1. Introduction

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans toute l’Union européenne. En France, la loi du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « Informatique et Libertés » pour l’adapter aux dispositions du RGPD.

Dans le cadre de ses activités d’enquête et d’études, TMO est amené à recueillir des données personnelles pour répondre à des objectifs de représentativité et d’analyse des corpus collectés, quelle que soit leur forme (sondage téléphonique, online, papier/ table ronde en présentiel, groupe on line, entretiens individuels).

Compte tenu de ces prestations, TMO s’engage à se conformer aux lois et réglementations relatives à la protection des données. Les vocables utilisés dans la présente politique sont définis dans le RGPD, notamment les notions de :

  • Traitement,
  • Données personnelles
  • Données à caractère personnel,
  • Personnes concernées.

2. Nature des données personnelles collectées et traitées

Les informations collectées et traitées par TMO peuvent être de différentes natures :

  • Coordonnées (civilité, nom, prénom, adresse postale, courriel)
  • Données à caractère personnel (genre, âge, csp)
  • Ou toutes autres données permettant d’identifier la personne concernée

Ces données personnelles collectées et traitées le sont pour un cadre d’utilisation déterminé et légitime au vu de la problématique abordée. Ces données personnelles sont :

  • Justifiées et calibrées au regard de la finalité
  • Enregistrées et traitées de manière sécurisée
  • Utilisées en conformité aux droits des personnes concernées
  • Conservées sur une durée limitée n’excédant pas la durée nécessaire pour atteindre la finalité du traitement
  • Jamais transmises à des tiers (commanditaire ou autre mandant), sauf accord ou demande explicite des Personnes concernées.

3. Dispositifs en fonction des sources de données personnelles

3.1 Fichiers fournis par nos commanditaires quelle que soit la forme (fichiers téléphonique, mail, postal) et la nature (fichiers clients, collaborateurs, prospects ..)

Les fichiers nominatifs communiqués par les commanditaires ne doivent comprendre que les informations strictement nécessaires à la réalisation de l’enquête. La sélection des données transmises reste sous la responsabilité des commanditaires.

En conformité avec le règlement RGPD, les données personnelles et fichiers communiqués par les commanditaires, le sont sous forme sécurisée (solution disponible chez les commanditaires ou solution TMO de transfert sécurisé de fichiers Pydio). TMO s’engage à ne pas transférer ces données par simple mail ou au travers de services d’hébergement (type DropBox, OneDrive, …), et cela pour prévenir tout risque de perte, d’altération ou de divulgation de données.

3.2 Fichiers fournis par des prestataires spécialisés quelle que soit la nature de l’enquête (enquête téléphonique, recrutement de tables rondes, d’entretiens ..)

Les fichiers de contacts sont constitués à partir de bases de données louées des prestataires spécialisés. Les données personnelles sont fournies en location pour un usage unique. Les règles d’utilisation sont spécifiées dans le contrat de location : les données fournies par ces prestataires ne peuvent être intégrées dans le système d’information de TMO, et sont détruites une fois l’enquête administrée. TMO ne dispose d’aucun droit de rediffusion de ces coordonnées. Les prestataires sont eux-mêmes soumis aux engagements RGPD.

3.3 Fichiers commanditaires (liste et contacts des commanditaires actuels ou potentiels)

Les données « personnelles » clients ou prospects (téléphone professionnel, courriel professionnel) sont conservées sans limitation de durée sauf si un désengagement a été demandé. Ce consentement implicite s’applique notamment aux coordonnées collectées dans le cadre de collaboration et d’une prestation de services.

4. La participation aux enquêtes – consentement

La participation aux enquêtes est facultative. Les personnes concernées contactées peuvent refuser d’y participer ou interrompre leur réponse à l’enquête quand elles le souhaitent. La réponse aux enquêtes n’est en aucun cas obligatoire.
Pour des raisons éthiques, TMO s’engage à ne pas interroger de mineurs sans l’accord explicite de leurs parents.

En cas de consentement à l’enquête, les Personnes Concernées sont informées de la manière dont leurs données sont traitées et des garanties d’anonymat (principe de transparence). La déclaration de consentement peut être établie sous forme écrite ou électronique mais en cas d’enquête téléphonique, le consentement peut être donné verbalement.

5. Accès aux données personnelles lors de la collecte et du traitement des réponses

Durant la passation de l’enquête, les réponses ne sont pas anonymisées (réponses reliées aux données personnelles des répondants). Cette absence d’anonymisation est temporaire puisque la conservation des données personnelles ne dépassera pas le délai nécessaire à la réalisation de la finalité de l’étude pour laquelle elles ont été collectées. Durant cette période, toute Personne concernée pourra se prévaloir du droit d’accès à ses données.

Ce droit pourra être exercé en adressant un mail à : dpo@tmo.fr ou en nous écrivant à TMO, 11 rue Franz Heller, 35700 RENNES.

Ce dispositif permet d’être conforme aux dispositions de la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978 et du Règlement (UE) n° 2016/679 dit « Règlement Général sur la Protection des Données ». Toute Personne concernée dispose en effet d’un droit d’opposition (article 26), d’accès (articles 34 à 38), de rectification (article 36), de limitation, d’effacement et de portabilité des Données Personnelles le concernant.

Pour être en conformité avec le RGPD, aucune donnée personnelle n’est transmise pour un traitement hors-UE

6. Statut des bases conservées par TMO

Une fois la finalité d’étude atteinte, tous les fichiers de coordonnées téléphoniques ou mail sont effacés de nos serveurs. La base des réponses analysées est anonymisée dès sa première mise en forme (effacement des nom, prénom, adresse, coordonnées téléphoniques et toutes informations permettant d’identifier une personne). C’est ainsi une base totalement anonymisée qui est traitée et archivée sur notre serveur interne.

Précisons aussi que nos commanditaires n’ont jamais accès aux réponses nominatives (sauf accord explicite des personnes interrogées) mais à des résultats ou des données totalement anonymisées.

7. Sécurité

Lors de la passation des enquêtes en ligne ou téléphone, le fichier de collecte des réponses est hébergé auprès la société GIDE basée à Nantes. GIDE assure le total respect de ses propres obligations RGPD. Le fichier de collecte des réponses n’est accessible qu’au travers d’une interface avec un double mot de passe.

La protection de l’ensemble des fichiers mobilisés par TMO, tout au long des processus d’étude, est assurée par un double système de Firewall qui garantit la sécurité des données : un Firewall au niveau du routeur, un autre au niveau du serveur.

La protection contre les virus est assurée à l’aide du logiciel Sophos Antivirus qui centralise l’installation, la configuration, la mise à jour et le nettoyage des virus, des logiciels malveillants et des applications potentiellement indésirables.

TMO dispose de serveurs locaux. L’accès à ces serveurs est conditionné à une authentification préalable. Durant la mise en œuvre de l’enquête, seuls les personnels d’études ont accès aux données nominatives et aux réponses. Les enquêteurs n’ont accès qu’au seul fichier d’appel.

En cas de traitements de données personnelles particulières susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, TMO engagera, pour chacun de ces traitements, une étude d’impact sur la protection des données (PIA).

Conformément aux recommandations de la CNIL, le PIA contiendra :

  • Une description du traitement et de ses finalités,
  • Une évaluation de la nécessité et de la proportionnalité du traitement,
  • Une appréciation des risques sur les droits et libertés des personnes concernées,
  • Les mesures envisagées pour traiter ces risques et se conformer au règlement
  • Les droits d’accès à ces données personnelles particulières (accès restreints à quelques utilisateurs de données identifiés)

8. Engagements de confidentialité vis-à-vis des commanditaires

TMO Régions s’engage formellement à ne divulguer aucune des informations concernant le commanditaire (et notamment son fonctionnement, ses activités, ses finances, ses bases de données, ses procédés de fabrication, ses projets etc.) qui lui auraient été communiquées dans le cadre de sa mission ou que TMO aurait pu acquérir lors du travail accompli.

Ainsi, les supports informatiques et documents fournis par le commanditaire à TMO restent la propriété du commanditaire.

En outre, TMO s’engage à ne pas utiliser les documents et informations traités à des fins autres que celles découlant de la prestation conduite pour le commanditaire.

Enfin, TMO Régions prend formellement plusieurs engagements qui participent à la sécurité des données.

1. TMO Régions est tenu au secret professionnel et à une obligation de confidentialité et de discrétion, sa responsabilité pouvant être engagée sur le fondement des articles 226-17 et 226-5 du code pénal.

2. TMO Régions s’engage à respecter toutes les dispositions issues de la loi n°78-17 du 6 janvier 1978 modifiée, et notamment ses articles 34 et 35. Le titulaire s’engage tout particulièrement à :

  • Ne pas utiliser les fichiers de contact et les informations recueillies à des fins autres que celles spécifiées dans le cadre des missions confiées par TMO Régions ;
  • Ne prendre aucune copie des documents et fichiers informatiques qui lui sont confiés;
  • Ne pas communiquer les produits réalisés, documents et fichiers à d’autres personnes morales ou non, privées ou publiques, que celles qui ont qualité pour en connaître, à savoir le personnel chargé par le titulaire d’exécuter les prestations ;
  • Prendre toutes mesures de sécurité matérielle permettant de conserver les fichiers informatiques utilisés dans le cadre du présent marché et d’éviter toute déformation, endommagement et toute utilisation détournée ou frauduleuse de ceux-ci ;
  • Ne conserver aucune copie des produits réalisés, des documents et des fichiers informatiques à l’issue des missions et produire l’attestation de la destruction de ces données, dûment signée par une personne habilitée,
  • Prendre toutes mesures pour assurer la confidentialité des données lors des opérations de développement et de maintenance du matériel informatique utilisé dans le cadre des missions confiées par TMO Régions,
  • Ne restituer les informations que sous forme agrégée afin de préserver l’anonymat des personnes.

Ces obligations de confidentialité jouent tant à l’égard des tiers que des salariés de l’entreprise.

Elles s’appliqueront pendant toute la durée de la mission et se prolongeront après la rupture de celle-ci quel qu’en soit le motif.

9. Devoirs des collaborateurs et utilisateurs de données

Les collaborateurs sont tenus de se conformer à la politique lors du traitement des Données Personnelles. Les collaborateurs ont un engagement de confidentialité leur interdisant tout usage illicite des données personnelles collectées (utilisation ou traitement des données sortant du cadre de la mission, accès aux données personnelles non autorisé par le supérieur hiérarchique, utilisation à des fins privées ou commerciales, transmission à des tiers). TMO s’engage à informer les collaborateurs de cette obligation de confidentialité dès leur entrée en fonction. Cette formation n’est pas seulement initiale, mais est régulièrement rappeler par les DPO. Les clauses de confidentialité intégrées dans les contrats de travail impliquent que cette obligation vaut, y compris après la fin du contrat de travail.

Tout manquement ou non respect des clauses de la politique de confidentialité sera sanctionné.

10. Sous-traitants

En cas de sous-traitance, et avant qu’elle ne débute, TMO s’assure que le prestataire se conformera aux obligations de la présente politique de protection des données. Pour les traitements, la base fournie est anonymisée (effacement des noms, prénoms, coordonnées des personnes concernées). Le sous-traitant agit sous les instructions de TMO et s’engage à respecter ces dernières.

11. Nomination du DPO et fonctions

Pour veiller au respect de sa politique, TMO a nommé un Délégué à la Protection des Données ou Data Protection Officer (DPO), conformément aux exigences réglementaires. Le DPO nommé par TMO a une double fonction, interne et externe.

Ses fonctions internes :

  • Il a pour charge de sensibiliser et de former les collaborateurs et éventuels sous-traitants à la présente Politique de Protection des Données et aux obligations réglementaires afférentes.
  • Il est également en charge du contrôle du respect de la législation en matière de protection des données
  • Il actualise également la politique de Protection des Données en fonction des évolutions réglementaires

Ses fonctions externes :

  • Il est le point de contact pour les autorités de contrôle
  • Il est également l’instructeur des demandes liées à la protection des données personnelles émanant des Personnes concernées

Prendre contact avec notre DPO : dpo@tmo.fr