les questions suivantes :
- 1. Poursuivez-vous un objectif légitime ?
- Oui. Il s’agit d’améliorer la sécurité des employés par ce retour d’expérience.
- 2. Est-il indispensable de transmettre toutes ces informations ?
- Non. Le site, le poste, le prénom ne sont pas utiles pour reporter sur cet accident.
- D'autre part, pour « anonymiser » les données personnelles, il faut toujours se demander : est-ce que je peux identifier cette personne, à partir des informations communiquées ? Or, en communiquant le site, le poste et le prénom, vous donneriez assez d'éléments pour permettre d'identifier la personne.