Le GPF veille au respect des règles relatives à la protection des données à caractère
personnel et s’est engagé dans une démarche d’exigence en matière de déontologie, et
notamment en matière de respect de la vie privée.
Dans le cadre de ses activités, le GPF est amené à collecter et à traiter des données à
caractère personnel relatives à ses clients, à ses salariés et à ses partenaires, tels que ses
fournisseurs et prestataires.
Soucieux de favoriser l’innovation tout en construisant une relation de confiance durable
basée sur le partage de valeurs sociales responsables et le respect des personnes, le GPF a
mis en place les moyens techniques et organisationnels nécessaires pour protéger les
données à caractère personnel qu’il traite. Il réexamine et adapte régulièrement ces
mesures pour garantir un haut niveau de protection des données.
La présente politique a pour objet de présenter les engagements pris par le GPF en matière
de protection des données à caractère personnel.
Le GPF informe ses clients, salariés et partenaires des traitements qui les concernent sur les
supports les plus adaptés pour assurer la transparence de la collecte de données.
La collecte de données à caractère personnel a pour objectif prioritaire une gestion
optimale des diverses relations que le GPF entretient avec ses clients, salariés et partenaires.
Lorsque le GPF est amené à traiter des données, il le fait pour des finalités spécifiques :
chaque traitement de données mis en œuvre par le GPF répond à une finalité légitime,
déterminée et explicite.
Le GPF conserve les données sous une forme permettant l’identification des personnes
concernées seulement pendant la durée nécessaire au regard des finalités pour lesquelles
elles sont traitées.
Pour chacun des traitements mis en œuvre, le GPF s’engage à collecter et exploiter seulement des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Le GPF accorde une importance particulière à la sécurité des données à caractère personnel.
Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour que les
données soient traitées de façon à garantir leur protection contre la perte, la destruction ou
les dégâts d’origine accidentelle qui pourraient porter atteinte à leur confidentialité ou à leur
intégrité.
Lors de la conception, de la sélection ou de l’utilisation des différents outils qui permettent
le traitement des données personnelles, le GPF s’assure, auprès de ses propres équipes et le
cas échéant des éditeurs de tels outils, qu’ils permettent d’assurer un niveau de protection
optimal des données traitées.
Le GPF met ainsi en œuvre des mesures qui respectent les principes de protection dès la
conception et de protection par défaut des données traitées. A ce titre, lorsque cela s’avère
possible et / ou nécessaire, le GPF recourt à des techniques de pseudonymisation ou de
chiffrement des données.
Lorsqu’il fait appel à un prestataire, le GPF lui communique des données à caractère
personnel uniquement après lui avoir imposé le respect de ses propres principes en matière
de sécurité.
Le GPF effectue des audits de ses propres services ainsi que de ceux de ses prestataires afin
de vérifier l’application des règles en matière de sécurité des données.
Le GPF applique des politiques d’habilitation strictes qui permettent que les données qu’il
traite ne soient consultables que par les seules personnes autorisées à y avoir accès.
Lorsque le GPF a besoin de transférer des données en dehors de l’Union européenne à l’un
de ses prestataires par exemple, il ne le fait que dans le cadre de stipulations contractuelles
spécifiques et conformes aux exigences réglementaires afin de garantir un niveau optimal de
protection des données.
Le GPF est particulièrement soucieux du respect des droits des personnes concernées par les
traitements de données qu’il met en œuvre :
- le droit à l’information ;
- le droit d’accès ;
- le droit de rectification ;
- le droit à l’effacement (« droit à l’oubli ») ;
- le droit à la limitation du traitement ;
- le droit à la portabilité ;
- le droit d’opposition ;
- le droit de définir des directives relatives à la conservation, à l’effacement et à la
communication des données personnelles après la mort.
Le GPF répond aux demandes d’exercice des droits des personnes concernées tout au long
du traitement, et ce dans le respect des conditions et délais impartis par la réglementation
applicable.
Les demandes d’exercice de droits par la personne concernée s’effectuent par voie
électronique et/ou postale auprès du contact indiqué notamment dans les mentions
d’informations, les conditions générales d’utilisation des applications et des sites internet,
les formulaires de collecte…
La personne concernée doit indiquer clairement ses nom et prénom(s), joindre la copie d’un
titre d’identité et indiquer l’adresse à laquelle elle souhaite que la réponse lui soit envoyée.
Le GPF informe toute personne concernée qui souhaiterait exercer ses droits en cas
d’impossibilité de donner suite à sa demande.