Procédure de protection des données personnelles Nexeo Groupe

1. Périmètre et définitions

« Les entités de Nexeo Groupe » désigne :

  • les sociétés Nexeo Consulting, Nexeo Assurances et Finaxium, 19 rue du Rocher, 75008 Paris
  • la société Financière DS, 1 rue Clotilde, 92130 Issy les Moulineaux
  • Nexeo Belgium, 11 rue des colonies, 1000 Bruxelles
  • Nexeo Switzerland, Rue du commerce 4, 1201 Genève Suisse

 

Les données personnelles gérées au sein de Nexeo Groupe sont classées dans les catégories suivantes :

  • Données candidats : données des personnes ayant postulé pour un poste au sein de Nexeo Groupe, ou ayant été identifiées comme candidats potentiels suite à une démarche de recrutement de leur part, de la part de Nexeo Groupe ou de la part d’un cabinet de recrutement partenaire. Les données candidats s’appliquent aux consultants indépendants ayant postulé ou identifiés par Nexeo Groupe pour l’exécution de missions pour le compte du Groupe.
  • Données clients : données des contacts employés dans les sociétés clientes de Nexeo Groupe
  • Données fournisseurs : données des contacts employés dans les sociétés fournisseurs de Nexeo Groupe
  • Données contacts : coordonnées des personnes inscrites via le formulaire « contact » du site web Nexeo, ou ayant été en contact avec Nexeo Groupe par email pour un motif autre que les catégories ci-dessus et nécessitant la conservation de leurs coordonnées.

Seuls la collecte, la conservation et le traitement des données personnelles listées ci-dessus sont autorisés au sein de Nexeo Groupe.

Seules les personnes mentionnées ci-contre sont autorisées à traiter des données personnelles de façon récurrente au sein de Nexeo Groupe, dans le périmètre de leurs responsabilités respectives.

Responsables du traitement des données personnelles

Les personnes chargées de collecter, stocker ou traiter les données personnelles au sein de Nexeo Groupe sont classées dans les catégories suivantes :

  • La Direction : les membres du comité de direction de Nexeo Groupe
  • Les Ressources Humaines (RH) : les départements administration et ressources humaines des entités de Nexeo Groupe
  • Les commerciaux : les employés du département Commercial des entités de Nexeo Groupe
  • Le DPO : le Délégué à la Protection des Données de Nexeo Groupe, 19 rue du rocher, 75008 Paris (cil [at] nexeo.fr)

 

2. Dispositions relatives aux personnes

2.1       Information des personnes

 

Les personnes extérieures à Nexeo Groupe, dont les données personnelles sont collectées par le Groupe pour les besoins de son activité de conseil, reçoivent les informations relatives au traitement de leurs données personnelles en fonction du canal utilisé pour les recueillir.

  • Les candidats et contacts entrant en relation avec le Groupe via le site web nexeo.fr accèdent à la notice de protection des données et à la version publique de la procédure préalablement à l’envoi de leur formulaire ;
  • Les candidats et contact entrant en relation avec le Groupe par email reçoivent les informations relatives au traitement de leurs données personnelles dans l’« email de premier contact » formaté à cet effet.
  • Tout email envoyé de Nexeo Groupe à l’extérieur du groupe comporte en bas de mail un lien vers la notice de protection des données personnelles.

Toute demande d’information supplémentaire, adressée au DPO selon les modalités précisées au paragraphe « Droits d’accès, de rectification, d’opposition et d’effacement », fera l’objet d’une réponse à la personne concernée, dans les délais prévus dans ce même paragraphe.

Notice de protection des données personnelles du Groupe Nexeo

La procédure d’opposition est fournie dans la notice de protection des données personnelles à télécharger.

2.2 Droit d’opposition et retrait de consentement

Les données personnelles des contacts sont collectées sur la base de l’intérêt légitime (inscription sur nexeo.fr, appels d’offre). La procédure d’opposition passe par le DPO, qui s’assure du respect de l’exécution des demandes du contact.

Les données personnelles des candidats non-employés sont collectées sur la base de l’intérêt légitime. La procédure d’opposition passe par le DPO, qui s’assure du respect de l’exécution des demandes du candidat. Selon le choix du candidat :

  • ses données sont entièrement supprimées. Il est alors susceptible d’être recontacté si son profil public sur Internet ou un dépôt de CV sur un site partenaire le désigne comme compatible avec une mission ultérieure ;
  • son identité seule est conservée avec la mention « ne pas recontacter ». Il ne sera alors plus recontacté par le Groupe quelles que soient les circonstances, sauf nouvelle démarche proactive de sa part redonnant son consentement.

2.3 Droits d’accès, de rectification et d’effacement

 

Les entités de Nexeo Groupe garantissent à toute personne extérieure au Groupe dont les données personnelles sont détenues par le Groupe un exercice facile et rapide de leurs droits d’accès, de rectification, d’opposition et d’effacement.

 

Ces droits s’exercent en adressant un email à cil [at] nexeo.fr.

 

Nexeo Groupe s’engage à traiter ces demandes dans un délai cible de deux semaines, et dans un délai maximum d’un mois.

2.4 Droit à l’oubli

Sauf dispositions contraires prévues par la loi (notamment en matière de comptabilité), les entités de Nexeo Groupe procèdent à un effacement des données personnelles, ou si besoin à un archivage sécurisé, dans un délai maximum de cinq ans après la fin des contacts entre Nexeo Groupe et les personnes concernées.

 

Dans le cas des contacts clients ou fournisseurs, les données sont remplacées par des données à jour dès réception de l’information d’un changement de contact.

3. Dispositions organisationnelles

3.1       Responsables des traitements

 

Les données personnelles sont centralisées sur des systèmes communs à l’ensemble des entités de Nexeo Groupe.

Le délégué à la protection des données est mutualisé à l’ensemble des entités du Groupe.

Toutes les entités de Nexeo Groupe s’engagent au strict respect de la présente procédure, et s’engagent à n’accéder et à traiter que les données nécessaires à leur périmètre et activités respectives.

3.2       Sous-traitants

Les entités de Nexeo Groupe n’autorisent le transfert de données personnelles que dans le cadre d’un contrat formalisé entre Nexeo Groupe et le sous-traitant, incluant les dispositions à prendre par le sous-traitant pour la protection des données personnelles auxquelles il a accès.

Il est interdit aux sous-traitants d’effectuer tout transfert, extraction, traitement ou conservation de données personnelles de Nexeo Groupe non expressément prévus au contrat, ni hors des systèmes mentionnés au contrat.

Les serveurs de sous-traitants contenant des données personnelles de Nexeo Groupe sont situés dans l’Union Européenne. Les données personnelles de Nexeo Groupe ne sont en aucun cas transférées hors de l’Union Européenne.

Le respect par les sous-traitants des dispositions de la procédure qui leur incombe est obligatoire.

3.3       Conformité et limitation des traitements

 

Les données personnelles sont collectées et stockées au sein de Nexeo Groupe exclusivement pour les besoins de l’activité de conseil du Groupe. Seules les données pertinentes à l’activité du groupe sont conservées, et traitées de manière conforme à l’objectif professionnel attendu.

Le DPO vérifie la conformité des données, des informations, des traitements, des accès, des transferts éventuels et des sécurités mises en place par rapport à la réglementation en vigueur.

Nexeo Groupe n’effectue aucun traitement ayant pour objectif de prendre des décisions entièrement automatisées.

Nexeo Groupe ne collecte et ne traite pas de données sensibles appartenant à des personnes extérieures au groupe.

Les données personnelles de Nexeo Groupe ne sont en aucun cas transférées hors de l’Union Européenne. Elles sont accessibles de Nexeo Switzerland, la suisse étant un pays considéré par l’Union européenne comme offrant un niveau de protection équivalent.

3.4 Sécurité des données

Le niveau de sécurité associé à un traitement doit être a minima égal au niveau de risque pour les personnes concernées.

En cas de détection d’une faille de sécurité portant atteinte aux données personnelles, le DPO et la Direction détermineront si celle-ci présente un risque élevé pour les personnes à qui appartiennent les données, ainsi que les mesures correctrices à prendre.

Au cas où le risque resterait élevé malgré les mesures correctrices prises, le DPO communiquerait aux personnes concernées les informations concernant la nature de la faille, l’analyse du risque et les mesures correctrices. La communication est prévue à partir de l’adresse email cil [at] nexeo.fr, qui permet l’échange d’emails et l’envoi de questions de la part des personnes concernées.